Собственно - не могу запустить AMMYY admin ни какой версии - идет сработка DPD и файл удаляется.
Вопрос - КАК можно все таки запустить AMMYY ???
DrWeb vs AMMYY admin
Автор
DoC
, сен 13 2016 14:42
66 ответов в этой теме
#1
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 13 Сентябрь 2016 - 14:42
Чукча не читатель! Чукча - писатель!
#2
Jumbo Frame
-
- Posters
- 142 Сообщений:
Member
Отправлено 13 Сентябрь 2016 - 15:04
Правильней всего будет отправить исполняемый файл через личный кабинет, чтобы исключили ложное срабатывание.
Ну, или как вариант, добавить имя процесса Ammyy в исключения Guard.
Dr.Web Server 13.00.1-202401120 (Linux 5.10.198-std-def-alt1 x86_64; 1 SMP Wed Oct 11 00:33:51 UTC 2023; glibc 2.32)
#3
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Сентябрь 2016 - 15:16
это не ложняк. лечится эксклюдом с спайдере
еще вариант, купить ammy, насколько я помню с платным проблем нет
еще вариант, купить ammy, насколько я помню с платным проблем нет
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#4
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 13 Сентябрь 2016 - 15:42
это не ложняк. лечится эксклюдом с спайдере
еще вариант, купить ammy, насколько я помню с платным проблем нет
Скачивал однако с офсайта... Платная версия отличается наличием записи о лицензии и все.
При этом он скачивается, копируется, но после запуска убивается DPD
Если отключить самозащиту - то работает...
Чукча не читатель! Чукча - писатель!
#5
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 13 Сентябрь 2016 - 15:47
Исключения в SpiderGuard не помогают.
Чукча не читатель! Чукча - писатель!
#6
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Сентябрь 2016 - 15:51
причем тут самозащита и детект?Скачивал однако с офсайта... Платная версия отличается наличием записи о лицензии и все.это не ложняк. лечится эксклюдом с спайдере
еще вариант, купить ammy, насколько я помню с платным проблем нет
При этом он скачивается, копируется, но после запуска убивается DPD
Если отключить самозащиту - то работает...
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#7
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Сентябрь 2016 - 15:52
не верю. отчет в студиюИсключения в SpiderGuard не помогают.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#8
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 13 Сентябрь 2016 - 15:57
Ой пардон! Не самозащита, а превентивка...
Позор на мою седую голову, так ошибиться 
Чукча не читатель! Чукча - писатель!
#9
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Сентябрь 2016 - 15:58
DPD это детект ав базами а не превентивка. в общем какое то недопонимание с обоих сторон. нужно больше данных.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#10
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 13 Сентябрь 2016 - 16:04
Из лога spiderguard:
20160913.155759 [CL] N:\program files\aa_v3.5_2015-05-29_1.exe - is riskware program Program.RemoteAdmin.701
20160913.155759 [CL] N:\program files\aa_v3.5_2015-05-29_1.exe - ignored (755,5K 85ms 8876KB/s) [C:\program files\double commander\doublecmd.exe:5096:64] {P***E\r****v:P***E\Domain Users}
но! в то же время - файл УДАЛЯЕТСЯ DPD
