Перейти к содержанию

Recommended Posts

Falx
В общем, 4.44 - версия промежуточная, так что лучше подождать первых скринов 5-й.

А на форуме поговаивают пятерочка летом выйдет. :o Так что осталось недолго... Наверное... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vorobey1

При попытке удаления программы происходит ИНСТАЛЯЦИЯ вновь т.е. кликаю унинстал Dr.Web - и сообщается что программа установится на мой компьютер. Вопрос: как удалить программу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

триал кончиался, трахает мозг постоянно:

на купленном недавно компе стоит др.веб триальный, при попытке удалить, инсталлятор падает. Что делать и как вычистить эту заразу?

В безопасном режиме теже пироги!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

Никак не могу понять, как такие ситуации у людей получаются, что Dr.Web удаляется некорректно. После таких запросов кучу раз проверял на разных компьютерах. Нормально устанавливается и нормально штатными средствами удаляется из системы.

Возможно, в системе был установлен не 1 антивирус?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

такая же ерунда, только не падает. а зависает при попытке удалить Spider mail пришлось ручками фиксить..

ссылка на wiki пустая

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Ссылка рабочая, просто форум не берёт значок ® в ссылке.

Если вручную добавить, то всё будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Valery Ledovskoy

А поставить, дождаться очередного обновления модулей, и только потом попробовать удалить - не пробовали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А поставить, дождаться очередного обновления модулей, и только потом попробовать удалить - не пробовали?

Пробовал неоднократно.

Может, конечно, везло ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

У меня где-то семь-восемь месяцев назад такая ошибка воспроизводилась регулярно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Вау!!!

Сегодня обновился доктор - появился драйвер у него!!!

Я так и не заметил и по привычке запустил сканер :) зря я это сделал

:D

Система тут же рухнула в BSOD

У меня же еще стоит Каспер бетка :D

Карочь - теперь сканером так просто не по-пользуешься - нужно теперь смотреть, что стоит на компе.

Здесь:

http://forum.drweb.com/viewtopic.php?t=5134

Alexander Goryachev

пишет - что доктор нашел koos.exe в системном каталоге - это меня обрадовало!!! Для тех кто не в курсе - это Trojan-Proxy.Win32.Wopla (по-классификации Касперского) - имеет мощный руткит kernel mode (там правда еще 2 файла без расширения должны быть - poof и proof - драйверы). Поздравляю - DrWeb стал видеть руткиты (да еще такого..). Вот удалит или нет -сейчас проверю).

Добавлено спустя 48 минут 50 секунд:

Отлично!!

koos.exe был обнаружен и удален!!

Вот только 2 драйвера доктор почему -то не увидел :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Система тут же рухнула в BSOD

Да, БСОДы могут быть. Желательно сообщать об этом на http://bugs.drweb.com с учётом http://bugs.drweb.com/ru.hints.html

Это ж бета-тестирование, а тестирование и призвано обнаруживать ошибки.

У меня не падает, хотя в предыдущей реинкарнации этого драйвера падения были постоянными (P4 Prescott с HT никак не нравился ни этому драйверу, ни даже спайдеру). В 4.44 всё норма.

Вот только 2 драйвера доктор почему -то не увидел Sad

Может, просто в базе их нет? Что, если отправить, чтоб добавили, а затем повторить эксперимент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Да, БСОДы могут быть. Желательно сообщать об этом на http://bugs.drweb.com с учётом http://bugs.drweb.com/ru.hints.html

Это ж бета-тестирование, а тестирование и призвано обнаруживать ошибки.

:)

Наличие беты каспера на компе vaber безусловно ошибка, о которой нужно обязательно сообщить на http://bugs.drweb.com ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Наличие беты каспера на компе vaber безусловно ошибка

Ничего подобного. Наши разработчики уже и на форуме сообщили о том, что они сделали всё возможное, чтобы оба монитора работали одновременно и не мешали друг другу. Правда, речь шла о совместимости с релизной версией К. Но это не мешает сообщить о несовместимости с бетой.

Конечно, эта конфигурация не является типичной или нормальной (использование двух файловых мониторов до сих пор официально не поддерживается), но это безусловно повод для публикации ошибки на http://bugs.drweb.com

Добавлено спустя 27 минут 52 секунды:

Как сообщили только что разработчики, совместимость существует лишь с драйвером файлового монитора (SpIDer Guard). Совместимости для антируткита пока нет. Поэтому запускать файловый монитор К. и антируткит от Dr.Web на данный момент не стОит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko
Система тут же рухнула в BSOD

У меня же еще стоит Каспер бетка

А вы посмотрите, систему уронил, наверняка, не drwshield.sys... :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Да, БСОДы могут быть. Желательно сообщать об этом на http://bugs.drweb.com с учётом http://bugs.drweb.com/ru.hints.html

Это ж бета-тестирование, а тестирование и призвано обнаруживать ошибки.

У меня не падает, хотя в предыдущей реинкарнации этого драйвера падения были постоянными (P4 Prescott с HT никак не нравился ни этому драйверу, ни даже спайдеру). В 4.44 всё норма.

ок.

Система падает потому, что присутствует и дравер Касперского в системе - вместе они не уживаются :(

Конечно будет отлично, если эта проблема будет исправлена - многие устанавливают сканер доктора на флешку - очень удобно. Но теперь при запуске сканера происходит регистрация и загрузка драйвера - после чего собсно и BSOD. Не удобно тем, что теперь чтобы пролечить (проверить) кому-нить комп -нужно смотреть что у него установлено прежде чем запускать сканер.

Может, просто в базе их нет? Что, если отправить, чтоб добавили, а затем повторить эксперимент?

В базах есть - после снятия хуков файлы стали видны и детектируюся как

ntrootkit?? - как-то так.

Ничего подобного. Наши разработчики уже и на форуме сообщили о том, что они сделали всё возможное, чтобы оба монитора работали одновременно и не мешали друг другу. Правда, речь шла о совместимости с релизной версией К. Но это не мешает сообщить о несовместимости с бетой.

Нет, 2 монитора я еще не устанавливал :)

А вы посмотрите, систему уронил, наверняка, не drwshield.sys..

0x0000008E

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
0x0000008E

"Ужасный код, шкипер! Не могу его расшифровать." (с) "Мадагаскар" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergeyko

gf

0x0000008E

"Ужасный код, шкипер! Не могу его расшифровать." (с) "Мадагаскар"

klif падает, не может вынести откровения, что SDT не его личная собственность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Проверил Доктора с новым драйвером на нескольких малварах - Trojan-Spy.Win32.Goldun.np (обнаружены и удалены драйвер и библиотека),Trojan-Clicker.Win32.Costrat.af - не обнаружен :(

Что касается зловредов, которые восстанавливаются - Email-Worm.Win32.Scano.ac - удален, Trojan-Proxy.Win32.Xorpix.am - удален.

Xorpix - помимо того, что восстанавливает свой ключ автозапуска, еще и блокирует доступ к себе. Drweb его успешно обнаружил.

Scano - восстанавливает себя после удаления, атак же ключ автозапуска с помощью удаленных потоков.

При выборе действия "удалить" доктор удаляет файл (Scano) и ключ автозагрузки. С Xorpix - удаляет ключ автозагрузки. Ключи не восстанавливаются, т.к. драйвер dwshield.sys перехватывает следующие API для блокировки работы с реестром: NtCreateKey и NtSetValueKey.

После перезагрузки Scano мертвым лежит в папке виндовс.

DrWeb.PNG

post-173-1178634911.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists

2 Valery Ledovskoy:

Валерий, подскажите пожалуйста, а BSOD, происходящий при запуске сканера Drweb v4.44 в случае наличия в системе запущенных драйверов Kav (релизных версий), в принципе, считается ли чем-то не вполне приемлимым?

В результате обсуждения в теме

Dr.Web Shield и Dr.Web CureIt!

http://forum.drweb.com/viewtopic.php?t=5151

не вполне ясно, будет ли данная ситуация изменена.

