» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

ValeryLedovskoy
Цитата:

Не всё сразу.

Сразу??? Релиз вышел 14 марта! А бета и того раньше (гораздо)! Чтобы прикрутить пару-тройку галок нужно полгода???

Pasha_ZZZ, Вам же не нужны галки, которые ничего не делают? Надеюсь, что нет. А чтобы галки что-то делали из того, что было доступно в старой реализации, нужно соответствующую функциональность реализовать на новой архитектуре. Просто перенести код в данном случае не получится. Плюс после этого протестировать на максимально возможном количестве софта-железа. Антивирус - не калькулятор. Если упадёт - мало не покажется всей системе.

2 ValeryLedovskoy
На заметку...

Сегодня попросили изничтожить трояна, пришёл, увидел:
%PROGRAMFILES%\def group\pc defender\*.*

плюс vbs-ка в Temp профиля пользователя.

Глушит процессы и перезагружает комп и (компьютер корпоративный, на нём гордо реет макафи, все дебильные службы микрософт типа удалённого реестра, терминалов и прочего - включено, короче полный фарш)

pc defender - тупая, безобидная поделка... Даже AVZ-шку грохнуть не смогла.

Стандартное решение(для любой малвари, предварительно выяснив процессы и расположение):
Дел на 5 минут - с LiveCD грохнуть всё это барахло, зачистить автозапуск и в реестре убрать "останки". Всё!

Я решил не искать лёгких путей, а пойти, как учит нас "партия и правительство".
Т.е. взял свежий куреит и запустил его на системе. Куреит гордо "погасил" рабочий стол и возвестил, что он работает в режиме какой-то там "суперзащиты". Да работай себе, мне-то что Начало сканирования - 3 минуты - перезагрузка. Тупой pc defender победил суперзащиту веба. Занавес.

Идём моим проторенным путём(вышеописанным) - и никаких следов гадости в системе.

Так что, беда у вас с "новыми веяниями" и прочей маркетоидной мишурой.
винлоки, pc defender, что ещё?

з.ы. не надо мне рассказывать про drweb livecd, там даже редактора удалённого реестра нет(и автозагрузки). Спасибо, хоть МС есть

spinout, проблема явно не в PC Defender. Я бы заслал дамп памяти ядра в поддержку вместо разговоров о мишуре (понимаю, хочется). Скорее всего, какая-то несовместимость. PC Defender развивается постоянно, появились порно-вставки. Внимательно следим, в базу новые веяния добавляем. Спасибо.

Добавлено:
Дамп с описанием ситуации можно, например, передать через эту форму:
https://support.drweb.com/new/free_unlocker/
Заранее благодарим.

spinout
Цитата:

не надо мне рассказывать про drweb livecd, там даже редактора удалённого реестра нет(и автозагрузки)

Распаковываешь куреит, запускаешь через рунсканер в нормальном лайвцд (типа руслайв)... даже реестр полечиццо

Цитата:

Распаковываешь куреит, запускаешь через рунсканер в нормальном лайвцд (типа руслайв)... даже реестр полечиццо

вы мне-то зачем элементарщину рассказываете?
К тому же накрена в подобных случаях(малвари, а не вирь) вообще к-либо антивирус, если руками и быстрее и лучше?

spinout, если у человека есть прямые руки, антивирус действительно не нужен. Ибо с прямыми руками в систему и без антивиря не пролезет. Антивири - для тех, кто не сталкивается каждый день с лечением системы. И PC Defender - это одна из миллиона малварей.

Цитата:

spinout, если у человека есть прямые руки, антивирус действительно не нужен. Ибо с прямыми руками в систему и без антивиря не пролезет. Антивири - для тех, кто не сталкивается каждый день с лечением системы. И PC Defender - это одна из миллиона малварей.

ну, вот, опять просвещают Причём не по делу.

Кстати, дампа не будет, поскольку
Во-первых, где тот компьютер, а где я
Во-вторых, перезагрузка была не из-за к-либо "системного сбоя", а под чётким руководством малвари...

Тогда расскажу вам ещё сказочку, про Win32.Sector.16(т.е. настоящий файловый вирус - то есть, то, для чего антивирусы и нужны)
CureIt тоже не справился(с livecd, поскольку дураков нет). Не справился именно в плане лечения файлов от сектора.

"Вот сюжетец-то, а вы говорите..."(с)

Цитата:

перезагрузка была не из-за к-либо "системного сбоя", а под чётким руководством малвари...

Если компьютер далеко, то на основании чего делается это заявление?


Цитата:

Тогда расскажу вам ещё сказочку, про Win32.Sector.16(т.е. настоящий файловый вирус - то есть, то, для чего антивирусы и нужны)
CureIt тоже не справился(с livecd, поскольку дураков нет).

