» Dr.Web [DrWeb, Doctor Web, Доктор Веб]

C0ld_V0id

Цитата:

Добавил новые базы.

А drw43201 - тоже добавляли? Её добавлять не нужно было. Она является частью основной базы 4.32. Необходимо было сделать такой набор баз:
Основная 4.31
Все add-on 4.31
Все add-on 4.32 кроме 01
В таким набором баз должно было все работать, но корректность обнаружения и лечения вирусов не гарантируется.

Цитата:

Но все таки интересно что с 4.31 было…

Для этого надо польностью воссоздать ситуацию. т.е. логи загрузки, логи на момент вылета и пр.

Sarancha75

Цитата:

Где можно посмотреть список файлов, доступ к которым запретил DrWeb?

Только в логе спайдера. Отдельного списка нет.

gunn
13:05 24-01-2005
Цитата:

В таким набором баз должно было все работать, но корректность обнаружения и лечения вирусов не гарантируется.

Почему?.. Можно подробнее?

Sybiriak

Цитата:

В таким набором баз должно было все работать, но корректность обнаружения и лечения вирусов не гарантируется.
Почему?.. Можно подробнее?

Конечно можно.
При выходе новой версии в движке меняются многие характеристики:
новые пакеры (+версии)
новые архиваторы (+версии)
новые алгоритмы поиска
доработки эвристики
доработка алгоритмов лечения
etc.

Всего этого конечно же нет в базах. Там только сигнатуры.
Например искать вирусы в _запароленных_ архивах drweb научился на версии 4.31b (по моему, могу ошибится, но это не есть важно). Соответсвенно даже с новыми базами 4.31а была просто бессильна отловить этот вирус.
Ну и так далее.

Люди, ну посмотрите плиз у себя на компе, какой параметр прописан в реестре для того чтоб спайдер был загружен и виден в трэе? Система - ВинХР Про.

gunn

Цитата:

Всего этого конечно же нет в базах. Там только сигнатуры.

Спасибо, интересовали именно базы (точнее их совместимость с более старыми версиями движка) - как я понял, с этим проблем пока не наблюдалось...

Цитата:

искать вирусы в _запароленных_ архивах drweb научился ...

Ну..., это несколько преувеличенное утверждение , а вот чувство ложной успокоенности привить доверчивому юзеру может...

Sybiriak

Цитата:

Спасибо, интересовали именно базы (точнее их совместимость с более старыми версиями движка) - как я понял, с этим проблем пока не наблюдалось...

Да, насколько я помню после .20 версии формат баз не менялся. так что совместимость есть. Правда в .28 версии было ограничение на количество баз. После 30ти что ли она не могла их уже подгружать.

Цитата:

Ну..., это несколько преувеличенное утверждение , а вот чувство ложной успокоенности привить доверчивому юзеру может...

Ну да - корректнее сказать - в неторых типах запароленных архивов может найти конкретный тип вируса.
Но вообще конечно обновлять версии антивируса это нормально. И это необходимо. Лучше не эксперементировать с недокументированными функциями.

gunn

Цитата:

Ещё раз спрашиваю - если включена проверка архивов, то может проверять. Если не включена, то не должен. (если архив лежит на жестком диске, а не на сменном). В прочем я ещё проверю самостоятельно, может быть я ошибаюсь.

Прошу прощения за вынужденное молчание. Проверка аривов была включена, она во многом и тормозила. А как насчёт проверки через контекст?

Viewgg

Цитата:

Прошу прощения за вынужденное молчание. Проверка аривов была включена, она во многом и тормозила. А как насчёт проверки через контекст?

В спайдере проверку архивов можно отключить. Это не внизит надежности проверки, но существенно разгрузит машину.

Так что с проверкой через проводник? что именно интересует?

gunn

Цитата:

В спайдере проверку архивов можно отключить. Это не внизит надежности проверки, но существенно разгрузит машину.

Согласен. Так и сделал.

Цитата:

Так что с проверкой через проводник? что именно интересует?