2016-Sep-13 15:58:09.663091 [2660] [INF] [2860] [arkdll] id: 255324, type: PsCreate (16), flags: 1 (wait: 1), cid: 5096/4548:\Device\HarddiskVolume2\Program Files\Double Commander\doublecmd.exe created process: \Device\HarddiskVolume2\Program Files\Double Commander\doublecmd.exe:5096 --> \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584 type: 0, reason: 1, new: 1, dbg: 0, cmd: "N:\Program Files\AA_v3.5_2015-05-29_1.exe" signer: C=RU|ST=Mosco|L=Mosco|O=Ammyy LL|CN=Ammyy LL, timestamp: 29.05.2015 11:38:28.0000, thumbprint: b35bf6aea684bb977a55073f716a05b02eb925d9 hash: 63c52b0ac68ab7464e2cd777442a5807db9b5383 status: signed, pe32, new_pe (0x900200) / signed / unknown id: 255324 ==> undefined [1], time: 28.771291 ms 2016-Sep-13 15:58:09.791877 [2852] [WRN] [bg-scan] scan result \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584/0x400000-AA_v3.5_2015-05-29_1.exe[0] infection: Program.RemoteAdmin.701 (type: 8; code: 1) 2016-Sep-13 15:58:09.858174 [2852] [INF] [qr] Add file \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe infection: DPD:Program.RemoteAdmin.701 map: Global\6A4-B24-18C767574 len: 773624 result: 0 2016-Sep-13 15:58:09.888819 [2660] [INF] [2772] [arkdll] id: 255628, type: PsDelete (17), flags: 0 (wait: 0), cid: 4584/3008: terminated process: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584 signer: C=RU|ST=Mosco|L=Mosco|O=Ammyy LL|CN=Ammyy LL, timestamp: 29.05.2015 11:38:28.0000, thumbprint: b35bf6aea684bb977a55073f716a05b02eb925d9 hash: 63c52b0ac68ab7464e2cd777442a5807db9b5383 status: signed, pe32, new_pe (0x900200) / signed / unknown id: 255628 ==> undefined [1], time: 0.044945 ms 2016-Sep-13 15:58:11.375167 [2668] [WRN] [licenses] Cannot get license checker 2016-Sep-13 15:58:13.180276 [2852] [INF] [event-manager] process_ark_event 2016-Sep-13 15:58:13.283426 [2896] [INF] [2852] [arkdll] id: 255483, type: PsModifyActivity (45), flags: 1 (wait: 1), cid: 4584/3008:\Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe action: CreateFile (0) cmd: "N:\Program Files\AA_v3.5_2015-05-29_1.exe" signer: C=RU|ST=Mosco|L=Mosco|O=Ammyy LL|CN=Ammyy LL, timestamp: 29.05.2015 11:38:28.0000, thumbprint: b35bf6aea684bb977a55073f716a05b02eb925d9 hash: 63c52b0ac68ab7464e2cd777442a5807db9b5383 status: signed, pe32, new_pe (0x900200) / signed / unknown process: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584 ==> try dump process by activity (type: CreateFile) dump module: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584/0x400000-AA_v3.5_2015-05-29_1.exe[0] path: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584/0x400000-AA_v3.5_2015-05-29_1.exe[0] ==> infected with DPD:Program.RemoteAdmin.701 path: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe ==> denied access to file process: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584 ==> suspended all threads in process path: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe ==> quarantined send driver event reply for unblock process ==> success process: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe:4584 ==> terminated disinfect: \Device\TrueCryptVolumeN\Program Files\AA_v3.5_2015-05-29_1.exe ==> quarantined [8] threat: DPD:Program.RemoteAdmin.701 ==> sended user virus found alert id: 255483 ==> denied [5], time: 3604.018383 ms
Чукча не читатель! Чукча - писатель!
#11
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Сентябрь 2016 - 16:07
Игноред это не исключения.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#12
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 13 Сентябрь 2016 - 16:11
Не, это не удаляется. Это просто процесс завершен был. Тем же гвардом, видимо.
(exit 0)
#13
Konstantin Yudin
-
- Dr.Web Staff
-
- 19 552 Сообщений:
Смотрящий
Отправлено 13 Сентябрь 2016 - 16:30
чего?Не, это не удаляется. Это просто процесс завершен был. Тем же гвардом, видимо.
With best regards, Konstantin Yudin
Doctor Web, Ltd.
Doctor Web, Ltd.
#14
Kirill Polubelov
-
- Dr.Web Staff
-
- 4 362 Сообщений:
Hr. Schreibikus
Отправлено 14 Сентябрь 2016 - 10:27
чего?
