И все-таки хотелось бы узнать мнение стаффов на счет режимов adguard фильтрации на лету и перенаправления на локальный прокси. Какой из них предпочтительнее для spider gate в вопросах совместимости?

Так это проблема собрать для random-reproduce бага отчет, это надо постоянно в дебажном режиме работать, чтобы его поймать. А это неудобно. Но попробовать можно, если будет сильно мешать

У меня проявился баг с совместной работой программы adguard в режиме wfp и spider gate. В таком режиме начала проявляться реклама на ютубе, стали появляться случайные баги на страницах, пустые места вместо баннеров и всякие подобные случайные баги. Это все пропадает (вроде как) если отключить wfp драйвер в адгварде.

Об этом баге писали давно, но он не исправлен до сих пор. Хотелось бы узнать почему так. Это что, самый трудноисправимый баг?

Еще в адгварде есть режимы фильтрации на лету и режим перенаправления трафика на локальный прокси. Какой из них лучше выбрать для более лучшей совместимости со spider gate?

А ведь когда-то давно был баг в брандмауэре, который тормозил мультиплеер компьютерной игры Сталкер (всех трех). И вроде как писали, что этот баг исправили, были проблемы с производительностью. Неужели опять?

Katana построена и работает на модулях 11.5, ей большего на данный момент не нужно, только обновление drwbase.

arkapi обновился до версии 11.5.14.202011060

https://forum.drweb.com/index.php?showtopic=334690

Это, как я понимаю, мой баг? Еще хотел проверить баг с блокированием файлов, о котором писал в первом посте. Но фпс монитор работает, даже если для него создать отдельное правило, запрещающее модификацию целостности запущенных приложений. Это теперь действует какой-то отдельный список исключений или предустановленных правил для программ, которые нельзя переопределить? С одной стороны, это хорошо тем, что невозможно будет по неосторожности сломать работу какой-то программы, с другой стороны, я не могу проверить баг с блокированием файлов вместо перемещения в карантин. Это так и должно быть или тут проявился новый баг?

Legion03, спасибо за фидбек, разобрались почему у Вас не обновлялся drwbase.db, подправили. Обновите продукт - придет новая база.

 А вот Аркадий там именно такой и лежит, двухлетней давности.

Тоже выйдет сегодня-завтра обновление

Попробовал воспроизвести баг, не воспроизводится, даже с отключенным облаком. Исправили, спасибо. Но вот поставил полный SS на виртуалку, посмотрел, там почти все модули версии 12, только virus finding engine 7 и антиспам 1. Но вот в катане почти все модули версии 11.5 и у меня до сих пор ничего не обновилось. Обновление еще не вышло? И выйдет только для arkapi или для всех остальных модулей 11.5 тоже?

Так вон оно как оказывается. Это кто так придумал, чтобы сообщить о ложном срабатывании, нужно открыть ссылку Прислать подозрительный файл. А для чего тогда сделали страницу https://support.drweb.ru/new/detection_issue/ и назвали Сообщить о ложном срабатывании? Просто так или она для чего-то нужна?

Номера тикетов техподдержки на форуме публиковать нельзя.

Вам нужно слать файл не в техподдержку, а в вирлаб.

Модератор.

Так на странице https://vms.drweb.ru/ есть ссылка Сообщить о ложном срабатывании https://support.drweb.ru/new/detection_issue/. Это не оно? Тогда зачем оно там? По какой ссылке слать ложные срабатывания?

Legion03, может, отправлять файл надо было не в саппорт, а в вирлаб?

А это как? Я вижу только одну ссылку для ложного срабатывания и по ней отправлял

Отправил файл через форму https://support.drweb.ru/new/detection_issue/ ,игровой чит определялся как вирус. В ответ мне приходит следующий опус от какой-то блондинки. Что это за бред вообще? С каких пор для исправления ложного детекта надо собирать логи? Недавно разер синапс как вирус определялся, так исправили без всяких логов. Реквестирую адекватного человека с мозгами в тикет. Прошу исправить определение игрового чита как вируса. Тикет ****-**** 10365263 от 02.07.2021

А как так может получиться, что у меня что-то там старое? Я же не пиратский дистрибутив скачал, а честно купил, а установщик скачал отсюда https://products.drweb.ru/home/katana/

Причем поставил всего два дня назад, это значит установщик старый там?

А когда его обновят? И почему его не обновляют, если обновление уже вышло?

Так, мне в тикете написали обновить программу, перезагрузить компьютер и проверить. Но я не заметил, что еще написали включить облако. Сейчас я включил облако, выполнил обновление и баг вроде пропал. Попробую еще с другими программами протестировать. Так а что, без облака никак? Что будет передаваться Доктору при активном облаке? Разъясните подробнее пункт 2.2 политики конфиденциальности. Будет ли отправляться на серверы в облако каждый детект чего-нибудь у меня на компьютере? Если да, то будет ли отправляться с этим мой уникальный идентификатор, по которому меня можно будет вычислить? Можно ли избавиться от этого бага без всяких облаков (не хочу, чтобы за мной следили), или вы таким образом принуждаете пользователей к отправке статистики (а она анонимна?)

И какие именно модули у меня старые? Вот версии с включенным облаком

Программные модули

Dr.Web KATANA 

Dr.Web KATANA (1.0)

Dr.Web Anti-rootkit API 

dwarkapi.dll (11.5.7.201902131)

Dr.Web KATANA setup 

katana-setup.exe (1.0.18.12080)

Dr.Web Shellguard anti-exploit module 

dwsguard64.dll (12.6.2.05180)

Dr.Web Shellguard anti-exploit module 

dwsguard32.dll (12.6.2.05180)

Dr.Web Protection for Windows 

dwprot.sys (11.5.10.10080)

Dr.Web SysInfo library 

dwsysinfo.dll (11.5.3.201811230)

Dr.Web SysInfo 

dwsysinfo.exe (11.5.3.201811230)

Dr.Web KATANA Agent 

spideragent.exe (11.0.7.02271)

Dr.Web Updater 

drwupsrv.exe (11.5.19.06040)

Dr.Web Control Service 

dwservice.exe (11.5.2.09121)

Dr.Web Quarantine 

dwqrlib64.dll (11.5.6.03280)

Dr.Web Thunderstorm Cloud Client SDK 

ccsdk.dll (11.5.1.06070)

Это как так? Я вчера скачал его из личного кабинета, обновления проверял, там не требуется. Почему у вас на сайте старая катана? И почему не обновляется, если обновление вышло?

Только вот к "качеству кода" это не имеет никакого отношения

Про качество кода это я написал из-за бага с фурмарком, а не по поводу этого окошка.  Отписал этот баг в техподдержку, но раньше вроде трекер был bugs.drweb.ru, сейчас его уже нет? Тогда откуда баг-репорты принимаются?

Еще баг в катане. Если запустить фпс монитор, а потом стресс-тест в фурмарке, то при закрытии монитора остается заблокированный процесс fpsmon64.exe, файл программы C:\ProgramData\FPSMonitor\hooks\fpsmon64.exe. Такое пока проявляется только с фурмарком, в играх такого нет. Если же отключить и включить защиту, то бага с фурмарком нет. Это вообще какой-то эпический криворукий баг. Как такое вообще возможно? Почему блокируется процесс fpsmon64.exe, но если перед запуском монитора и фурмарка отключить и включить заново защиту, то бага нет? Фурмарк версии 1.26.0.0, фпс монитор 5305. Вам не кажется, что это уже слишком? 1000 рублей в год и такие серьезные труднонаходимые баги? Это если человек разбирается в компьютерах, он может понять закономерность и найти причину бага, а если это будет блондинка? Тогда причину бага можно вообще не найти никогда. Да даже если и опытный человек, но никогда не юзал фурмарк, скачает его, запустит, увидит баг с фпс монитором и подумает на фурмарк или на монитор, что логично, ведь только с фурмарком такой баг появляется. А на самом деле виноват доктор веб. И что это за окошко в моем первом посте, где только одна кнопка исправить? Почему не две кнопки разрешить и запретить? Кому-то серьезно надо заняться выпрямлением своих рук, так как качество кода совсем плохое уже. Тут где-то баг трекер был, туда еще можно писать? Куда надо отписать по этому багу, чтобы им занялись?

А то, что файлы не удаляются, а блокируются, это нормально? Почему в карантине они есть и в исходной папке тоже есть? Очень похоже на баг. Может стоит вам поставить этот монитор и попробовать воспроизвести?

