Перейти к содержимому


Фото
- - - - -

Ложное (но сложное) срабатывание SpIDer Guard

Автор flashDRWEB , авг 21 2014 15:30

  • Please log in to reply
32 ответов в этой теме

#21 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 26 Август 2014 - 09:49

Выделено мною.

Понял, спасибо.


#22 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 27 Август 2014 - 08:57

Добрый день

В SpIDer Guard->Исключаемые процессы указал полный путь к создаваемому файлу - срабатываний не было.

Всем спасибо за помощь


#23 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 27 Август 2014 - 10:48

теперь нужно отправить в вирлаб и починить фолс. это детект базами/движком. похоже на флайкод.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#24 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 27 Август 2014 - 10:49

только в вирлаб оно должно попасть в запускаемом виде. иначе не починить
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#25 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 27 Август 2014 - 15:43

теперь нужно отправить в вирлаб и починить фолс. это детект базами/движком. похоже на флайкод.

Я бы с удовольствием, только что передать в Лабораторию?

Любой EXE-ник, попавший в Менеджера Карантина по описываемому поводу и восстановленный оттуда:

 - не запускается нормально;

 - не детектируется, как Угроза (http://online.drweb.com)

 

PS: Да, пишется что ".exe packed by FLY-CODE"  но специально никаких упаковщиков и т.д. не применяться.


Сообщение было изменено flashDRWEB: 27 Август 2014 - 15:47

#26 VVS

VVS

    The Master

  • Moderators
  • 19 408 Сообщений:

Отправлено 27 Август 2014 - 15:58

 

теперь нужно отправить в вирлаб и починить фолс. это детект базами/движком. похоже на флайкод.

Я бы с удовольствием, только что передать в Лабораторию?

Любой EXE-ник, попавший в Менеджера Карантина по описываемому поводу и восстановленный оттуда:

 - не запускается нормально;

И после перезагрузки компа тоже?


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid

#27 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 27 Август 2014 - 17:07

И после перезагрузки компа тоже?

Сейчас проверил по оставшимся в Карантине файлам - был не прав: есть файлы, которые нормально запускаются, есть - "битые", т.е. их размер значительно меньше оригинала и при запуске Run-time error

Но и те и те не детектируются, как угроза


#28 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 15 Сентябрь 2014 - 15:49

Добрый день

"Благополучно" забыв о директориях исключения, работал сегодня с другим проектом...и вот, получай...гранату

 

 

c6091eeea2f5a64ea1b6ea97bc8a1349.jpg

 

 

Файл в менеджере карантина есть.

 

 

b6816044bb1b92ff970158faf0f0c995.jpg

 

Достаем, проверяем Сканером - все нормально

 

 

e6b6227cc73e17bd61bb2a5f6475dd45.jpg

 

 

Товарищи DrWeбовцы, ну давайте что-то сделаем с этим !!!

 

 

 


Сообщение было изменено flashDRWEB: 15 Сентябрь 2014 - 15:53

#29 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 15 Сентябрь 2014 - 16:41

flashDRWEB, можно файл в ЛС?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#30 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 15 Сентябрь 2014 - 16:41

Чтобы что-то сделать, нужны файлы.


Личный сайт по Энкодерам - http://vmartyanov.ru/

#31 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 15 Сентябрь 2014 - 17:22

flashDRWEB, можно файл в ЛС?

 

Можно, но проблема-не в файле, проблема - в запуске файлов под отладчиком среды программирования.

Проблема возникает с любыми проектами, содержащие совершенно не коррелируемый друг с другом код.

Общее - запуск приложение под отладчиком: именно в этот момент происходит срабатывание DrWeb


#32 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 15 Сентябрь 2014 - 18:20

 

flashDRWEB, можно файл в ЛС?

 

Можно, но проблема-не в файле, проблема - в запуске файлов под отладчиком среды программирования.

Проблема возникает с любыми проектами, содержащие совершенно не коррелируемый друг с другом код.

Общее - запуск приложение под отладчиком: именно в этот момент происходит срабатывание DrWeb

 

Запуск отладочной версии вне отладчика с теми же параметрами не приводит к срабатыванию?


Личный сайт по Энкодерам - http://vmartyanov.ru/

#33 flashDRWEB

flashDRWEB

    Newbie

  • Posters
  • 32 Сообщений:

Отправлено 15 Сентябрь 2014 - 18:37

Запуск отладочной версии вне отладчика с теми же параметрами не приводит к срабатыванию?

Неизвестно, потому что:

- ложное срабатывание происходит бессистемно: можно день проработать - ничего не происходит а можно в течении часа поймать несколько; (Возможно Trojan.Packed.194)

 

http://forum.drweb.com/index.php?showtopic=318403&p=732468


Назад к Общие вопросы

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Общие вопросы
  4. Privacy Policy
  5. Terms & Rules ·