Смотри. Отключаем сначала спайдер для чистоты эксперимента. Затем делаем програмку Test.com так, как это написано в файле Test.txt в папке, куда установлен антивирус. Затем включаем спайдер и выбираем в контекстном меню Test.com пункт Свойства. У меня спайдер при этом обнаружил там что надо, а именно Eicar Test File (Not A Virus!). Так вот, мне стало интересно, нельзя ли использовать эту фишку вместо сканера, чтобы сканер не грузить? Если не очень ломает, проверь, пожалуйста, будет ли у тебя он проверять таким способом?
Для тех, кто не знает: возможность включать/выключать спайдер активизируется добавлением в INI-файл Доктора в раздел SpIDer Guard строки EnableSwitch = yes

Viewgg

Цитата:

Смотри. Отключаем сначала спайдер для чистоты эксперимента. Затем делаем програмку Test.com так, как это написано в файле Test.txt в папке, куда установлен антивирус. Затем включаем спайдер и выбираем в контекстном меню Test.com пункт Свойства. У меня спайдер при этом обнаружил там что надо, а именно Eicar Test File (Not A Virus!). Так вот, мне стало интересно, нельзя ли использовать эту фишку вместо сканера, чтобы сканер не грузить? Если не очень ломает, проверь, пожалуйста, будет ли у тебя он проверять таким способом?

Ну реакция у спайдера правильная. только я не очень понял зачем так сложно?
Суть спайдера и так проверять файлы к которым идет обращение. Если бы ты не отключил спайдер,то на моменте сохранения файла test.com он уже бы его отловил и нейтрализовал.
Спайдер и создан для того, что бы не запускать постоянно сканер.
Оптимальные настройки позволяют спайдеру проверять файлы на локальном диске при создании и записи, а на сменных при любом обращении.
Таким образом если ты установил спайдер на заведомо чистую машину, то при условии регулярного и частого обновления баз он будет отлавливать вирусы проникающие на машину.
Соответсвенно сканер запускать можно только раз в неделю-две для успокоения совести (при его связке с Adinf это вообще можно сделать автоматически).
Если бы на hdd пытался записатся вирус, спайдер бы его отловил.

Или тебя интересует что-то другое?

gunn

Цитата:

Таким образом если ты установил спайдер на заведомо чистую машину, то при условии регулярного и частого обновления баз он будет отлавливать вирусы проникающие на машину.
Соответсвенно сканер запускать можно только раз в неделю-две для успокоения совести (при его связке с Adinf это вообще можно сделать автоматически).
Если бы на hdd пытался записатся вирус, спайдер бы его отловил.

Это правильно. В этом и заключается функция любого монитора. Интересно, что:
1. При оптимальном режиме проверки он всё равно проверяет файл, который мы не создаём вновь и не изменяем.
2. Это прикольная фишка!

Viewgg

Цитата:

Это правильно. В этом и заключается функция любого монитора. Интересно, что:
1. При оптимальном режиме проверки он всё равно проверяет файл, который мы не создаём вновь и не изменяем.

А. Так вот в чем вопрос. Ну тут я думаю дело в тонкостях API Windows. Судя по всему он открывает файл на редактирование/запись, и тогда он будет проверен и в оптимальном режиме. Если интересно разобратся подробнее, то думаю это можно выяснить на форуме поддержки DrWeb support.drweb.com

gunn
OK

Цитата:

Судя по всему он открывает файл на редактирование/запись, и тогда он будет проверен и в оптимальном режиме.

При открытии свойств какого нибудь файла модифицируется время доступа к нему.

Можно ли каким-то образом в Win98 и WinXP обеспечить удобное отключение (допустим, через значки в трее) SpIDer Mail после приема почты и SpIDer Guard Me при необходимости. Раньше в Win98 можно было убить процесс ctrl+alt+del, а сейчас и этого нет. Может, что-либо можно где-то прописать и т.д.?

Labean_Hesv
Чем удобнее для тебя, тем удобнее и для вируса.

При попытке обновить Dr. Web 4.32b через интернет, утилита обновления пишет: Ошибка получения файла версий

Katochek
Ответил тебе здесь

Labean_Hesv

Цитата:

Можно ли каким-то образом в Win98 и WinXP обеспечить удобное отключение (допустим, через значки в трее) SpIDer Mail после приема почты и SpIDer Guard Me при необходимости. Раньше в Win98 можно было убить процесс ctrl+alt+del, а сейчас и этого нет. Может, что-либо можно где-то прописать и т.д.?

