Перейти к содержанию
K_Mikhail

Новая версия персональных продуктов Dr.Web для Windows 7.0: высокая скорость сканирования и управление антивирусной сетью в домашних условиях

Recommended Posts

Valery Ledovskoy
Может я и ошибаюсь, вам виднее.

В любом случае, наверное, когда стартует агент, некоторые из компонентов уже работают. Но тогда это дезинформация.

Тогда нужно для компонентов, от которых информация ещё не поступила писать что-то типа "Ожидание информации" и кружочек какой-нибудь жёлтый, например. Но не "Не запущен".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EzzO
Да, 6-ой версии.

обновленный движок пока в бете. Его нет в составе продуктов 7.0 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сегодня попробовал поставить 7.0 на один из домашних ноутов, в качестве эксперимента, поэтому несколько комментов после установки.

1. Во время установки прогресс-бар установки постоянно циклически сбрасывается на 0. Понять, когда примерно закончится установка, теперь невозможно.

2. Dr.Web выпил фанты и своим оптимизированным движком остановил ноут с 3 ГБ оперативки. 6.0 там так не тормозила.

3. В многопоточном сканере показывается один текущий сканируемый объект. Куда делись задумки, придуманные ранее? Как понять, что в одном из потоков что-то начало очень долго проверяться?

4. В новом сканере вообще никак не отображается общее время, прошедшее с начала сканирования. В место этого для чего-то стоит время начала сканирования. Чтобы узнать, сколько заняло сканирование, нужно совершать арифметические действия. ИМХО, борьба с тестировщиками (особенно - как бы для кого-то это слово ни звучало) :)

В общем, непроходящее уже час ощущение того, что нас чего-то лишили или чего-то недодали. С пессимизмом жду релиза ES 7.0 и думаю о ноутах с 512МБ оперативы... :(

А вот Dr.Web Shark радует! Супер-комплекс! Молодцы! Пользуюсь каждый день! :)

Да, мы готовим продукт Dr.Web Shark. Скоро выйдет версия x.xx (не знаю пока ее номер, но возможно это будет уже 5.00 :), в которой у нас будет очень хорошая «чистка» реестра. Вам понравится :-)

(с) http://info.drweb.com/info/interview.pdf, 24 июня 2008

И уже в ноябре того же года оно вышло:

http://www.slideshare.net/guestf91cfe/dw-shark-ru

И вот с этой версии прям и пользуюсь до сегодняшнего дня :)

И на форумах везде рекомендуют:

http://www.safensoft.ru/forum/viewtopic.ph...p;start=20#p432

5) подключить диск вторым к другому ПК и использовать Dr.Web Shark любой версии последних лет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

я знаю -- тебя надо третьим персонажем в "Злюки-бобры" записать. Ты превзошёл всех претендентов на эту роль. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
я знаю -- тебя надо третьим персонажем в "Злюки-бобры" записать. Ты превзошёл всех претендентов на эту роль. smile.gif

Не, на эту роль годится тот, кто больше всего приложил руку к тому, чтобы я всех превзошёл. Я думал, это невозможно. Но... с Dr.Web возможно всё! :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Не, на эту роль годится тот, кто больше всего приложил руку к тому, чтобы я всех превзошёл. Я думал, это невозможно. Но... с Dr.Web возможно всё! :lol:

Ты только что, сам того не подозревая, дал новый слоган на случай ребрендинга. Вместо "Защити созданное" -- "С Dr.Web возможно всё!".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ты только что, сам того не подозревая, дал новый слоган

Т.е. вместо "Защити созданное [сам]" новый слоган какбэ намекает, что это даже возможно? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Т.е. вместо "Защити созданное [сам]" новый слоган какбэ намекает, что это даже возможно? :D

