Ru-Board.club
← Вернуться в раздел «Программы»

» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

Автор: vview
Дата сообщения: 01.11.2009 18:00
UnYura
у меня на xp sp2 обновление (по локальной сети) спонтанно прекращается: пару-тройку дней работает по расписанию, потом ступорится нафиг... пока вручную не запустишь (изменив настройки)

Цитата:
Дефолтное задание на обновление как правило работает без проблем

да вроде работало, пока не изменил настройки
Автор: zvb
Дата сообщения: 01.11.2009 20:14
пользуюсь Dr.Web Enterprise Suite.
Пожалуйста, подскажите, возможно ли на клиентских машинах отключить значок Dr.Web Агент в области уведомления Панели задач, т.е. чтобы после загрузки системы пользователь и не подозревал об установленном антивирусе?
Автор: UnYura
Дата сообщения: 01.11.2009 20:20
maxic
vview
На ХР по дефолту из интернета работает без проблем. Проблемы только на Висте и семёрке. И решаются заменой учётной записи в планировщике. Само по себе потом не слетает, работает без проблем. Сейчас попробовал восстановить стандартно - не работает. Проверено на 6 компьютерах, везде проблема одна и та же. И - найденное такое вот решение. Я перепробовал несколько учёток. Пробовал юзера по дефолту, все, администратор просто - ругается, что без пароля нельзя. А администраторЫ - пошло сразу на ура.
Это всё пишу для сведения тех, кто наступит на те же грабли...
Автор: maxic
Дата сообщения: 01.11.2009 22:03
UnYura
Ох не знаю. Сколько пробовал - всегда дефолтная работает отлично. У меня сейчас бета х64 со штатным расписанием работает без нареканий.

zvb
Штатно нет, возможно, что-то в 5.0.1 сделают, но не уверен. Но люди просили о таком
А вообще, можно выкинуть из автозагрузки загрузку агента, тогда получится как хочешь - без интерфейса.
Автор: zvb
Дата сообщения: 01.11.2009 23:14
maxic

Цитата:
Штатно нет, возможно, что-то в 5.0.1 сделают, но не уверен. Но люди просили о таком
А вообще, можно выкинуть из автозагрузки загрузку агента, тогда получится как хочешь - без интерфейса.

Спасибо, понял. С автозагрузкой я уже разобрался, только не удобно очень - зайти под админом, отключить самозащиту, отключить автозагрузку. И все это на разных этажах (
Автор: PRomanS
Дата сообщения: 01.11.2009 23:21
Помогите запустить вебера на семерке, сканер работает, а spider ни в какую,в панели управления пишет не удалось запустить... Windos 7 максимальная, 32-бит
Автор: SuperBabay
Дата сообщения: 02.11.2009 01:35
PRomanS -
Цитата:
Помогите запустить вебера на семерке, сканер работает, а spider ни в какую,в панели управления пишет не удалось запустить... Windos 7 максимальная, 32-бит

1. скачать свежий дистрибутив с оффсайта
2. удалить то, что установленно.
3. прогнать утилитой Drweb Antivirus Removal Tool из шапки , чистя все хвосты.
4. Под администратором поставить нормально свежескачанный дрвеб.
5. Сказать спасибо и наслаждаться жизнью
Автор: Astra55
Дата сообщения: 02.11.2009 07:31
Вроде выкурил все доки и прочитал что можно в Инете на эту тему. Как отключить сканирование памяти и прочую быструю проверку при старте DrWeb 5? Чтобы он стартовал и спокойно ждал что ему дальше скажут. Как это делает версия 4.44.
Автор: Zeesh
Дата сообщения: 02.11.2009 08:58
Astra55

Цитата:
Как отключить сканирование памяти и прочую быструю проверку при старте DrWeb 5?