можно. А смысл?
В версии 4.32 это уже штатная фича.
А в ранних версиях Вы не отключали проверку спайдера, а только убивали его интерфейс, драйвер нижнего уровня как работал, как и продолжал трудится.

Labean_Hesv
Я уже писал об этом выше!
Цитата:

Для тех, кто не знает: возможность включать/выключать спайдер активизируется добавлением в INI-файл Доктора в раздел SpIDer Guard строки EnableSwitch = yes

Добавлено:
А Spider Mail и так через трей выключается.
Цитата:

Раньше в Win98 можно было убить процесс ctrl+alt+del

Как бы не так! gunn верно тебе ответил.

gunn

Цитата:

можно. А смысл?

Допустим, я зашел в интернет по диалапу, получил почту и вышел из инета. Зачем мне SpIDer Mail будет занимать память при дальнейшей рутинной работе? То же и с SpIDer Guard Me, если у меня не появилось на РС никаких файлов, допустим, в течении недели и не будет этого в ближайшее время, то зачем они будут занимать память и притормаживать систему. Можно, конечно, убрать их автозагрузку, но тогда можно забыть их запустить в нужное время и "влететь". А вот если бы временно их отключать, то неплохо было бы.

Инетом пользуешься? А значит мониторчик может быть полезен

А так, ведь можно спайдер просто приостановить. В памяте будет висеть, но файлы трогать не будет и тормозить процессы тоже не будет.

Vsevolod

Цитата:

А так, ведь можно спайдер просто приостановить. В памяте будет висеть, но файлы трогать не будет и тормозить процессы тоже не будет.

В смысле, выключить мониторинг? Все равно приглядывать будет в полглаза... Я его вообще выгружаю, когда он не необходим.

Sybiriak

Цитата:

Я его вообще выгружаю, когда он не необходим.

Вот ия хочу делать тоже самое - включать, когда нужен, особенно SpIDer Mail, который используется не все время. Сейчас повесил ярлыки на них, но может получиться, что забуду их загрузить когда необходимо. Т.е. хотелось сделать эту процедуру в обратном порядке.

Labean_Hesv

Цитата:

особенно SpIDer Mail

Он занимает в памяти всего 456 Кб.
У тебя что за комп-то?
Ерундой занимаешься.
Сейчас память дешевая.

exMIB

Цитата:

особенно SpIDer Mail Он занимает в памяти всего 456 Кб.

Просто лишний значек. Спасибо всем, кое-чему научили. Вопрос исчерпан, ответами удовлетворен. Еще раз спасибо.

Labean_Hesv
Тупой вопрос: А спайдер Mail проверяет почту загруюаемую по веб интерфейсу, а не через клиент? )

NiktoN

Цитата:

А спайдер Mail проверяет почту загруюаемую по веб интерфейсу

Читай russians.hlp программы: "SpIDer Mail для рабочих станций Windows – почтовый антивирусный сторож. Программа перехватывает обращения любых почтовых клиентов компьютера к почтовым серверам по протоколам POP3/SMTP, обнаруживает и обезвреживает почтовые вирусы до получения писем почтовым клиентом с сервера или до отправки письма на почтовый сервер".

NiktoN
Соответственно, когда через Web-интерфейс ты загружаешь почту, то используешь HHTP и тебе поможет скорее SpIDer Guard/

Sybiriak

Цитата:

Vsevolod: А так, ведь можно спайдер просто приостановить. В памяте будет висеть, но файлы трогать не будет и тормозить процессы тоже не будет.

В смысле, выключить мониторинг? Все равно приглядывать будет в полглаза... Я его вообще выгружаю, когда он не необходим.

В NT-системах выгрузка SpIDer Guard уже не гарантируется, сейчас работает глючно, в следующей версии ее не будет вообще. А есть у тебя доказательства "приглядывания"? Если поставить полную запись в лог, он после остановки мониторинга что-то туда пишет? Если да, то это баг и всем полезно знать.