40 ответов в этой теме

[VVS]

Но, если говорить о моём поведении в этой теме, то при рекомендуемом в теме об интерфейсе способе получения ответа на конкретный вопрос что именно делает трейнер, много лет считаемый другими АВ трейнером, чтобы у вас считаться трояном, пошли я его на проверку, какой ответ я получу? «Это троян». Просто и гениально.

Я не знаю, какой ответ Вы получили бы, если бы отправили запрос в вирлаб, но, скорее всего, Вы его уже получили бы.

Вполне вероятно, что Вы получили бы ответ, что это ложное срабатывание и оно исправлено.
Но Вы, как я понял, решили не отправлять...
 

По этой теме. Я указал на ошибку, возникающую при дефолтных настройках на работающем компьютере, в продукте, который заявлен не отличающимся от полной версии, установленной у значительного числа пользователей Dr.Web и попросил её решения, по просьбе сотрудника выслав логи, какие смог – теперь знаю, что не те. Я запустил третий раз полную проверку, когда другой пользователь уже стёр бы АВ и поставил другой. Прислал вам скрин с именами и размером файлов. Неужели никто в Dr.Web не знает, что это за файлы?

Это временные файлы доктора.
 

Почему они занимают ВСЁ место на диске – вот мой вопрос. Если решение есть, и мне не отвечают, то это не очень хорошо. Если его нет, и мне не отвечают, что оно будет позже, это неприятно. Так не должно быть, и вечер воскресенья – не оправдание для техподдержки 2-й в России компании – разработчика антивирусов, созданной первой. За решение я готов заплатить сегодня. Нет – вероятно, я спрошу через год. Просто скажите, знаете ли вы эту проблему?

Я с такой проблемой сам не встречался и на форуме такую проблему не видел.

Завтра проконсультируюсь с поддержкой...

[АВаТар]

АВаТар, Ни во время, ни после проверки они не удалялись, пока я не отключил антивирус.

Удалять их надо ДО проверки антивирусом. Неужели это не очевидно?

[Dreddy]

Удалять их надо ДО проверки антивирусом. Неужели это не очевидно?

 

На скрине на предыдущей странице - https://forum.drweb.com/uploads/monthly_02_2025/post-85494-0-78797200-1739049146.jpg - последний столбец - дата создания файла. До проверки я очистил temp, кроме того, что не удалялось. Все файлы .tmp созданы антивирусом во время проверки.

Сообщение было изменено Dreddy: 09 Февраль 2025 - 23:11

[basid]

Типично, огромные временные файлы будут создаваться, если вы "зарядили" на проверку "матрёшки". Т.е. у вас был огроменный файл - iso, vhd(x), wim и вот это вот всё. Вы упаковали несколько таких файлов в архив, потом ещё несколько, а потом - упаковали несколько огромных архивов в один совсем гигантский.

Если сканеру или, упаси боже, спайдеру задана проверка архивов, то вся эта матрёшка послойно вытряхнется в каталог временных файлов, что может произвести просто фееричное впечатление на неподготовленную публику.

[АВаТар]

basid, Видимо, в этом всё дело. И зачем только такие "матрёшки" делают?... (риторический вопрос)

Можно же изначально распаковать всё содержимое "матрёшки" (не антивирусом, естественно) в логическую древовидную структуру со своими папками и файлами. А потом всю эту махину solid-но сжать хорошим архиватором. И усё... Проверяться антивирусом он будет легче.

 

Хинт: А если при изначальной распаковке "матрёшки" на машине был установлен хороший антивирус, то и проверять потом такой архив особого смысла нет. Когда он понадобится для дела, антивирус ещё раз всё проверит уже с новыми базами и алгоритмами.

[VVS]

Простого способа определить, проверка какого архива вызывает такой эффект, я не вижу.

Если задача состоит в том, чтобы найти этот файл, то я вижу 2 возможных пути её решения:

1. Искать на дисках "толстые" архивы и по одному проверять их, пока не будет найден искомый.

2. Воспользоваться процмоном от Русиновича и искать в нём, что читает доктор в момент записи им этого громадного файла.

[Dolmatov]

Ещё есть системный монитор ресурсов. В актуальной ОС вызывается через диспетчер задач. Там тоже отслеживается чтение/запись на диск по файлам, в т.ч. если будет от имени системного процесса. Только открывать его лучше заранее и рядом с антивирусом, чтобы при нагрузке/зависании ПК без больших задержек следить за информацией.