Для сканера это можно сделать в ini-файле — в разделе [Windows] задать: TestMemory=No и TestStartup=No. Для SpIDer Guard есть соответствующие пункты в разделе [SpIDerGuardNT].
Автор: PRomanS
Дата сообщения: 02.11.2009 09:37
SuperBabay-
Цитата:
1. скачать свежий дистрибутив с оффсайта
2. удалить то, что установленно.
3. прогнать утилитой Drweb Antivirus Removal Tool из шапки , чистя все хвосты.
4. Под администратором поставить нормально свежескачанный дрвеб.
5. Сказать спасибо и наслаждаться жизнью

Винда новая, только установленная, ставлю свежескачанный drweb, a spider не работает, устанавливал под пользователем с правами администратора, или необходимо перейти именно в учетку Администратор?

Автор: Ronin666
Дата сообщения: 02.11.2009 10:01
PRomanS
Вашем вопросе и ответ на вопрос... Вот он:

Цитата:
необходимо перейти именно в учетку Администратор

Автор: UnYura
Дата сообщения: 02.11.2009 11:01
PRomanS
Или отключить контроль учётных записей
Автор: maxic
Дата сообщения: 02.11.2009 11:13
Astra55
Либо ключами. Вроде /shell.

Добавлено:
UnYura
У меня прекрасно ставится хоть из юзера и с включенным UAC.
Автор: UnYura
Дата сообщения: 02.11.2009 15:21
maxic

Цитата:
У меня прекрасно ставится хоть из юзера и с включенным UAC

У меня тоже, а вот PRomanS имеет проблему. Ronin666 советует учётную запись Администратор, а я предлагаю вместо этого просто отключить UAC.
Автор: maxic
Дата сообщения: 02.11.2009 15:23
UnYura
Думаю, вряд ли в этом дело
С точки зрения системы это все одно и то же. Что запуск от админа, что поднятие привилегий в процессе, что запуск из встроенной учетки Администратор.
Автор: Bobruysk
Дата сообщения: 02.11.2009 22:36

Цитата:
Bobruysk
Пропиши для пакетного фильтра Allow all. Тогда и сетку увидишь. Фаер сырющий пока что.

прописал, всё равно ХР не видит, а WS7 всё нормально, настройки ставил одинаковые, интересно ведёт себя бэта на разных осях...
Автор: PRomanS
Дата сообщения: 02.11.2009 23:14
Вся проблема оказалась в ключике, прочитал в логе спайдера, при этом никаких окон с ругательствами на ключ не было.
Всем спасибо.
Автор: VitalyVitaly
Дата сообщения: 03.11.2009 09:31
Обновление модуля Dr.Web SelfPROtect
2 ноября 2009 года

В обновленном модуле исправлены проблемы с переключением раскладки клавиатуры, которые испытывали пользователи 32-битных версий ОС Windows при работе с решениями Dr.Web.
Автор: slay1212
Дата сообщения: 03.11.2009 13:14

Цитата:
Бесплатный полнофункциональный сканер DrWeb 5.0 - CureIt

Вроде уже не совсем и бесплатный - в последнее время при загрузке назойливо предлагает купить себя за смс.
Мож пора уже шапку править - бесплатный для некоммерческого использования?
Автор: Holodilshchik
Дата сообщения: 05.11.2009 23:54
Сорри за тупой вопрос, как проверить какой доктор у меня стоит на работе, пишется версия 5, а что за версия, типа спейс или там просто доктор?
Автор: krew
Дата сообщения: 06.11.2009 00:55
Можете выбрасывать этот антивирь, в самом новом тесте "доктор" на самом последнем месте.

Источник
Автор: pteza
Дата сообщения: 06.11.2009 03:21
при обновлении доктора почему-то пишет, что ошибка записи-обновление не возможно. Пыталась отключить все ограничивающие службы, но всё-равно не обновляется.
Автор: maxic
Дата сообщения: 06.11.2009 07:02
Holodilshchik
А какие компоненты в составе установленного пакета?

pteza
А если отключить самозащиту?
Автор: ValeryLedovskoy
Дата сообщения: 06.11.2009 08:53
krew, я Вам завидую. Вы смогли проинтерпретировать результаты этого теста, а я не смог.

