27 ответов в этой теме

[Yuri-Xd]

Здравствуйте,

 

Попытался установить утилиту ConEmu, после чего антивирус заблокировал файл "C:\Program Files\ConEmu\ConEmu\ConEmuC64.exe" как угрозу с трояном и поместил в какрнтин. Добавте пожалуйста его в white list. На всякий случай прикрепляю файл инсталятора.

 

Еще возникла проблема с восстановлением из карантина. Файл удалось восстановить на прежнее место, но к нему нет доступа на чтение, удаление и т.п. Соответственно не могу ни запустить, ни удалить из системы.

[Dmitry_rus]

1. Поместить файл в исключения SpiderGuard.

2. Перезагрузить ПК.

[IlyaS]

Странно, на инсталлятор ConEmuSetup.161009a.exe сканер не ругается.
Вот он что:

Spoiler

 Clipboard01.png   12,94К   1 Скачано раз

Сообщение было изменено IlyaS: 11 Октябрь 2016 - 19:56

[IlyaS]

Это превентивная защита - целостность приложений.

Spoiler

id: 6184, type: PsInject (43), flags: 1 (wait: 1), cid: 3864/2824:\Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe
  hips: type: 18, action: deny [5]
  inject: ChangeThreadContext [2], target process: \Device\HarddiskVolume1\Windows\System32\cmd.exe:1552
  signer: C=RU|O=Open Source Developer|CN=Open Source Developer, Maksim Moisiuk, timestamp: 10.10.2016 18:18:42.0000, thumbprint: 0871375ad8e26380ab9f2de61cf6bcba6514b478
  hash: c79e49202b8cbfa5c9ad46346084569f9556aedb status: signed, pe32, new_pe (0x900200) / signed / unknown
threat: DPH:Trojan.Inject.2 ==> send user blocked alert
path: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe ==> denied access to file
process: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe:3864 ==> suspended all threads in process
path: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe:3864 ==> terminated
disinfect: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe ==> quarantined [8]
threat: DPH:Trojan.Inject.2 ==> sended user virus found alert

[SergSG]

 Файл удалось восстановить на прежнее место, но к нему нет доступа на чтение, удаление и т.п. Соответственно не могу ни запустить, ни удалить из системы.

И наверное уже не будет...

Очень может быть, что файл после восстановления без ребута превратился в тыкву.

[TASS]

Очень может быть, что файл после восстановления без ребута превратился в тыкву.

SergSG, прошу пояснить механизм превращения. Не "просек фишку".

[maxic]

TASS, если восстановить из карантина до ребута, то после ребута файл, возможно, будет либо удален, либо затерт нулями.

[SergSG]

 

Очень может быть, что файл после восстановления без ребута превратился в тыкву.

SergSG, прошу пояснить механизм превращения. Не "просек фишку".

 

maxic выше описал механизм.

В нем кое чего меняли сравнительно недавно, но потом там чего то отломалось. Поэтому "может быть" и "возможно".

[Yuri-Xd]

Это превентивная защита - целостность приложений.

Spoiler

id: 6184, type: PsInject (43), flags: 1 (wait: 1), cid: 3864/2824:\Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe
  hips: type: 18, action: deny [5]
  inject: ChangeThreadContext [2], target process: \Device\HarddiskVolume1\Windows\System32\cmd.exe:1552
  signer: C=RU|O=Open Source Developer|CN=Open Source Developer, Maksim Moisiuk, timestamp: 10.10.2016 18:18:42.0000, thumbprint: 0871375ad8e26380ab9f2de61cf6bcba6514b478
  hash: c79e49202b8cbfa5c9ad46346084569f9556aedb status: signed, pe32, new_pe (0x900200) / signed / unknown
threat: DPH:Trojan.Inject.2 ==> send user blocked alert
path: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe ==> denied access to file
process: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe:3864 ==> suspended all threads in process
path: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe:3864 ==> terminated
disinfect: \Device\HarddiskVolume1\Program Files\ConEmu\ConEmu\ConEmuC.exe ==> quarantined [8]
threat: DPH:Trojan.Inject.2 ==> sended user virus found alert

 

 

Да, точно такая же ситуация. Какие дальнейшие шаги?