[Dreddy]

Жаль, что не срослось. Я Касперу немало лицензий среди своих принёс. Ну, силой заставлять брать деньги было бы странно. В любом случае, торопиться некуда – решения этой, я так понял, новой проблемы я могу подождать 366 дней. У меня есть пара образов систем по несколько ГБ каждая, никто их не сжимал, никакому из стоявших когда-либо у меня АВ они не мешали работать. Если где-то есть гипотетическая дискуссия «трейнер или троян», пожалуйста, дайте ссылку, чтобы не оффтопить. Вы уж извините меня, если что, я, пожалуй, не буду ещё несколько раз повторять вопрос «что делает программа», если его трудно понять. Свои трейнеры, какие вспомню, что успел найти Dr.Web, вышлю на проверку, как с компами разберусь. Отчёт погиб оба раза. Кстати, насколько я помню, у Касперского ещё в две тысячи лохматые годы было что-то типа каталога вирусов. Если он и жив, спросить его, что они делают вряд ли удастся – он их даже как RiskWare не обозначил. Если сохраните открытой тему с ошибкой для ваших пользователей – я потом её гляну. Своё обещание я исполнил. Как я уже писал, при всём уважении к Dr.Web, мне жаль.

[VVS]

Жаль, что не срослось. Я Касперу немало лицензий среди своих принёс. Ну, силой заставлять брать деньги было бы странно. В любом случае, торопиться некуда – решения этой, я так понял, новой проблемы я могу подождать 366 дней. У меня есть пара образов систем по несколько ГБ каждая, никто их не сжимал, никакому из стоявших когда-либо у меня АВ они не мешали работать.

OK, тогда понятно...
 

Если где-то есть гипотетическая дискуссия «трейнер или троян», пожалуйста, дайте ссылку, чтобы не оффтопить.

Я уже Вам ЕМНИП дважды писал, как получить ответ на этот вопрос...
 

Вы уж извините меня, если что, я, пожалуй, не буду ещё несколько раз повторять вопрос «что делает программа», если его трудно понять.

Не труднее, чем Вам понять, что сперва нужно ответить на вопрос является это трояном или нет.
 

Свои трейнеры, какие вспомню, что успел найти Dr.Web, вышлю на проверку, как с компами разберусь. Отчёт погиб оба раза. Кстати, насколько я помню, у Касперского ещё в две тысячи лохматые годы было что-то типа каталога вирусов.

В те годы у доктора тоже было.
Но писать описание малвари, когда скорость добавления записей в базу - 1 запись в ~40 секунд, абсолютно нереально.

[Dolmatov]

По последнему, стоит заметить, есть вирусная библиотека https://vms.drweb.ru/search/

В смежных ссылках есть классификатор по угрозам.

При этом нельзя исключать, что любой кряк/кейген/т.п. софт может иметь двойное действие, даже при отсутствии вредоносного проявления в обычном использовании. Поэтому и существует проверка через вирусную лабораторию, где определяется есть ложное срабатывание или "скрытые мотивы" такой программы.

 

Обилие "плотного" текста от автора темы запутывает меня в понимании обсуждения, поэтому не планирую вдаваться в дискуссии. Разложите ваши вопросы "по полочкам" в голове или на бумаге, а потом анализируйте предоставленную вам информацию.

 

В основном, чтобы определить нужно ли покупать определённый антивирус определяется через тестовые (демо) версии. 

Для кого-то достаточно чтобы он был и блокировал известные угрозы или блокировал по признакам вредоносное программное обеспечениеа. Кому-то нужно получать сопровождение по исследованию заражения рабочих машин и обход систем безопасности. 

Если вы за месяц не определили нужен ли вам этот антивирус, то и при наличии подписки/единовременной оплаты такой момент может не настать. Ведь если существует цель протестировать продукт на "совместимость", то следует изучить документацию, пообщаться с технической поддержкой (не форум), а может быть и на тестовой машине прогнать потенциальные сценарии угроз или заказать проверку безопасности у специализированной фирмы.

[Alexander007]

Если где-то есть гипотетическая дискуссия «трейнер или троян», пожалуйста, дайте ссылку, чтобы не оффтопить. 

 

Попросить ссылку на скачивание и публиковать здесь -запрещено ...  Если вы собираетесь  самостоятельно качать трейнеры /вирусы - можно подхватить  страшные вирусы, например Neshta - https://ru.wikipedia.org/wiki/Neshta-это давно известно и до сих пор активный.  Этот вирус предлагает повредить систему как копию , чтобы не давать запустить систему в оригинальном файле . Нешта- как прошивка /модификация системы .

 

Я, к тому что давно не доверяю Касперского из-за некачественный продукт , Я первый раз попробовал на виртуалке- там не защита , а художественные рисунки с множеством изменений за последний 10 лет . KSN облака собирает данные и передают Гос.тайны , спец службам , прочее - реальная проблема...

 

А, вот Dr.Web - у них защита и лечение - реальная работа , хорошая вирусная база ...  Ни каких данные не передаются ...  Только логи о заряженности - индивидуально предоставляет пользователь с помощью Dr.Web Sysinfo.  Больше ничего .   Зато , дешево и удобное и комфортное использование .  Работа постоянно развивается.   Cижу почти 20 лет и доволен  ..

