Новая версия персональных продуктов Dr.Web для Windows 7.0: высокая скорость сканирования и управление антивирусной сетью в домашних условиях

[Valery Ledovskoy 1082]

Может я и ошибаюсь, вам виднее.

В любом случае, наверное, когда стартует агент, некоторые из компонентов уже работают. Но тогда это дезинформация.

Тогда нужно для компонентов, от которых информация ещё не поступила писать что-то типа "Ожидание информации" и кружочек какой-нибудь жёлтый, например. Но не "Не запущен".

[EzzO 15]

Да, 6-ой версии.

обновленный движок пока в бете. Его нет в составе продуктов 7.0

[Valery Ledovskoy 1082]

Сегодня попробовал поставить 7.0 на один из домашних ноутов, в качестве эксперимента, поэтому несколько комментов после установки.

1. Во время установки прогресс-бар установки постоянно циклически сбрасывается на 0. Понять, когда примерно закончится установка, теперь невозможно.

2. Dr.Web выпил фанты и своим оптимизированным движком остановил ноут с 3 ГБ оперативки. 6.0 там так не тормозила.

3. В многопоточном сканере показывается один текущий сканируемый объект. Куда делись задумки, придуманные ранее? Как понять, что в одном из потоков что-то начало очень долго проверяться?

4. В новом сканере вообще никак не отображается общее время, прошедшее с начала сканирования. В место этого для чего-то стоит время начала сканирования. Чтобы узнать, сколько заняло сканирование, нужно совершать арифметические действия. ИМХО, борьба с тестировщиками (особенно - как бы для кого-то это слово ни звучало)

В общем, непроходящее уже час ощущение того, что нас чего-то лишили или чего-то недодали. С пессимизмом жду релиза ES 7.0 и думаю о ноутах с 512МБ оперативы...

А вот Dr.Web Shark радует! Супер-комплекс! Молодцы! Пользуюсь каждый день!

Да, мы готовим продукт Dr.Web Shark. Скоро выйдет версия x.xx (не знаю пока ее номер, но возможно это будет уже 5.00 , в которой у нас будет очень хорошая «чистка» реестра. Вам понравится :-)

(с) http://info.drweb.com/info/interview.pdf, 24 июня 2008

И уже в ноябре того же года оно вышло:

http://www.slideshare.net/guestf91cfe/dw-shark-ru

И вот с этой версии прям и пользуюсь до сегодняшнего дня

И на форумах везде рекомендуют:

http://www.safensoft.ru/forum/viewtopic.ph...p;start=20#p432

5) подключить диск вторым к другому ПК и использовать Dr.Web Shark любой версии последних лет

[K_Mikhail 807]

я знаю -- тебя надо третьим персонажем в "Злюки-бобры" записать. Ты превзошёл всех претендентов на эту роль.

[Valery Ledovskoy 1082]

я знаю -- тебя надо третьим персонажем в "Злюки-бобры" записать. Ты превзошёл всех претендентов на эту роль. smile.gif

Не, на эту роль годится тот, кто больше всего приложил руку к тому, чтобы я всех превзошёл. Я думал, это невозможно. Но... с Dr.Web возможно всё!

[K_Mikhail 807]

Не, на эту роль годится тот, кто больше всего приложил руку к тому, чтобы я всех превзошёл. Я думал, это невозможно. Но... с Dr.Web возможно всё!

Ты только что, сам того не подозревая, дал новый слоган на случай ребрендинга. Вместо "Защити созданное" -- "С Dr.Web возможно всё!".

[Valery Ledovskoy 1082]

Ты только что, сам того не подозревая, дал новый слоган

Т.е. вместо "Защити созданное [сам]" новый слоган какбэ намекает, что это даже возможно?

[K_Mikhail 807]

Т.е. вместо "Защити созданное [сам]" новый слоган какбэ намекает, что это даже возможно?

И даже не намекает, и не только какбэ.