А чего это вы сектор лечите с LiveCD? Sector - достаточно сложный вирус. Постоянно дорабатывается, изменяется. Не многие антивирусы вообще с ним могут справиться. Имеются механизмы препятствия работе антивирусов, есть руткит-составляющие. Я бы рекомендовал такой вирус лечить из заражённой системы.
Если лечение было некорректным, возможно, какая-то новая/неизвестная модификация. Для исправления ситуации, которая, возможно, имеет место, необходимы логи плюс файлы до лечения и после. После резюме вирлаба и техподдержки имеет смысл делать какие-то выводы.
Лично лечил не один раз сетки от сектора с помощью Dr.Web.

Цитата:

Если компьютер далеко, то на основании чего делается это заявление?

Это он теперь далеко. А заявление делается на основании личного наблюдения процесса перегрузки


Цитата:

А чего это вы сектор лечите с LiveCD?

А чтобы сектор не "вылечил" антивирус. Симптомы были те же, что и в случае с pc defender(я потом на развернутом образе заражённой системы пробовал).


Цитата:

Если лечение было некорректным, возможно, какая-то новая/неизвестная модификация.

Он не собирался лечить, он собирался удалять. Поэтому "не справился".
Предупреждение: я знаю, что надо удалять, а что нет.

.

Цитата:

А заявление делается на основании личного наблюдения процесса перегрузки

О, оракул, объясните нам, как Вы узнали, чем была вызвана перезагрузка, без анализа дампа? Отключали ли Вы автоматическую перезагрузку, видели ли хотя бы номер ошибки на BSOD'е?


Цитата:

А чтобы сектор не "вылечил" антивирус.

У него для этого есть самозащита. Судя по независимым тестам - вполне себе на уровне.


Цитата:

Он не собирался лечить, он собирался удалять. Поэтому "не справился".

Отправьте в вирлаб. Получим заключение - поговорим, о, знающий о процедуре лечения сектора, реализованной в антивирусе Dr.Web, больше наших вирусных аналитиков.

Сплошное бла-бла-бла. Ни дампов, ни логов, ни файлов. Только слова.

Цитата:

видели ли хотя бы номер ошибки на BSOD'е?

Скучно... Придётся по шагам...
Какой BSOD, какое отключение автоперезагрузки? Cхлопнулся веб. в процесскиллере наблюдаю завершение процессов, живые процессы pc defender'а и последующий перезагруз(на shutdown -a даже ловить не стал, ибо эксперимент закончился, далее перезагруз-livecd-всё ok)


Цитата:

У него для этого есть самозащита.

как в вышеуказанном случае?


Цитата:

о, знающий о процедуре лечения сектора, реализованной в антивирусе Dr.Web

не знаю я о процедуре(как она конкретно реализована),
я знаю, что куреит собирался грохать файлы, а не лечить. Непорядочек.

Более того, скажу вам, что как "лечилка" DrWeb - лучший, по моему личному мнению.



Цитата:

Ни дампов, ни логов, ни файлов.

Сделайте поведение, возможности управления и настройки, а так же строгое подчинение параметрам конфигурационного файла, как было до 5-й версии - я вас логами завалю, По первому требованию. И даже без оного.

З.Ы. Я здесь не "кошмарары" повествую, а правду-матку режу Чтобы не почили на лаврах

Цитата:

Я здесь не "кошмарары" повествую, а правду-матку режу Чтобы не почили на лаврах

Спасибо. Конструктив нам нужен. Заняться по поводу актуальных угроз - тоже.


Цитата:

Сделайте поведение, возможности управления и настройки, а так же строгое подчинение параметрам конфигурационного файла, как было до 5-й версии - я вас логами завалю, По первому требованию.

В саппорте есть утилита, собирающая логи и информацию о системе автоматически.

ValeryLedovskoy
Да уже SysInfo в релиз готовится.

Будет в Инструментах новый пункт, "Создать отчет".

Цитата:

В саппорте есть утилита, собирающая логи и информацию о системе автоматически.

Честно - не понял связи между вашим ответом и моим вопросом.


Добавлено:

Цитата:

Будет в Инструментах новый пункт, "Создать отчет".

ага, +личное досье и ключ от квартиры

Несколько раз встречал посты в которых сказано о возможности изменения внешнего вида 5-й (6-й??) версии по образу и подобию 4-й.
Где и как это делается?
Так же не понятен такой аспект.
Тут же в топе мне отвечали что drweb32.ini перестал влиять на настройки программы. (в ответ на мой вопрос "я поменял в drweb32.ini параметр, а ничего не поменялось")
Саппорт же затребовал этот файл при обращении кним. Так что с drweb32.ini?

Цитата:

Так что с drweb32.ini?

Можно его посмотреть и понять, настройки каких компонентов на данный момент читаются из ini.

ValeryLedovskoy
К примеру опции
Цитата:

InfectedFiles = Report
SuspiciousFiles = Report
IncurableFiles = Report
ActionAdware = Report
ActionDialers = Report
ActionJokes = Report
ActionRiskware = Report
ActionHacktools = Report
ActionInfectedArchive = Report
ActionInfectedMail = Report
ActionInfectedContainer = Report

точно не читаются. Т.к. на понятие на "Report" похоже вообще "забили". Нет такой настройки.
А в ini файле есть. Цитата оттуда.

Цитата:

К примеру опции

Раздел [Windows] относится к виндовому GUI-сканеру. Не к спайдеру.