Несколько слов по этому тесту и по статье в CNews

Почти все понимают, что DefenseWall не может защитить от 100% "новых" угроз. Авторы теста тоже прекрасно понимают, что эта цифра недостижима в принципе. Эта цифра означает, что этот продукт при заданных условиях защитил от всех сэмплов из тестовой коллекции.
Точно так же все понимают, что продукты ЛК пропускают более 7% "новых" угроз в реальности. И все понимают, что Dr.Web не пропускает 70% "новых" угроз.
Что привело к таким неадекватным результатам?

Представитель ЛК, что вполне понятно, говорит, что согласен с тестом. Хотя и пытается сказать обтекаемо о том, что до идеала ещё работать много.
Представитель Eset говорит о том, что непонятно, каким образом выбирались сэмплы для тестирования. Для меня это тоже большая загадка. Он также говорит о странном условии определения новизны. С этим тоже согласен, но моё мнение ниже.
Илья Рабинович давит на то, что тестировалась старая версия, а новая на порядок лучше. Что ж, довольно слабый для меня аргумент, но пусть будет.

По поводу определения новизны образцов я считаю, что:
1. Порог в 20% на сайте Virustotal не может являться определяющим.
1.1. Не всегда понятно, эвристик сработал у антивируса или нет, и об этом шли уже споры при проведении других тестов.
1.2. Антивирусы, детект которых отображается на Virustotal - они из разных весовых категорий. Некоторые из них воруют детект у лидеров, т.к. не имеют достаточно ресурсов для содержания хорошей вирусной лаборатории. Некоторые из представленных антивирусов имеют в своём составе несколько движков от различных производителей.
1.3. Порог в 20% детекта непонятен и ничем не объясняется. Почему не 25% или не 30%?
1.4. Детект сэмпла менее 20% антивирусов на данный момент не может указывать на время начала распространения сэмпла (т.е. его "новизну"), но это не значит, что он совсем ничего не показывает. Он может говорить, например, о том, что независимо от начала распространения сэмпла данный тип (класс) угроз не получил широкого распространения, и эвристические технологии антивирусов не настроены на данный тип угроз. Только и всего.

2. Если сэмпл начал распространяться только что, и до этого момента не распространялся, то это явный zero-day, даже если он определяется половиной антивирусов или даже большим количеством антивирусов.
2.1. В некоторых антивирусах используются технологии, которые находятся на стыке классических вирусных записей и эвристических технологий. В антивирусе Dr.Web это технология Origins Tracing, также существуют т.н. расширенные записи (детект с суффиксом .based). И этими технологиями вполне могут детектиться сэмплы, которые только что начали распространяться. Методология теста не учитывает наличия таких технологий.
2.2. Если сэмпл детектится более чем половиной антивирусов, это совсем не значит, что он не мог начать распространяться только что. Равно как и детект менее 20% антивирусами на Virustotal не может говорить о том, что сэмпл начал распространяться только что.
2.3. Если мы хотим ответить на вопрос, какой процент "новых" вредоносных угроз пропускает тот или иной антивирус, тест должен проводиться на всех сэмплах, которые только что (менее какого-то промежутка времени назад) начали распространяться, не смотря на то, сколько антивирусов их детектит.
2.4. Да, определить начало распространения сэмпла сложно. Но необходимо придумать другие методы, нежели предложен авторами. Иначе получаем неадекватный результат. Например, сейчас идёт множество почтовых рассылок, по которым не так уж и сложно определить время начала распространения того или иного экземпляра вредоносных программ, вплоть до минут.

3. Не учитывается доля каждого тестируемого сэмпла во всём "живом" вредоносном трафике, который в данный момент течёт к пользователям. Известно, что часто несколько _типов_ сэмплов в каждый момент времени могут составлять подавляющую долю текущего вредоносного трафика, и антивирусы могут обнаруживать, либо не обнаруживать эвристическими/проактивными технологиями эти определяющие вредоносный трафик типы вредоносных сэмплов. В тесте же все сэмплы равноценны. А это сильно влияет на ответ на вопрос о том, сколько процентов "живого" вредоносного трафика сейчас пропускает тот или иной продукт.