И даже не намекает, и не только какбэ. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Кстати, мало кто знает, что когда уж очень сильно припекло, то новый многопоточный Dr.Web SharkNet может одновременно исследовать несколько компьютеров в сети, которые заражены одной и той же вредоносной программой. А новый язык сценариев позволяет всё сделать в автоматическом режиме при использовании макроса ToDoBeautiful() :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Кстати, мало кто знает, что когда уж очень сильно припекло, то новый многопоточный Dr.Web ShбrkNet может одновременно исследовать несколько компьютеров в сети, которые заражены одной и той же вредоносной программой. А новый язык сценариев позволяет всё сделать в автоматическом режиме при использовании макроса ToDoBeautiful() :P

Кепочку ты всё-таки не получишь, потому не генерируй FR-ы вслух. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Кепочку ты всё-таки не получишь

А предыдущие отработать? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А предыдущие отработать? :)

Не наотрабатывался ещё что ли? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Не наотрабатывался ещё что ли? smile.gif

Я человек честный - в долгу не люблю оставаться. Всё хорошее возвращаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Когда запускаешь "сверхскоростной" Dr.Web Scanner и начинается проверка, то появляется процесс анти-руткита. Логично. Но, когда проверка завершена и сканер закрыт, то этот процесс остаётся "висеть" в системе.

ооо.PNG

post-12086-1319195100_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Rustock.C, это и в 6.0 было особенностью. Так что, видимо, by design. В 6.0 оставался загруженный драйвер. Повторно не загружался, т.е. при повторном запуске сканер детектил, что шилд уже в памяти, и использовал его. Разработчики говорили, что по-другому нельзя.

Вчера, кстати, видел компьютер с dll-кой, которая детектилась 7.0 как Win32.HLLW.Shadow.based (да-да - тот, который Conficker/Kido), но новый сканер удалить её не мог - писал про ошибку лечения. Так что есть куда ещё стремиться. Очень жаль, но компьютер нужно было отдавать. Сканером 6.0 поэтому не просканировал для сравнения. Заметил только, что в системе были скрытые разделы реестра (вернее, разделы не скрытые, а скрыто содержимое внутри них). И эти места реестра соответствуют системным сервисам. Т.е. явно стартуют вредоносные сервисы. Только в пути к одному из таких сервисов (один - как раз та dll в system32, которая не удаляется сканером) - путь к файлу svchost.exe (системному и чистому). Т.е. где-то какая-то ещё подмена, видимо, происходит. В общем, кто и что так делает - до сути не докопался, но Dr.Web 7.0 не справляется, хотя и детектит. Есть вероятность, что принесут этот компьютер ещё раз через некоторое время, и посмотрю подробнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Разработчики говорили, что по-другому нельзя.

Значит, можно сделать некий вывод о разработчиках :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Значит, можно сделать некий вывод о разработчиках smile.gif

Ну, почему же? Если так можно более эффективно лечить активные руткиты - почему нет? Чем шилд в памяти так сильно мешает?

Т.е. я бы не назвал это каким-то не то чтобы грубым, а вообще недостатком.

Помнится, изначально шилд выгружался, но при этом бывали проблемы со стабильностью работы системы.

Если что - остальные драйвера тоже не выгружаются. Например, когда спайдер становится на паузу, он просто перестаёт проверять файлы на вирусы, но файлы через фильтр проходят. С самозащитой тоже как-то так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Если так можно более эффективно лечить активные руткиты - почему нет?

А если пользователь не запустит проверку, что является вполне типичной ситуацией, то Shield не будет противодействовать активным руткитам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А если пользователь не запустит проверку, что является вполне типичной ситуацией, то Shield не будет противодействовать активным руткитам?

В 7-й версии DwShield запускается, если в сканере выбран пункт "Rootkits". В 6-й версии DwShield запускается всегда при запуске сканера drweb32w.exe. Исключение -- если пользователем вручную указан ключ командной строки, отключающий старт DwShield.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

А за что тогда отвечает процесс Dr.Web ® Anti-Rootkit Server, который запускается, к примеру, при быстрой проверке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
А за что тогда отвечает процесс Dr.Web ® Anti-Rootkit Server, который запускается, к примеру, при быстрой проверке?

Ну вот как раз Dr.Web ® Anti-Rootkit Server и есть тот самый привычный DwShield (в 6-й версии).

P.S. Ради эксперимента решил, всё же, более пристально посмотреть прелесть 7-ки с т.зр. лечения активного заражения.

TDL4:

tdl4_gmer.PNG

На всякий случай, чтобы убедиться, что инфицирование прошло успешно.

Результат Express проверки:

tdl4_drweb7_express_scan.PNG

Результат лечения:

tdl4_drweb7_express_scan_curing.PNG

Process C:\WINDOWS\System32\svchost.exe:1108 - infected with BackDoor.Tdss.565HDD1 MBR - infected with BackDoor.Tdss.4005HDD1 MBR - infected...C:\WINDOWS\TEMP\23D.tmp - infected with BackDoor.Tdss.based.7C:\WINDOWS\TEMP\23D.tmp - infectedC:\Documents and Settings\Administrator\Local Settings\Temp\23C.tmp - infected with BackDoor.Tdss.based.7C:\Documents and Settings\Administrator\Local Settings\Temp\23C.tmp - infectedTotal 953702227 bytes in 3758 files scanned (4604 objects)Total 3743 files (4587 objects) are cleanTotal 2 files (4 objects) are infectedTotal 13 files are raised error conditionScan time is 00:11:09-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------Process C:\WINDOWS\System32\svchost.exe:1108 - read errorHDD1 MBR - file not foundC:\WINDOWS\TEMP\23D.tmp - deletedC:\Documents and Settings\Administrator\Local Settings\Temp\23C.tmp - deleted

Ну, и Trojan.Bubnix.3, который участвовал в последнем тесте на лечение активного заражения:

bubnix.PNG

Его лечение:

bubnix_curing.PNG

-----------------------------------------------------------------------------Start curing-----------------------------------------------------------------------------c:\windows\system32\drivers\ztolhmhzq.sys - fatal error occured

Как-то так... 6-ка с лечением TDL4 справилась, по ходу.

P.P.S. В голове крутится название акции: "На 7.0 небе от счастья!"

post-270-1319405708_thumb.png

post-270-1319405786_thumb.png

post-270-1319405830_thumb.png

post-270-1319405981_thumb.png

post-270-1319406004_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Ну, теперь понятно, почему у меня не лечился Win32.HLLW.Shadow.based. Мдя... Релиз такой релиз... А оно оно оно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kmd

Релиз сырой до ужаса. Еще и жрет ресурсы немерянно. Некоторые называют такие "релизы" бета версиями. Вот интересно, кто теперь будет править все эти баги с лечением ведь Артем Баранов вроде как уже месяц как покинул докторов (http://forum.drweb.com/index.php?showuser=7015). sww там уж как три года нету, неужто самому Данилову теперь придется?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Релиз сырой до ужаса. Еще и жрет ресурсы немерянно. Некоторые называют такие "релизы" бета версиями. Вот интересно, кто теперь будет править все эти баги с лечением ведь Артем Баранов вроде как уже месяц как покинул докторов (http://forum.drweb.com/index.php?showuser=7015). sww там уж как три года нету, неужто самому Данилову теперь придется?)

Не, теперь они просто дрочат вприсядку и выпускают говно. Так им и надо :lol:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Непонятен позитив в ответе представителя компании на оффоруме и смех со стороны одного из фанатов:

01.PNG

Фактически в релизе сейчас лечения нет, и оно во внутреннем тестировании, которое непонятно когда окажется у пользователей.

Хорошо хоть, что наши усилия помогают приседающим ускорять исправление существенных недостатков выпущенного релиза.

А вот некоторые производители решений, которые работают в связке с Dr.Web, тем временем высказывают опасения по поводу защищённости своих клиентов...

В той же теме можно увидеть, что проблема с лечением Trojan.Mayachok.1 (аналогичная) была известна по крайней мере 21 сентября, а релиз состоялся 11 октября. Лично мне очень печально.

post-322-1319453256_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×