Перейти к содержимому


Фото
- - - - -

Блокируется wufuc


  • Please log in to reply
53 ответов в этой теме

#21 GCRaistlin

GCRaistlin

    Member

  • Posters
  • 289 Сообщений:

Отправлено 26 Сентябрь 2018 - 14:50

Спасибо! :)



#22 AlekseyD

AlekseyD

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 11 Июнь 2019 - 14:10

Наблюдается та же проблема на последнем DrWeb Enterprise Security Suite 11.00.2 (27-02-2019 03:00:00) с последнем wufuc как msi пакет.

На ряде машин (прямо удивительно, что не на всех) попадает в карантин по превентивной защите.


Сообщение было изменено AlekseyD: 11 Июнь 2019 - 14:10


#23 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 11 Июнь 2019 - 14:30

Наблюдается та же проблема на последнем DrWeb Enterprise Security Suite 11.00.2 (27-02-2019 03:00:00) с последнем wufuc как msi пакет.

На ряде машин (прямо удивительно, что не на всех) попадает в карантин по превентивной защите.

https://forum.drweb.com/index.php?showtopic=330330#entry855555


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#24 AlekseyD

AlekseyD

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 11 Июнь 2019 - 15:00

 

Наблюдается та же проблема на последнем DrWeb Enterprise Security Suite 11.00.2 (27-02-2019 03:00:00) с последнем wufuc как msi пакет.

На ряде машин (прямо удивительно, что не на всех) попадает в карантин по превентивной защите.

https://forum.drweb.com/index.php?showtopic=330330#entry855555

 

 

Не понял что вы имели ввиду.



#25 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 11 Июнь 2019 - 15:10

информация нужна, отчет, логи. что за версия wufuc и т.п. как можно что то понять из слов.

Сообщение было изменено Konstantin Yudin: 11 Июнь 2019 - 15:10

With best regards, Konstantin Yudin
Doctor Web, Ltd.

#26 AlekseyD

AlekseyD

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 11 Июнь 2019 - 15:18

информация нужна, отчет, логи. что за версия wufuc и т.п. как можно что то понять из слов.

 

Версия wufuc v1.0.1.201

 

В карантине отображается следующее:

123.PNG

 

Какие логи вам еще нужны?



#27 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 11 Июнь 2019 - 15:21

Нужен отчёт доктора.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#28 AlekseyD

AlekseyD

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 11 Июнь 2019 - 15:23

Мммм, хорошо, откуда его дернуть? =)



#29 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 11 Июнь 2019 - 15:26

Иконка в трее - поддержка - мастер отчётов


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#30 AlekseyD

AlekseyD

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 11 Июнь 2019 - 15:30

А как-то удаленно его не дернуть? Машинка больно далеко от меня стоит.



#31 AlekseyD

AlekseyD

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 11 Июнь 2019 - 15:50

Логи



#32 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 11 Июнь 2019 - 16:31

Версия wufuc v1.0.1.201

а теперь реальность.

loaded image: \Device\HarddiskVolume2\Program Files\wufuc\wufuc.dll
fileinfo: size: 148480, easize: 0, attr: 0x20, buildtime: 16.07.2017 09:47:42.000, ctime: 15.07.2017 23:47:44.000, atime: 11.06.2019 10:33:07.922, mtime: 15.07.2017 23:47:44.000, descr: wufuc allows you to continue installing Windows updates. https://github.com/zeffy/wufuc, ver: 0.7.1.81-83dcd53a, company: zeffy, oname: wufuc.dll
hash: 7f34aa7d72cbb680d8b10f5bdef268b1cf03ecac status: unsigned, pe64, dll / unsigned / unknown / unknown

версию 0.7.1 я обелять не буду. объявляйтесь на нормальный билд.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#33 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 01 Апрель 2021 - 17:56

Вечером 31 марта после очередного обновления Dr.Web снова возникла проблема как в первом посте темы.

03/31/21 21:57:55 [rundll32.exe:1688] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.6.7601.24542
03/31/21 21:57:55 [rundll32.exe:1688] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x2f418
03/31/21 21:57:55 [rundll32.exe:1688] [ERROR] ServiceNotifyCallback(148): Failed to write value to target process: lpAddress=000007FEF370E948! (LastError=5)
03/31/21 21:57:55 [rundll32.exe:1688] [ERROR] ServiceNotifyCallback(155): Failed to patch flag in target process at address 000007FEF370E94C! (LastError=5)

Причем работает это как-то странно.

 

Отключение контроля целостности запущенных приложений не помогает.

 

При перезапуске службы обновления Windows - повторяются точно такие же ошибки.

 

Зато если перезапустить сам wufuc (прибить процесс rundll32.exe wufuc64.dll,в диспетчере задач и запустить его заново из планировщика заданий), то все начинает работать, даже при включенном контроле целостности запущенных приложений!


04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.6.7601.24542
04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x2f418
04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(146): Successfully wrote value to target process: lpAddress=000007FECF4CE948
04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(153): Successfully wrote value to target process: lpAddress=000007FECF4CE94C

 



#34 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 01 Апрель 2021 - 18:11

Как выяснилось, помогает также отключение самозащиты, но она автоматически включается при перезагрузке ПК.



#35 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 01 Апрель 2021 - 18:27

Похоже, что виноват новый dwarkapi.dll версии 12.6.0.3250, прилетевший с обновлением 31 марта.

У меня случайно оказался один не обновленный компьютер, взяла с него dwarkapi.dll предыдущей версии 12.5.19.2150 от 25 февраля, заменила его вручную на всех проблемных ПК и включила в настройках обновлять только вирусные базы - помогло.



#36 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 01 Апрель 2021 - 20:51

Неожиданно, спасибо за фидбек, разберемся
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#37 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 01 Апрель 2021 - 21:28

Anyuta1166, Вам бы в бета-тестеры - у Вас хорошо получается. :)


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#38 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 02 Апрель 2021 - 19:13

а можно отчет получить с этой машины после проблемного запуска? хочется в живую увидеть все ли так как должно быть


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#39 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 03 Апрель 2021 - 16:57

Хм, оказывается если включить в настройках обновлять только вирусные базы - dwarkapi.dll все равно обновляется на новую версию. Это так и должно быть?

 

Еще странно, что на одном из ПК ошибка исчезла. На втором после обновления dwarkapi.dll снова стабильно повторяется.

 

Отчет: https://disk.yandex.ru/d/ksKfnyk7ATrv6w



#40 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 03 Апрель 2021 - 18:10

Хм, оказывается если включить в настройках обновлять только вирусные базы - dwarkapi.dll все равно обновляется на новую версию. Это так и должно быть?

Неа, не должно.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых