Здравствуйте, команда DrWeb.
При помещении в карантин в имени файла регистр символов меняется на нижний. И при восстановлении файла регистр не восстанавливается.
Т.е. был такой файл (допустим) "Заявление на командировочные Ефимчик А В.docx"
DrWeb его удалил в карантин (причём даже ошибочно - ложное срабатывание, исправленное после обращения в службу поддержки).
И файл превратился в "заявление на командировочные ефимчик а в.docx"
Т.е. на пустом месте и ошибочно DrWeb сам попортил пользователю файл.
Это нехорошее поведение. Надо бы исправить.
Порчение пользовательских файлов - это баг? Серьёзный? Или как обычно, пустяк, не заслуживающий исправления?
Нижний регистр имени файла в карантине
#1
Отправлено 23 Октябрь 2019 - 23:53
#2
Отправлено 24 Октябрь 2019 - 09:16
Форум-то тут причём???
Сделайте запрос в техподдержку - пусть они выносят багу на разработчиков.
P.S.
И не надо нагнетать истерию: смена регистра неприятна, но к "порче данных пользователя" никак не относится.
Сообщение было изменено basid: 24 Октябрь 2019 - 09:16
#3
Отправлено 24 Октябрь 2019 - 10:22
Баг.Порчение пользовательских файлов - это баг? Серьёзный?
Или как обычно, пустяк, не заслуживающий исправления?
Не серьёзный.
Заслуживающий исправления в свободное от более серьёзных вещей время.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#4
Отправлено 24 Октябрь 2019 - 15:51
Форум-то тут причём???
А на форуме обсуждать баги нельзя?
#5
Отправлено 24 Октябрь 2019 - 17:27
uaHwElAqIW, какая версия антивируса? Файл был пойман SpIDer Guard-ом?
#6
Отправлено 24 Октябрь 2019 - 17:50
uaHwElAqIW, какая версия антивируса? Файл был пойман SpIDer Guard-ом?
А есть разница? Доктор не хранит ни атрибуты, ни точное название файлов, попавших в карантин, уже лет 100, как минимум.
Сообщение было изменено SergSG: 24 Октябрь 2019 - 17:51
#7
Отправлено 24 Октябрь 2019 - 18:47
А на форуме обсуждать баги нельзя?
А этом баге есть хоть что-то интересное??? Хотя бы в филосовском плане?
Вот вы уже высказались и очень пафосно, следом должен будет SergSG вставить пару копеек. Может, ещё кто подтянется.
Выхлоп-то в чём будет?
#8
Отправлено 24 Октябрь 2019 - 19:05
С другой стороны, если хотите пообсуждать, то извольте: у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.
Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.
Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".
#9
Отправлено 24 Октябрь 2019 - 19:07
Выхлоп-то в чём будет?
А Вы подумайте. Ответ слишком очевиден.
#10
Отправлено 24 Октябрь 2019 - 19:39
Нам, тупым, интеллектуальных намёков не понять ...
#11
Отправлено 24 Октябрь 2019 - 19:48
С другой стороны, если хотите пообсуждать, то извольте: у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.
Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.
Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".
О том и речь. Недавно были доделки на эту тему, поэтому интересна конкретика.
#12
Отправлено 24 Октябрь 2019 - 20:21
А для конкретики нужен отчёт, в котором зарегистрировано описываемое событие.С другой стороны, если хотите пообсуждать, то извольте: у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.
Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.
Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".
О том и речь. Недавно были доделки на эту тему, поэтому интересна конкретика.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#13
Отправлено 24 Октябрь 2019 - 23:46
какая версия антивируса? Файл был пойман SpIDer Guard-ом?
11.5, SpIDer Guard-ом. В 12-ой версии регистр не сбивается?
Сейчас проведу тест и соберу логи, и выложу здесь.
Сообщение было изменено uaHwElAqIW: 24 Октябрь 2019 - 23:47
#14
Отправлено 25 Октябрь 2019 - 01:35
Итак. Провёл тест. Регистр символов в имени файла при автоматическом удалении в карантин уже не сбивается.
Вы поразительно быстро поправили. А ещё говорите, что не нужно на форум обращаться; служба поддержки решала бы этот вопрос значительно дольше (по моему опыту).
Конкретика по поводу вчерашнего инцидента.
Один из попорченых вчера (2019-10-23) файлов назывался CR-WG450.exe . Был автоматически удалён при распаковке архива WinGate_v4[1].50.zip , превратился при удалении в карантин в cr-wg450.exe (и восстановлен был уже под именем cr-wg450.exe ).