[Valery Ledovskoy 1082]

Кстати, мало кто знает, что когда уж очень сильно припекло, то новый многопоточный Dr.Web SharkNet может одновременно исследовать несколько компьютеров в сети, которые заражены одной и той же вредоносной программой. А новый язык сценариев позволяет всё сделать в автоматическом режиме при использовании макроса ToDoBeautiful()

[K_Mikhail 807]

Кстати, мало кто знает, что когда уж очень сильно припекло, то новый многопоточный Dr.Web ShбrkNet может одновременно исследовать несколько компьютеров в сети, которые заражены одной и той же вредоносной программой. А новый язык сценариев позволяет всё сделать в автоматическом режиме при использовании макроса ToDoBeautiful()

Кепочку ты всё-таки не получишь, потому не генерируй FR-ы вслух.

[Valery Ledovskoy 1082]

Кепочку ты всё-таки не получишь

А предыдущие отработать?

[K_Mikhail 807]

А предыдущие отработать?

Не наотрабатывался ещё что ли?

[Valery Ledovskoy 1082]

Не наотрабатывался ещё что ли? smile.gif

Я человек честный - в долгу не люблю оставаться. Всё хорошее возвращаю

[Rustock.C 110]

Когда запускаешь "сверхскоростной" Dr.Web Scanner и начинается проверка, то появляется процесс анти-руткита. Логично. Но, когда проверка завершена и сканер закрыт, то этот процесс остаётся "висеть" в системе.

[Valery Ledovskoy 1082]

Rustock.C, это и в 6.0 было особенностью. Так что, видимо, by design. В 6.0 оставался загруженный драйвер. Повторно не загружался, т.е. при повторном запуске сканер детектил, что шилд уже в памяти, и использовал его. Разработчики говорили, что по-другому нельзя.

Вчера, кстати, видел компьютер с dll-кой, которая детектилась 7.0 как Win32.HLLW.Shadow.based (да-да - тот, который Conficker/Kido), но новый сканер удалить её не мог - писал про ошибку лечения. Так что есть куда ещё стремиться. Очень жаль, но компьютер нужно было отдавать. Сканером 6.0 поэтому не просканировал для сравнения. Заметил только, что в системе были скрытые разделы реестра (вернее, разделы не скрытые, а скрыто содержимое внутри них). И эти места реестра соответствуют системным сервисам. Т.е. явно стартуют вредоносные сервисы. Только в пути к одному из таких сервисов (один - как раз та dll в system32, которая не удаляется сканером) - путь к файлу svchost.exe (системному и чистому). Т.е. где-то какая-то ещё подмена, видимо, происходит. В общем, кто и что так делает - до сути не докопался, но Dr.Web 7.0 не справляется, хотя и детектит. Есть вероятность, что принесут этот компьютер ещё раз через некоторое время, и посмотрю подробнее.

[Rustock.C 110]

Разработчики говорили, что по-другому нельзя.

Значит, можно сделать некий вывод о разработчиках

[Valery Ledovskoy 1082]

Значит, можно сделать некий вывод о разработчиках smile.gif

Ну, почему же? Если так можно более эффективно лечить активные руткиты - почему нет? Чем шилд в памяти так сильно мешает?

Т.е. я бы не назвал это каким-то не то чтобы грубым, а вообще недостатком.

Помнится, изначально шилд выгружался, но при этом бывали проблемы со стабильностью работы системы.

Если что - остальные драйвера тоже не выгружаются. Например, когда спайдер становится на паузу, он просто перестаёт проверять файлы на вирусы, но файлы через фильтр проходят. С самозащитой тоже как-то так.

[Rustock.C 110]

Если так можно более эффективно лечить активные руткиты - почему нет?

А если пользователь не запустит проверку, что является вполне типичной ситуацией, то Shield не будет противодействовать активным руткитам?

[K_Mikhail 807]

А если пользователь не запустит проверку, что является вполне типичной ситуацией, то Shield не будет противодействовать активным руткитам?

В 7-й версии DwShield запускается, если в сканере выбран пункт "Rootkits". В 6-й версии DwShield запускается всегда при запуске сканера drweb32w.exe. Исключение -- если пользователем вручную указан ключ командной строки, отключающий старт DwShield.