Поэтому лично я затрудняюсь проинтерпретировать результаты теста. Условия для антивирусов и для сэмплов были выбраны весьма искусственные. Тест хорош только лишь для пиара продуктов, которым повезло "пролезть" через выбранную методологию, которым повезло. В этот раз множеству технологических лидеров не повезло. А тому, которому повезло... на него сыплются шишки по поводу того, что тест заказной. На самом деле ЛК не виновата, виновата методика, которая не то, что не совершенна... её ещё нужно создавать с основ, чтобы проводить подобные тесты.

А я буду снова говорить настоящим и потенциальным пользователям, чтобы продолжали думать своей головой, и не обращали внимания на таблички результатов различных тестирований. Хотя, конечно, это не просто...
Автор: Holodilshchik
Дата сообщения: 06.11.2009 11:13
maxic
Ага спасибо, нашел как смотреть, по ходу Dr.Web Security Space.
Автор: partizanen
Дата сообщения: 08.11.2009 01:54
ктото может мне внятно объяснить, какая практическая польза от спайдер гейта? имхо, гуард при настройке Проверять все файлы занимается чуть ли не тем же самым. и какого максимального размера архивы спайдер гейт мусолит? а то в настройках чтото нет ограничения на размер архивов.
Автор: maxic
Дата сообщения: 08.11.2009 10:21
partizanen
Спайдергард - драйвер-фильтр файловой системы, проверяет то, к чему идет обращение ОС, то есть в каком-то смысле примитивный компонент, не обладающий интеллектом Тупо фильтрует все что на чтение и на запись (я сильно упрощаю).

Спайдергейт же предназначен для фильтрации трафика, то есть проверяет данные ДО того, как они попадут на машину. Ну и он умеет разбирать http трафик соответственно. Зачем стоит галка проверки архивов по умолчанию в гейте - мне неведомо. Отключаю ее.
Автор: ValeryLedovskoy
Дата сообщения: 08.11.2009 11:05
maxic, зря отключаешь проверку архивов в SpIDer Gate. Часто с вредоносных сайтов предлагают загрузить не exe, а, например, zip. Обычно размер таких архивов незначительный. Но при отключении проверки архивов в SpIDer Gate проверка таких архивов "на лету" в HTTP-трафике не получится.

В SpIDer Guard же включать проверку архивов не рекомендуется. Ибо постоянно на дисках перемещаются большие архивы, и проверка их внутренностей требует много ресурсов. И она в этом случае не нужна, т.к. при распаковке архива тот же SpIDer Guard всё равно произведёт сканирование в реальном времени распакованных файлов.

Что касается размера проверяемых файлов, то во всех компонентах Dr.Web максимальный размер проверяемых файлов составляет 2ГБ.
Автор: maxic
Дата сообщения: 08.11.2009 12:54
ValeryLedovskoy
zip вполне безвредны - это архивы А при распаковке их на компе спайдергард отловит если есть что отлавливать.
Часто бывают не незначительные, а вполне значительные себе многотомные архивы, например, мегабайт на 500. Проверка их при закачке - напрасная трата времени имхо.
Автор: ValeryLedovskoy
Дата сообщения: 08.11.2009 14:44
maxic, да zip безвредны, но если SpIDer Gate не будет их проверять при закачке прямо из браузера (которая может начаться и автоматически при открытии вредоносного сайта), то весь смысл в SpIDer Gate теряется (как в инструменте, проверяющем HTTP-трафик на лету). Ты и сам говоришь, что в этом случае мы снова полагаемся на "неинтеллектуальный" SpIDer Guard. Кстати, последний может быть временно отключен. Например, устанавливается тяжеловесная программа, а в это время пользователь решил посёрфить немного в инете.

Что касается больших архивов, которые закачиваются из Интернета, то в этом случае обычно используются менеджеры закачек, а также осло- и торрент-клиенты. Насколько я знаю, трафик, которые через них проходит, сознательно не проверяется SpIDer Gate. И здесь речь уже не идёт об эксплойтах, которые могут загрузить файл сайта и запустить его в системе на автомате или установить в браузере порно-баннер. Файл, который пользователь загружает не с помощью браузера, может быть потом проверен если не с помощью SpIDer Guard, то уж вручную с помощью сканера точно.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869

Предыдущая тема: Opera (часть 12)


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.