[Yuri-Xd]

1. Поместить файл в исключения SpiderGuard.

2. Перезагрузить ПК.

 

1. К сожалению добавить файл в исключения я не могу, т.к. политика нашего домена запрещает это делать. Единственный правильный вариант, который я вижу -- новая антивирусная база.

2. Попробую.

[VVS]

 

1. Поместить файл в исключения SpiderGuard.

2. Перезагрузить ПК.

 

1. К сожалению добавить файл в исключения я не могу, т.к. политика нашего домена запрещает это делать.

У Вас нет прав админа?

Тогда обратитесь к админу...

[Yuri-Xd]

 

 

1. Поместить файл в исключения SpiderGuard.

2. Перезагрузить ПК.

 

1. К сожалению добавить файл в исключения я не могу, т.к. политика нашего домена запрещает это делать.

У Вас нет прав админа?

Тогда обратитесь к админу...

 

Т.е. я должен сказать нашему админу примерно следущее: "Мы используем DrWeb, который работает неправильно. В службе поддержки DrWeb мне отказали. Остается на худой конец добавлять исключения." Верно?

[v.martyanov]

А вы в техподдержку-то обращались? Номер тикета в личку мне киньте.

[Konstantin Yudin]

В настройках conemu отключите инжект в консоль

[VVS]

 

 

 

1. Поместить файл в исключения SpiderGuard.

2. Перезагрузить ПК.

 

1. К сожалению добавить файл в исключения я не могу, т.к. политика нашего домена запрещает это делать.

У Вас нет прав админа?

Тогда обратитесь к админу...

 

Т.е. я должен сказать нашему админу примерно следущее: "Мы используем DrWeb, который работает неправильно. В службе поддержки DrWeb мне отказали. Остается на худой конец добавлять исключения." Верно?

 

Нет, не верно.

Я предложил Вам временное решение до того момента, пока ТП обработает Ваш запрос...

[Yuri-Xd]

А вы в техподдержку-то обращались? Номер тикета в личку мне киньте.

Я бы с радостью, но у меня нет ни серийника, ни админовских прав, т.к. я в домене.

 

Если есть другой способ создать тикет, расскажите пожалуйста.

Сообщение было изменено Yuri-Xd: 12 Октябрь 2016 - 13:04

[VVS]

 

А вы в техподдержку-то обращались? Номер тикета в личку мне киньте.

Я бы с радостью, но у меня нет ни серийника, ни админовских прав, т.к. я в домене.

Прикольно это соотносится с Вашей фразой "Мы используем DrWeb, который работает неправильно. В службе поддержки DrWeb мне отказали."

А оказывается, Вы в неё и не обращались...

 

Попросите админа оформить запрос в ТП.

Сообщение было изменено VVS: 12 Октябрь 2016 - 13:08

[Yuri-Xd]

Согласен, что не совсем корректо

Лучше так:

 

-- Мне нужно решить одну проблему с нашим антивирусом.

-- Ок. А в службу поддержки обращался?

-- Нет.

-- Так обратись

--

 

И дальше я пытаюсь объяснить ситуацию нашему админу, хотя ему это по-сути не нужно. Испорченный телефон получается.

[sergeyko]

Странно, что вы написали на форум. Могли бы заранее предположить, что вам тут ответят и не терять время . 

 

Посмотрите, кое-какие советы вам даны. Если они не сработают, пожалуйста, обратитесь в техподдержку. Самостоятельно или через админов. Там чрезвычайно отзывчивые люди, они не откажут в помощи, если у вас есть лицензия. 

[Yuri-Xd]

Понадеялся что через форум это будет проще и главное быстрее решить. Но раз нет, тогда буду обращаться к нашему админу, и ждать и надеяться.

Всем спасибо.