ValeryLedovskoy
Цитата:

Раздел [Windows] относится к виндовому GUI-сканеру. Не к спайдеру.

вот вам из раздела [SpIDerGuardNT]

Цитата:

SuspiciousFiles = Report
IncurableFiles = Delete
ActionAdware = Report
ActionDialers = Report
ActionJokes = Report
ActionRiskware = Report
ActionHacktools = Report
ActionInfectedArchive = Report
ActionInfectedMail = Report
ActionInfectedContainer = Delete
ActionIfRenameFailed = Delete
ActionIfMoveFailed = Rename
ActionIfDeleteFailed = Lock

Цитата:

вот вам из раздела [SpIDerGuardNT]

В 6.0 нет SpIDer Guard NT, в 6.0 есть SpIDer Guard G3.

Для [SpiderAgent] правда только одна строка
Цитата:

LngFileName=C:\Program Files\DrWeb\ru-drweb.dwl

Но по ней вы врятли поймёте настройки агента.
А саппорт просил ini файл, а не ru-drweb.dwl


Добавлено:
ValeryLedovskoy

Цитата:

в 6.0 есть SpIDer Guard G3.

В программе может и есть. В ini файле такого нет.

Цитата:

Но по ней вы врятли поймёте настройки агента.

Потому что в этой настройке показано, какой язык используется.


Цитата:

А саппорт просил ini файл, а не ru-drweb.dwl

Можете поинтересоваться у саппорта, настройки чего они хотели посмотреть в ini, если интересно.


Цитата:

Может и есть. В ini файле такого нет.

Потому что SpIDer Guard G3 хранит свои настройки в реестре. В ini данный раздел остался по историческим причинам.

ValeryLedovskoy
Цитата:

Потому что в этой настройке показано, какой язык используется.

я в курсе. Смайлик то для чего был?
Цитата:

Потому что SpIDer Guard G3 хранит свои настройки в реестре. В ini данный раздел остался по историческим причинам.

вот об этом и спич был.

Цитата:

вот об этом и спич был.

Я рад, что теперь всё разрешилось

Цитата:

Я рад, что теперь всё разрешилось

"разрешения" пока не вижу.
Вопрос 1
Цитата:

озможности изменения внешнего вида 5-й (6-й??) версии по образу и подобию 4-й.
Где и как это делается?

вопрос 2
Цитата:

Тут же в топе мне отвечали что drweb32.ini перестал влиять на настройки программы. (в ответ на мой вопрос "я поменял в drweb32.ini параметр, а ничего не поменялось")
Саппорт же затребовал этот файл при обращении кним. Так что с drweb32.ini?

Цитата:

озможности изменения внешнего вида 5-й (6-й??) версии по образу и подобию 4-й.
Где и как это делается?

Для 5 делают spidernt.exe /agent
Для 6 невозможно.


Цитата:

Саппорт же затребовал этот файл при обращении кним. Так что с drweb32.ini?

Спросите у саппорта. Обычно запрашивают кроме ini ещё всяческие отчётные файлы. Для комплексного анализа. Я не знаю суть проблемы в запросе саппорта и не знаю, какие мысли у специалиста, обрабатывающего Ваш запрос. Можем погадать на большом хрустальном шаре

ValeryLedovskoy
Цитата:

Для 5 делают spidernt.exe /agent

спасибо.

Цитата:

Цитата:Общение по вопросам "верните все как в 5-ке"



Вот никак не могу понять. Вирусы появляются новые. Для них нужно разрабатывать новые продукты. Вернуть всё как в 5-ке и защищать от новых вирусных реалий - вещи мало совместимые, ИМХО. Я тоже хочу вернуться в то время, когда учился в аспирантуре

Пользователь имел ввиду не вирусную базу, а интерфейс!!
+1!! Я тоже за "классику".

Для того, кто в танке повторяю - чтоб получить полнофункциональный ДрВеб 6.0, но с интерфейсом как в 5.0, нужно установить старенький добрый ДрВеб 5.0, а затем обновиться через веб. Затянутся файлы 6.0-версии, но чудо - это не те файлы, что являются родными и лежат в инсталляторе 6.0, это таже самая "классическая 5.0" только с цифрой 6.0. И заветные файлы spiderui.exe и spidernt.exe тоже обновятся до 6.0.
Запускают как spiderui.exe /agent - получаем в 6.0 с интерфейсом 5.0.
Сам не нарадуюсь!!!
Вообще-то надо эту фичу на офф сайте расписать, много кому неприятен новый вид 6.0 версии.

T2008
Цитата:

Вообще-то надо эту фичу на офф сайте расписать,

вот тогда они её и прикроют (фичу эту).
Неужели по высказывания не ясно, что не хотят они возвращать "классический вид" и "классические настройки".
Толи потому что возни много, а "блондинки" всё равно не пользуются (а вы думали деньги приносит "продвинутый пользователь? Хрена. "корпоратив" и "блондинки").
Толи ещё почему, но не хотят они давать гибкость настроек в руки "простого, домашнего пользователя".