Чё-чё, не дочитал я цитату лога до конца, парсер оборвался на PsDelete 
Сообщение было изменено Kirill Polubelov: 14 Сентябрь 2016 - 10:27
(exit 0)
#15
d.a.panov
-
- Posters
- 132 Сообщений:
Member
Отправлено 14 Сентябрь 2016 - 10:53
Собственно - не могу запустить AMMYY admin ни какой версии - идет сработка DPD и файл удаляется.
Вопрос - КАК можно все таки запустить AMMYY ???
как-то так http://forum.drweb.com/index.php?showtopic=325634, если скачать последний файл c сайта www.ammyy.com, то исключения надо делать только для него.
Файлы AA_v3.exe и Ammyysvc.exe в userprofile\appdata\temp не создаются.
Сообщение было изменено d.a.panov: 14 Сентябрь 2016 - 10:56
#16
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 14 Сентябрь 2016 - 17:19
1. загружаю с офсайта AMMYY версии 3.5 ( http://www.ammyy.com/AA_v3.exe?em=rr%40rr.com )
2. контрольные суммы файла
CRC32: 69F4E921 MD5: 11BC606269A161555431BACF37F7C1E4 SHA-256: 1831806FC27D496F0F9DCFD8402724189DEAEB5F8BCF0118F3D6484D0BDEE9ED
3. добавляю в исключения SpiderGuard for Workstations AA_v3.exe (смотрим вложение исключения.png)
4. запускаю AA_v3.exe
5. получаю уведомление DPD про вирус - файл удален (смотрим вложение сработка DPD.png).
Продолжение истории -
6. после удаления файла на его месте НЕЛЬЗЯ создать файл с таким же именем до перезагрузки
7. после нескольких таких сработок начинает корежить сетку (как я понимаю слетают тикеты керберос в АД, потому как MMC оснастки управления серверами перестают эти самые сервера видеть), комп ведет себя неадекватно (начинает тормозить и выбрасывать непонятные ошибки), после начала глюков пытаюсь перезагрузить ПК - на это уходит около 5-7 минут вместо максимум 2-х штатно (долго соображает на команду ребута, потом висит в черном экране оставшееся время и не реагирует ни на что, но мышка работает и NUM-Lock нажимается).
проверил уже несколько раз (в первые 2 раза как-то не догнал) - все повторяется 1 к 1 каждый раз...
лыжи не едут?
логи тоже приложены
Прикрепленные файлы:
-
исключения.png 13,64К
1 Скачано раз
-
сработка DPD.png 53,49К
1 Скачано раз
-
Logs.zip 85,36К
2 Скачано раз
Чукча не читатель! Чукча - писатель!
#17
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 14 Сентябрь 2016 - 17:57
И вот результат теста, который я проводил выше - залочил комп, вышел чаю выпить - по приходу комп висит с черным экраном и не реагирует ни на что.
Хотя до опытов работал почти сутки без вопросов.
Видимо при сработке DPD и пристреливании процесса что-то крашится внутри системы, причем конкретно. Но в системном журнале никаких ошибок при этом нет.
Чукча не читатель! Чукча - писатель!
#18
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 14 Сентябрь 2016 - 18:06
А если скачать дистриб, поставить на виртуалку и тестировать там?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#19
DoC
-
- Posters
- 1 477 Сообщений:
Добрый Э-э-х
Отправлено 14 Сентябрь 2016 - 18:10
Попробую завтра. Думаете что-то изменится?
Чукча не читатель! Чукча - писатель!
#20
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 14 Сентябрь 2016 - 18:36
Вот если НЕ изменится - будет инсталлер Ammyy, инсталлер Dr.Web и относительно чистая винда понятной версии. И можно будет попробовать в тестлаб это все передать
Личный сайт по Энкодерам - http://vmartyanov.ru/
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых
