11 ответов в этой теме

[AleksRazgul]

Пишу свою программу и DrWeb постоянно, после компиляции моей программы и запуска, кидает её в карантин (говорит что DPH: Trojan.Inject.3).

Для меня не удивительно что DrWeb принимает её за вирус. Она действительно запускает поток в процессе другой программы, загружает свою динамическую библиотеку, перехватывает и изменяет поведение некоторых WinAPI функций в этом процессе. И таким образом изменяет поведение этой другой программы. (а именно так могут действовать многие вирусы) Но...

Это моя программа и соответственно я уверен что ни каких вредных действий она не производит. Что бы DrWeb не блокировал её я добавляю в исключения папку со своей программой (ту папку в которой лежит EXE файл), папку с программой поведение которой я модифицирую (там же лежит библиотека от моей программы), также добавляю в исключения файлы: свой EXE файл, свою библиотеку, EXE файл чужой программы (модифицируемой). Но все эти манипуляции помогают только пока я не изменю свою программу, после изменения и перекомпиляции моей программы DrWeb снова швыряет её в карантин. Не помогает даже отключение SpiDer Guard.

Мне не сложно вытащить из карантина EXEшник, он конечно возвращается на место, но он остается заблокированным антивирусником. И что бы снять блокировку приходится перезагружать ОС.

Как все таки добавить программу с определенным именем и положением на диске, в исключения, что бы он не проверялся ни при каких обстоятельствах?

Как временно отключить DrWeb? (отключение SpiDer Guard, SpiDer Gate, SpiDer Mail, родительский контроль не помогает, фаервол от DrWeb у меня не установлен)

Как снять блокировку с файла вытащенного из карантина?

 

Отчет прикрепил.

Прикрепленные файлы:

•  ANTIPK_Admin_220816_171936.zip   7,94Мб   3 Скачано раз

[SergSG]

Эт, если не ошибаюсь, превентивка блокирует. Отключать ее не пробовали?

[AleksRazgul]

Пару советов мне уже дали в другой теме этого форума:

в частности сообщили что за проверку DPH отвечает "превентивная защита", и соответственно нужно настоить её. Я смотрел в её настройки еще до обращения на форум, и не нашел тех действий которые могли бы вызвать подозрения к моей программе (не обращаюсь ни к реестру, ни к файлу HOSTS, ни на прямую к жесткому диску и т.д.).

Попробую отключить её совсем, если поможет, попробую перебором подобрать какие разрешения позволят работать моей программе. И отпишусь здесь.

[SergSG]

Пару советов мне уже дали в другой теме этого форума:

в частности сообщили что за проверку DPH отвечает "превентивная защита", и соответственно нужно настоить её. Я смотрел в её настройки еще до обращения на форум, и не нашел тех действий которые могли бы вызвать подозрения к моей программе (не обращаюсь ни к реестру, ни к файлу HOSTS, ни на прямую к жесткому диску и т.д.).

Попробую отключить её совсем, если поможет, попробую перебором подобрать какие разрешения позволят работать моей программе. И отпишусь здесь.

Попробуйте в превентивке создать персональное правило и разрешить модификацию для той программы, в которую инжетитесь своим экзешником.

Сообщение было изменено SergSG: 22 Август 2016 - 17:43

[AleksRazgul]

Эт, если не ошибаюсь, превентивка блокирует. Отключать ее не пробовали?

Отключать полностью не хотелось бы (осуществляется доступ в интернет, и не хотелось чтобы какой-нибудь новый вирус изменил мне файл HOSTS или накуралесил в реестре), не если настроить не получится, а отключение поможет, то придется действовать именно так.

[VVS]

"Целостность запущенных приложений"

[VVS]

Ну и, судя по написанному Вами, я б это ложным срабатыванием не назвал бы.

[AleksRazgul]

SergSG, VVS

Спасибо. Да помогло именно отключение "превентивной защиты" полностью, или добавление правила для моей программы (Целостность запущенных приложений - Разрешить (без вопросов) или Спрашивать (при определенных действиях моей проги всплывает окно DrWeb с предупреждением и выбором действия)).

Два вопроса из трех закрыты, но третий остался (файл восстановленный из карантина заблокирован). Хотя для меня он уже не имеет значения.

 

Ну и, судя по написанному Вами, я б это ложным срабатыванием не назвал бы.

 

Да реакция DrWeb адекватная, но название темы все таки оставлю как есть, другие неопытные пользователи могут повторить мою ошибку: вроде добавил в исключения (как выяснилось не туда), а детекция всё равно происходит.

Сообщение было изменено VVS: 22 Август 2016 - 18:26

[Konstantin Yudin]

Если из файла породились активные сущности, процесс, модуль, драйвер и т.п то такой объект блокируется до ребута, так же блокируется повторное заражение, так же до ребута. Это не отключаемо. И похоже псле прихода нового анализатора отломалась фича блока рестора из карвнтина.

[AleksRazgul]

Если из файла породились активные сущности, процесс, модуль, драйвер и т.п то такой объект блокируется до ребута,

В моем случае блокируется доступ именно к самой "подозрительной" программе.

 

так же блокируется повторное заражение, так же до ребута.

Что это значит я не понял. Программа блокируется совсем, не запускается, нет доступа.

 

И похоже псле прихода нового анализатора отломалась фича блока рестора из карвнтина.

Если я правильно понял, то проблема конкретно с моим экземпляром DrWeb. То есть если я переустановлю DrWeb, то проблема может исчезнуть?

[SergSG]

 

И похоже псле прихода нового анализатора отломалась фича блока рестора из карвнтина.

Если я правильно понял, то проблема конкретно с моим экземпляром DrWeb. То есть если я переустановлю DrWeb, то проблема может исчезнуть?

Нет.

Блокируется все правильно, а вот восстаналиваться из карантина до ребута не должно.

[AleksRazgul]

Блокируется все правильно, а вот восстаналиваться из карантина до ребута не должно.

Ок. Спасибо за разъяснения. Все вопросы закрыты.