Сообщение было изменено Alexander007: 11 Февраль 2025 - 00:05

[AndreyKa]

Не знаю, баг это или нет. Похоже, сканер не верно оценивает  доступное свободное место на диске с папкой для временных файлов из-за многопоточности. То есть, места хватает для проверки каждого из архивов, но из-за того что на многоядерном CPU проверяются/распаковываются одновременно несколько архивов, место заканчивается.

[VVS]

Не знаю, баг это или нет. Похоже, сканер не верно оценивает  доступное свободное место на диске с папкой для временных файлов из-за многопоточности. То есть, места хватает для проверки каждого из архивов, но из-за того что на многоядерном CPU проверяются/распаковываются одновременно несколько архивов, место заканчивается.

IMHO это баг.

В такой ситуации антивирус должен по какому-то критерию прервать проверку.
Но баг IMHO некритичный, т.к. не думаю, что количество пользователей, которым приходит в голову проверять антивирусом "пару образов системы", является существенным.

[Floppy]

Добрый день !

Раз уж зашёл разговор про многопоточку.
Кто-то может подсказать, а сколько вообще потоков может задействовать движок в процессе проверки ?

[VVS]

Добрый день !

Раз уж зашёл разговор про многопоточку.
Кто-то может подсказать, а сколько вообще потоков может задействовать движок в процессе проверки ?

Как-то не задавался вопросом, сейчас посмотрел - все логические процессора использует (12 штук).

[B.Chugunov]

В таких случаях выглядит логичным перво-наперво исключить проверку всяких *.iso, *.rar, *.zip из сканирования и провести проверку в таком режиме. Скорее всего никаких объемных временных файлов в темпе в этот раз не будет, проверка пройдет штатно - по завершению проверки все созданные в темпе файлы удалятся.  Удаление проходит автоматически, но только если сканирование было успешно завершено. 
Затем уже нужно разбираться с тем, что за файлы такие сканируются, если из них во время полного скана вытряхивается по 230 гигов данных. Почти наверняка, как уже написали выше, это какие-то объемные контейнеры/архивы-матрешки, которые и в обычном распакованном виде будут занимать ровно такое же место на диске, которое занимают временные файлы антивируса во время скана. 
Найти все *.iso, *.zip, *.rar поочередно по расширению на машине, вычленить самые объемные и посмотреть, что случается при их распаковке. Почти уверен, что практически сразу все виновники будут найдены в этом месте. Их отдельно просканить при необходимости, засунуть в отдельный угол и исключить из сканирования, чтобы не гонять эти уже гарантировано чистые файлы при каждом скане. 
Есть и более сложные методы диагностики, которые все равно сводятся к тому, чтобы найти те файлы, которые при распаковке занимают очень много места на диске.
Суть тут не меняется. АВ не может заранее знать, что за файлы на машине и не может полноценно просканировать архив или контейнер без его временной распаковки в темп. Если такие файлы задано сканировать, нужно быть готовым к тому, что темп будет каждый раз забиваться при сканировании и при условии успешного завершения - освобождаться. 
Встречаются и такие кейсы, когда сканирование архивов\контейнеров задается в сканере по расписанию. Но каждый цикл сканирования выполняется из-за этого настолько долго, что либо заканчивается место на диске для распаковки временных файлов, либо сканирование просто успевают прервать очередным выключением\ребутом машины. Все уже распакованные временные файлы в таком случае остаются на месте - случается коллапс. Что с этим делать, пока никто не придумал, попытки были. 
Остается проявлять бдительность и не заниматься сканированием того, что не несет прямой угрозы или не является необходимым. А если не знаете, куда смотреть и где проявлять осторожность - хотя бы не запускать сканирование всех подряд 100500 терабайт данных на диске в один присест. Сканировать пачками. Файловые шары и склады образов\архивов\дистрибутивов сканить с особой осторожностью.

[Dolmatov]

В теории, антивирус мог бы извлекать файлы последовательно, проверять извлечённое, удалять файл. Если поддерживается пофайловое извлечение, то можно продолжать (пауза) проверку. Если извлечение только сплошное, то процесс проверки приостанавливается без прерывания работы с архивом. Если извлекается многоуровневый архив, то и проверка поэтапно многоуровневая. Если возможно определить размер извлекаемого файла, то проверять свободное место. Если невозможно, то контролировать свободное всё время. Нюансы, конечно, будут. Не маловажный, это время проверки. В зависимости от типа носителя, его скорости, программно-аппаратных параметров АРМ, переход от многопоточности к однопоточности или псевдо-многопоточности разница может быть значительная.

[maxic]

Dolmatov, был уже однопоточный сканер, сколько уж его ругали - страшно вспомнить!

[Floppy]

Да не дай бог вернуться к однопоточке с современными процессорами.
А вот последовательное извлечение мысль совсем не плохая.

[basid]

В теории, антивирус мог бы извлекать файлы последовательно

... что на практике не работает со "сплошными" (solid) архивами, которые вложены в любой другой архив.