[Rustock.C 110]

А за что тогда отвечает процесс Dr.Web ® Anti-Rootkit Server, который запускается, к примеру, при быстрой проверке?

[K_Mikhail 807]

А за что тогда отвечает процесс Dr.Web ® Anti-Rootkit Server, который запускается, к примеру, при быстрой проверке?

Ну вот как раз Dr.Web ® Anti-Rootkit Server и есть тот самый привычный DwShield (в 6-й версии).

P.S. Ради эксперимента решил, всё же, более пристально посмотреть прелесть 7-ки с т.зр. лечения активного заражения.

TDL4:

На всякий случай, чтобы убедиться, что инфицирование прошло успешно.

Результат Express проверки:

Результат лечения:

Process C:\WINDOWS\System32\svchost.exe:1108 - infected with BackDoor.Tdss.565HDD1 MBR - infected with BackDoor.Tdss.4005HDD1 MBR - infected...C:\WINDOWS\TEMP\23D.tmp - infected with BackDoor.Tdss.based.7C:\WINDOWS\TEMP\23D.tmp - infectedC:\Documents and Settings\Administrator\Local Settings\Temp\23C.tmp - infected with BackDoor.Tdss.based.7C:\Documents and Settings\Administrator\Local Settings\Temp\23C.tmp - infectedTotal 953702227 bytes in 3758 files scanned (4604 objects)Total 3743 files (4587 objects) are cleanTotal 2 files (4 objects) are infectedTotal 13 files are raised error conditionScan time is 00:11:09-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Process C:\WINDOWS\System32\svchost.exe:1108 - read errorHDD1 MBR - file not foundC:\WINDOWS\TEMP\23D.tmp - deletedC:\Documents and Settings\Administrator\Local Settings\Temp\23C.tmp - deleted

Ну, и Trojan.Bubnix.3, который участвовал в последнем тесте на лечение активного заражения:

Его лечение:

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------c:\windows\system32\drivers\ztolhmhzq.sys - fatal error occured

Как-то так... 6-ка с лечением TDL4 справилась, по ходу.

P.P.S. В голове крутится название акции: "На 7.0 небе от счастья!"

[Valery Ledovskoy 1082]

Ну, теперь понятно, почему у меня не лечился Win32.HLLW.Shadow.based. Мдя... Релиз такой релиз... А оно оно оно...

[kmd 20]

Релиз сырой до ужаса. Еще и жрет ресурсы немерянно. Некоторые называют такие "релизы" бета версиями. Вот интересно, кто теперь будет править все эти баги с лечением ведь Артем Баранов вроде как уже месяц как покинул докторов (http://forum.drweb.com/index.php?showuser=7015). sww там уж как три года нету, неужто самому Данилову теперь придется?)

[sww 486]

Релиз сырой до ужаса. Еще и жрет ресурсы немерянно. Некоторые называют такие "релизы" бета версиями. Вот интересно, кто теперь будет править все эти баги с лечением ведь Артем Баранов вроде как уже месяц как покинул докторов (http://forum.drweb.com/index.php?showuser=7015). sww там уж как три года нету, неужто самому Данилову теперь придется?)

Не, теперь они просто дрочат вприсядку и выпускают говно. Так им и надо

[Valery Ledovskoy 1082]

Непонятен позитив в ответе представителя компании на оффоруме и смех со стороны одного из фанатов:

Фактически в релизе сейчас лечения нет, и оно во внутреннем тестировании, которое непонятно когда окажется у пользователей.

Хорошо хоть, что наши усилия помогают приседающим ускорять исправление существенных недостатков выпущенного релиза.

А вот некоторые производители решений, которые работают в связке с Dr.Web, тем временем высказывают опасения по поводу защищённости своих клиентов...

В той же теме можно увидеть, что проблема с лечением Trojan.Mayachok.1 (аналогичная) была известна по крайней мере 21 сентября, а релиз состоялся 11 октября. Лично мне очень печально.