А вот мне интересно, проводил ли кто-нибудь когда-то глубокое подробное исследование на безопасность конфиденциальных данных подобные чересчур инвазивные античиты? Помню раньше даже такую компанию blizzard с достаточно хорошей репутацией обвинили в слежке из-за античита warden, хотя он без всяких драйверов. А тут малоизвестная компания выпускает неотключаемый драйверный античит, который больше напоминает руткит или вирус и все молчат. Может стоит добавлять подобные античиты в базы как program.unwanted или potencially unsafe, как это делают со всякими ауслогиками? Глядишь и пересмотрят может быть игроделы свой подход к античитам, меньше подобного хлама будет

В настройках защиты и блокировки подозрительных действий можно выбрать блокировать, разрешать и спрашивать для разных видов подозрительного поведения. Я попробовал с файлом hosts, выбрал спрашивать, добавил в файл несколько символов и сохранил - появился запрос разрешить или заблокировать изменения, все работает. Если же выбрать блокировать, то файл hosts изменить невозможно, тут тоже все понятно. Но вот есть программа FPS monitor и если параметр целостности запущенных приложений выбрать спрашивать, то при запуске монитора появляется такое странное окошко, где всего одна кнопка - исправить. Если ее нажать, то катана обнаруживает файлы C:\ProgramData\FPSMonitor\hooks\fpsmon64.exe и C:\ProgramData\FPSMonitor\hooks\fpsmon64.dll как вирусы и якобы помещает их в карантин. В менеджере карантина действительно отображаются эти два файла, но из папки C:\ProgramData\FPSMonitor\hooks они не удаляются, а остаются заблокированными. и снимается эта блокировка исключительно перезагрузкой компьютера, никакое отключение защиты и самозащиты не помогает. Если восстановить из карантина эти два файла, то они восстанавливаются с именами fpsmon64(1).exe и fpsmon64(1).dll. Ну это понятно, исходные файлы ведь заблокированы и с ними ничего нельзя сделать до перезагрузки. Но почему они блокируются, ведь в карантин должны были переместиться. И как отключить подобные детекты? В полном антивирусе есть настройки исключений, но тут исключений нет! Это вообще как так? Если я хочу, чтобы катана ни при каких обстоятельствах не проверяла определенную программу или определенную папку, то как их исключить? Один раз катана добавила в карантил файл SppExtComObjHook.dll и SppExtComObjPatcher.exe в карантин, я восстановил и больше эти файлы не трогает. Восстановление из карантина это аналог добавления в исключения или нет? Если нет, то почему тут нет исключений? Когда будет исправление бага с фпс монитором?

JohnLee, В сканирующих механизмах антивируса уже давно внедрена функция проверки BIOS области на предмет вредоносного ПО.

Эта функция есть только в windows версии или во всех?

Ну msiexec это компонент windows для работы с msi установщиками. И именно ему блокируется доступ

При установке symantec encryption desktop в конце появляется сообщение о блокировке msiexec доступа к автозаупску оболочки windows. Это в оптимальном режиме. В параноидальном и среднем тоже блокируется. Зачем блокировать доступ по умолчанию для системных компонентов? Установщик оригинальный, с цифровой подписью. Может стоит системные компоненты добавить в список исключений по умолчанию? Не слишком приятно устанавливать программы заново из-за чрезмерно параноидных настроек по умолчанию. Хотя режим совсем не параноидный.

Ошибка Вам запрещена загрузка файлов этого типа

А это что еще за шизофрения? Какие файлы тогда можно? Как прикрепить лог? Чем вам таблица не угодила?

Мне кажется, более интересным будет вопрос, ловит ли доктор веб вирусы от http://www.discoverytelecom.ru/catalog/4540.html этой штуки? И как обстоят дела с государственными вирусами? Добавляет ли доктор веб в базы вирусы гэбни/фсбни?

Не работает с этим правилом, только в режиме allow all

Не работает общий доступ к интернету, когда включен пакетный фильтр в режиме default rule. Раздаю интернет от PPPoE подключения через вай фай. Задействовано 3 сетевых интерфейса, а именно Microsoft Hosted Network Virtual Adapter, Atheros Wireless Adapter, Wan Miniport.

То есть для hosted network открыт общий доступ к адаптеру wan miniport pppoe. Если в настройках пакетного фильтра хотя бы для одного из этих адаптеров поставить режим default rule, то раздача интернета не работает. Или к компьютеру невозможно подключиться через вай фай вообще, или же не нет доступа в интернет, хотя устройства к виртуальной точке доступа подключаются. Если для всех адаптеров включить режим allow all, то все работает нормально.

Скорее всего не хватает какого-то разрешающего правила. Пока что разбираюсь, чего не хватает. Может у кого-нибудь было такое, подскажите, какого правила не хватает?