17 ответов в этой теме

[boobo]

При запуске ПО "Смета-Багира" пытается найти ключ защиты программы.

Висит и выдает ошибку (скрин прилагается).

Если полностью удалить антивирус - все нормально запускается.

Отключение всех компонентов антивируса не приносит никакого эффекта - только полное удаление.

Отчет с машинки для поддержки прилагается.

Прикрепленные файлы:

•  ошибочка.png   268,49К   0 Скачано раз
•  PLAN_2_maksimova_010917_094415.zip   9,08Мб   1 Скачано раз

[OdaN]

При запуске ПО "Смета-Багира" пытается найти ключ защиты программы.

Висит и выдает ошибку (скрин прилагается).

Если полностью удалить антивирус - все нормально запускается.

Отключение всех компонентов антивируса не приносит никакого эффекта - только полное удаление.

Отчет с машинки для поддержки прилагается.

Boobo, обратитесь с данной проблемой в техническую поддержку, пожалуйста.

[maxic]

Скриншот зачотный!

[Kirill Polubelov]

Дело в том, что эта смета дропает никем не подписанный ехе-шник, который пытается выполнить инжект в другой процесс, это запрещено.

Надо настроить превентивную защиту.

 

328311/ProgramData/Doctor Web/Logs$ grep -B2 -A4 deny dwservice.log |tail -n 40
--
id: 6469, timestamp: 09:34:49.836, type: PsInject (43), flags: 1 (wait: 1), cid: 5064/4588:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  source context: start addr: 0x4d34c4, image: 0x400000:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  hips: type: 18, action: deny [5]
  inject: WriteMemory [1], target process: \Device\HarddiskVolume3\SMETA50\smeta50.exe:4352
  fileinfo: size: 3188736, easize: 39, attr: 0x20, buildtime: 20.02.2009 17:28:17.000, ctime: 01.09.2017 09:33:46.866, atime: 01.09.2017 09:33:46.866, mtime: 01.09.2017 09:33:46.881, descr: , ver: , company: , oname:
  hash: ef84fe61b353356fd84f4b4ebee2ecc39fbd94f0 status: unsigned, pe32, new_pe / unsigned / unknown
id: 6469 ==> undefined [1], time: 22.779640 ms
--
id: 6470, timestamp: 09:34:49.859, type: PsInject (43), flags: 1 (wait: 1), cid: 5064/4588:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  source context: start addr: 0x4d34c4, image: 0x400000:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  hips: type: 18, action: deny [5]
  inject: WriteMemory [1], target process: \Device\HarddiskVolume3\SMETA50\smeta50.exe:4352
  fileinfo: size: 3188736, easize: 39, attr: 0x20, buildtime: 20.02.2009 17:28:17.000, ctime: 01.09.2017 09:33:46.866, atime: 01.09.2017 09:33:46.866, mtime: 01.09.2017 09:33:46.881, descr: , ver: , company: , oname:
  hash: ef84fe61b353356fd84f4b4ebee2ecc39fbd94f0 status: unsigned, pe32, new_pe / unsigned / unknown
id: 6470 ==> undefined [1], time: 20.451928 ms
--
id: 6471, timestamp: 09:34:49.880, type: PsInject (43), flags: 1 (wait: 1), cid: 5064/4588:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  source context: start addr: 0x4d34c4, image: 0x400000:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  hips: type: 18, action: deny [5]
  inject: WriteMemory [1], target process: \Device\HarddiskVolume3\SMETA50\smeta50.exe:4352
  fileinfo: size: 3188736, easize: 39, attr: 0x20, buildtime: 20.02.2009 17:28:17.000, ctime: 01.09.2017 09:33:46.866, atime: 01.09.2017 09:33:46.866, mtime: 01.09.2017 09:33:46.881, descr: , ver: , company: , oname:
  hash: ef84fe61b353356fd84f4b4ebee2ecc39fbd94f0 status: unsigned, pe32, new_pe / unsigned / unknown
id: 6471 ==> undefined [1], time: 23.175089 ms
--
id: 6472, timestamp: 09:34:49.903, type: PsInject (43), flags: 1 (wait: 1), cid: 5064/4588:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  source context: start addr: 0x4d34c4, image: 0x400000:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  hips: type: 18, action: deny [5]
  inject: WriteMemory [1], target process: \Device\HarddiskVolume3\SMETA50\smeta50.exe:4352
  fileinfo: size: 3188736, easize: 39, attr: 0x20, buildtime: 20.02.2009 17:28:17.000, ctime: 01.09.2017 09:33:46.866, atime: 01.09.2017 09:33:46.866, mtime: 01.09.2017 09:33:46.881, descr: , ver: , company: , oname:
  hash: ef84fe61b353356fd84f4b4ebee2ecc39fbd94f0 status: unsigned, pe32, new_pe / unsigned / unknown
id: 6472 ==> undefined [1], time: 29.972877 ms
--
id: 6473, timestamp: 09:34:49.934, type: PsInject (43), flags: 1 (wait: 1), cid: 5064/4588:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  source context: start addr: 0x4d34c4, image: 0x400000:\Device\HarddiskVolume3\SMETA50\TMP\r2A99759B.exe
  hips: type: 18, action: deny [5]
  inject: WriteMemory [1], target process: \Device\HarddiskVolume3\SMETA50\smeta50.exe:4352
  fileinfo: size: 3188736, easize: 39, attr: 0x20, buildtime: 20.02.2009 17:28:17.000, ctime: 01.09.2017 09:33:46.866, atime: 01.09.2017 09:33:46.866, mtime: 01.09.2017 09:33:46.881, descr: , ver: , company: , oname:
  hash: ef84fe61b353356fd84f4b4ebee2ecc39fbd94f0 status: unsigned, pe32, new_pe / unsigned / unknown
id: 6473 ==> undefined [1], time: 26.977431 ms