Приязнь приязнью, но кто в итоге от этого теряет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, подскажите пожалуйста, а BSOD, происходящий при запуске сканера Drweb v4.44 в случае наличия в системе запущенных драйверов Kav (релизных версий), в принципе, считается ли чем-то не вполне приемлимым?

Нет, не считается. И, хотя падаем не мы, совместимость с соответствующими драйверами КАВ и некоторыми другими не вполне корректно работающими драйверами уже реализована в шилде.

не вполне ясно, будет ли данная ситуация изменена.

Уже изменена.

Приязнь приязнью, но кто в итоге от этого теряет...

Никакой тут неприязни нет. Обычный рабочий момент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А не поспользуются ли этой совместимостью вирмейкеры?

Если есть совместимость в КАВом, то можно ведь сделать вредоноса, который будет вести себя как КАВ и Доктор в этом случае будет с ним мирно уживаться :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Если есть совместимость в КАВом, то можно ведь сделать вредоноса, который будет вести себя как КАВ и Доктор в этом случае будет с ним мирно уживаться

Никакой связи. Просто при наличии такого вируса, маскирующегося под драйвер КАВа, сканер с шилдом не упадёт, а корректно его (вредоносный драйвер) удалит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

Решил проверить способность удалять распространенные малвары с функцией защиты от удаления/обнаружения с помощью DrWeb 4.33 и DrWeb 4.44 с настройками по-умолчанию и сравнить результаты.

Trojan.Virtumod (AdWare.Win32.Virtumonde.if)

Восстанавливает ключ автозапуска, использование библиотек системными процессами.

DrWeb 4.33 - обнаружен, но не удален

DrWeb 4.44 beta - обнаружен и удален

Win32.HLLM.Perf (Email-Worm.Win32.Scano.ay)

Восстановление файла и ключа реестра. В случае удаления файла - не загрузится Explorer.

DrWeb 4.33 - обнаружен, но не удален

DrWeb 4.44 beta - обнаружен и удален

BackDoor.Uragan (Trojan-Proxy.Win32.Xorpix.ay)

Монопольный доступ, восстановление ключа реестра.

DrWeb 4.33 - обнаруживает, но не удаляет (сканер не обнаруживает). После старта системы монитор блокирует доступ к файлу, но вирус работает.

DrWeb 4.44 beta - сканер удаляет, если не работает спайдер.

Trojan.PWS.GoldSpy (Trojan-Spy.Win32.Goldun.np)

Ядерный руткит (kernel mode)

DrWeb 4.33 - зависает система после старта

DrWeb 4.44 beta - обнаружены и удалены драйвер и библиотека.

BackDoor.ShellBot (Trojan-Proxy.Win32.Agent.lb)

Руткит режима пользователя (user mode).

DrWeb 4.33 - не обнаружен

DrWeb 4.44 beta - обнаружен и удален после 2-ух проходов

Trojan.Spambot (Trojan-Clicker.Win32.Costrat.af)

Ядерный руткит (kernel mode)

DrWeb 4.33 - не обнаружен

DrWeb 4.44 beta - обнаружен и удален

На скриншотах показан детект Trojan.Spambot и BackDoor.ShellBot, т.к. функция обнаружения руткитов в версии 4.33 отсутствует.

Как видно, версия 4.44 куда более эффективна в борьбе с вирусами, нежели 4.33

Думаю, DrWeb 4.44 хорошо покажет себя в тесте "Лечение активного заражения-2" в июле.

Trojan_Proxy.Win32.Agent.lb.PNG

Trojan_Clicker.Win32.Costrat.af.PNG

post-173-1182785337.png

post-1-1182785337.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NEON

Интересно, в новой версии будет поддержка MS Exchange?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Думаю, DrWeb 4.44 хорошо покажет себя в тесте

Отличные результаты! Поздравляю команду "Доктор Веб", прекрасная работа!

ЗЫ Отдельное спасибо vaber'у за проведенный тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×