[Konstantin Yudin]

и что поясняет это полотно?

>который пытается выполнить инжект в другой процесс, это запрещено.

где тут запрет?

[maxic]

Konstantin Yudin, hips: type: 18, action: deny [5] - не оно?

[Konstantin Yudin]

Konstantin Yudin, hips: type: 18, action: deny [5] - не оно?

это найстройка на входе. смотреть нужно последнюю строку в событии, там действие

[Kirill Polubelov]

смотреть нужно последнюю строку в событии, там действие

В данном случае, смотреть туда можно до бесконечности, но, смыла в этом нет, смысл undefined, как говорится.

 

Очевидно, что, из-за:

hips: type: 18, action: deny [5]

действие может быть или запрещено (denied, вместо undefined), или разрешено (allowed, вместо undefined), если процесс имеет подпись, которой доверяют, или оно в white_list-е. В данном случае, по всем пунктам, касаемо подписей: unsigned, pe32, new_pe / unsigned / unknown.

Если, в таком режиме мы это пропускаем, то, ми пардон...

[Konstantin Yudin]

undefined - значит ровно одно, нам все равно, не интересно, пусть драйвер сам решает исходя из внутренних знаний об этом событии. в данном случае драйверу тоже не интересно. всем ... в общем

[Konstantin Yudin]

поиск по треккеру подсказывает что с ней мы уже сталкивались, и с ее хаспом.

[boobo]

Эта проблема в этом году уже была, после долгих переписок выяснилось что блокировка снимается отключением "Превентивной защиты" агента, НО после вчерашнего обновления простое выключение "Превентивной защиты" агента не помогает. Агент не дает доступа к ключу хасп защиты.

[watchman_max]

Добрый день!

Так все-таки какие пути решения данной проблемы?

отключение превентивной защиты не помогает, а людям работать как-то нужно...

Если вы выпускаете обновление, которое безоговорочно блокирует всякие "инжекты", будьте добры  тогда предоставить пользователю или хотя бы

администратору возможность управления данной функцией...

Наша организация не для того покупала антивирус, чтобы сидеть и смотреть на голый рабочий стол без возможности работать в необходимых программах.

[watchman_max]

Уточнение, можно обойти это ТОЛЬКО полным отключением превентивной защиты на данном компьютере, что как бы тоже не совсем вариант...

[boobo]

Уточнение, можно обойти это ТОЛЬКО полным отключением превентивной защиты на данном компьютере, что как бы тоже не совсем вариант...

Полное отключение превентивной защиты не помогает =(

Разработчики  сказали ждать.

[watchman_max]

boobo, Разрабы Сметы ??? я с ними тоже вчера общался - сказали ждать...

[boobo]

boobo, Разрабы Сметы ??? я с ними тоже вчера общался - сказали ждать...

Разработчики DrWeb

[Konstantin Yudin]

вчера в бету выпустили апдейт, возможно он так же поможет и тут. было бы совсем здорово если бы кто нибудь из вас проверил это на отдельной машине. С этой сметой не все просто в плане ключей. конфликтуем мыс их навесной защитой guardant.ru.

[Konstantin Yudin]

сегодня вышел релиз модулей. просьба при возможности написать фидбек изменилось ли поведение.