Итог: был пользовательский файл CR-WG450.exe , стал по ошибке файлом cr-wg450.exe .
После обращения в службу поддержки о ложном срабатывании и подтверждения этого через ≈ 4 часа, обновления антивируса файл cr-wg450.exe уже вирусом не считался.
Среди всех логов DrWeb ( C:\Documents and Settings\All Users\Application Data\Doctor Web\Logs\ ) только в dwservice.log есть упоминания имён CR-WG450.exe/cr-wg450.exe . Из dwservice.log выкладываю все строчки с упоминанием CR-WG450.exe/cr-wg450.ex (а то целиком там 73000 строк). В spiderg3.log строчки начинаются уже с 2019-10-24.
2019-Oct-23 07:54:00.206192 [ 2984] [INF] [arkdll] [2516] id: 733717, timestamp: 07:54:00.190, type: FileExecWrite (53), flags: 1 (wait: 1) sid: S-1-5-21-500, cid: 3584/2824:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe context: start addr: 0x4f61f0, image: 0x400000:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe fileinfo: size: 43008, easize: 39, attr: 0x20, buildtime: 19.06.1992 22:22:17.000, ctime: 23.10.2019 07:54:00.190, atime: 23.10.2019 07:54:00.190, mtime: 15.01.2002 05:56:30.000, descr: , ver: , company: , oname: hash: ba71b99952d116c84c4a63da3a1c4c715179ef8d status: unsigned, pe32 / unsigned / unknown / unknown drop new executable: \Device\HarddiskVolume1\Documents and Settings\Administrator\Desktop\F\+Proxy\+WinGate\wingate45\WinGate_v4[1].50\CR-WG450.exe id: 733717 ==> allowed [2], time: 15.308929 ms ....... 2019-Oct-23 07:56:12.269065 [ 3004] [INF] [arkdll] [2608] id: 734784, timestamp: 07:56:12.269, type: PsCreate (16), flags: 1 (wait: 1) sid: S-1-5-21-500, cid: 668/4200:\Device\HarddiskVolume1\DrWeb\spideragent_adm.exe context: start addr: 0x4010b0, image: 0x400000:\Device\HarddiskVolume1\DrWeb\spideragent_adm.exe created process: \Device\HarddiskVolume1\DrWeb\spideragent_adm.exe:668 --> \Device\HarddiskVolume1\DrWeb\spideragent.exe:496 sid: S-1-5-21-500, bitness: 32, ilevel: unknown, sesion id: 0, type: 2, reason: 0, new: 0, dbg: 0, wsl: 0 curdir: , cmd: status: signed_drweb / signed_drweb / clean / unknown id: 734784 ==> allowed [2], time: 0.573257 ms 2019-Oct-23 07:56:13.456147 [ 2992] [WRN] [users] getting display name failed: A required privilege is not held by the client. (1314) 2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1006 2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1012 2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1013 2019-Oct-23 07:56:13.471766 [ 2992] [WRN] [users] getting display name failed: A required privilege is not held by the client. (1314) 2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1015 2019-Oct-23 07:56:13.487386 [ 2992] [WRN] [users] getting display name failed: The system cannot find the file specified. (2) 2019-Oct-23 07:56:13.565483 [ 3000] [INF] [dwprot-calls] User Sf0 is registering as pumper. 2019-Oct-23 07:56:13.627961 [ 2996] [INF] [dws9] Interactive process entered 2019-Oct-23 07:56:17.860846 [ 4120] [INF] [qr-calls] Enumerate finished. 2019-Oct-23 07:56:26.826439 [ 3008] [INF] [qr-calls] restore file, hash: F08e611cd0c760557f2e1ecc9af7531cf03d6b2e3080554bc72ca834901db0a1 , path:C:\documents and settings\administrator\desktop\f\+proxy\+wingate\wingate45\wingate_v4[1].50\cr-wg450.exe, Result: 0 2019-Oct-23 07:56:31.652864 [ 5620] [INF] [qr-calls] Enumerate finished. 2019-Oct-23 07:59:57.720928 [ 2980] [INF] [arkdll] [2596] ....... 2019-Oct-23 18:25:10.161276 [ 2992] [INF] [arkdll] [2568] id: 918864, timestamp: 18:25:10.161, type: FileExecWrite (53), flags: 1 (wait: 1) sid: S-1-5-21-500, cid: 4960/3712:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe context: start addr: 0x4f61f0, image: 0x400000:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe fileinfo: size: 43008, easize: 39, attr: 0x20, buildtime: 19.06.1992 22:22:17.000, ctime: 23.10.2019 18:25:10.145, atime: 23.10.2019 18:25:10.161, mtime: 15.01.2002 05:56:30.000, descr: , ver: , company: , oname: hash: ba71b99952d116c84c4a63da3a1c4c715179ef8d status: unsigned, pe32 / unsigned / unknown / unknown drop new executable: \Device\HarddiskVolume1\Documents and Settings\Administrator\Desktop\F\+Proxy\+WinGate\wingate45\WinGate_v4[1].50\CR-WG450.exe id: 918864 ==> allowed [2], time: 1.201550 ms 2019-Oct-23 18:25:10.239399 [ 3000] [INF] [arkdll] [2544]
#15
Отправлено 25 Октябрь 2019 - 01:48
... у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.
Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.
Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".
По всей видимости, объяснить можно двумя вариантами:
- в 12-ой версии этого бага нет (у меня версия 11.5, т.к. 12-ая не идёт под Windows XP),
- вы провели проверку после исправления бага, т.к. у меня (в версии 11.5) уже тоже регистр не портится при удалении в карантин. Проверил в 2019-10-24 22:30. В промежутке 2019-10-23 ≈17:30 — 2019-10-24 22:30 баг был, по видимости, исправлен. Я запрос в службу поддержки по этому багу составить не успел. Видимо, кто-то из работников DrWeb это сделал за меня (за что ему спасибо).
Сообщение было изменено uaHwElAqIW: 25 Октябрь 2019 - 01:51
#16
Отправлено 25 Октябрь 2019 - 01:57
Хочу добавить: у меня время в UTC. Чтобы перейти на московское время надо добавлять 4 ч.
#17
Отправлено 25 Октябрь 2019 - 04:31
Вот об этом-то и речь ...
Оказывается, что нормальное сообщение о баге должно содержать сильно больше информации, чем простая констатация факта.
Ещё оказывается, что комбинация XP+11.5 сильно понижает интерес форумчан, поскольку будет такое у незначительного процента маргиналов.
P.S.
Да, у маргиналов - лично я, несмотря на консервативность, "пересел" на семёрку в 2013 году. По вполне разумным соображениям.
#18
Отправлено 25 Октябрь 2019 - 09:24
у меня версия 11.5, т.к. 12-ая не идёт под Windows XP
Уже поддерживается, новость https://news.drweb.ru/show/?i=13435
-возобновлена возможность установки продуктов на компьютеры под управлением OS Windows XP / Windows Server 2003;
Приведённого куска лога, недостаточно, да там и нет ничего криминального, для анализа нужен полный отчёт антивируса, можете в личку Роману отправить.
Doctor Web, Ltd.
#19
Отправлено 25 Октябрь 2019 - 10:17
Итак. Провёл тест. Регистр символов в имени файла при автоматическом удалении в карантин уже не сбивается.
Вы поразительно быстро поправили. А ещё говорите, что не нужно на форум обращаться; служба поддержки решала бы этот вопрос значительно дольше (по моему опыту).
Никто ничего не правил, тем более в версии 11.5.
В старых версиях исправляются только критические баги, к коим обсуждаемое, естественно, не имеет никакого отношения.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#20
Отправлено 26 Октябрь 2019 - 23:58
комбинация XP+11.5 сильно понижает интерес форумчан, поскольку будет такое у незначительного процента маргиналов
На 99% уверен, что в 12-ой версии этот баг был тоже. Скажите, где скачать сборку за 2019-10-22 DrWebSS v12 , и можно будет это подтвердить (или опровергнуть).
И разговоры о маргиналах неуместны. Версия 11.5 официально поддерживается.
Уже поддерживается, новость https://news.drweb.ru/show/?i=13435
-возобновлена возможность установки продуктов на компьютеры под управлением OS Windows XP / Windows Server 2003;
Интересно, почему тогда версия 11.5 не обновляется автоматически до 12-ой. Насколько я помню, за 15 лет никогда не удалял старую версию, чтобы поставить новую. Всегда старая версия автообновлялась до новой версии.
Старую версию придётся удалить, или поверху можно 12-ую версию установить? Настройки от 11.5 примет версия 12-ая?
Приведённого куска лога, недостаточно, да там и нет ничего криминального, для анализа нужен полный отчёт антивируса, можете в личку Роману отправить.
Вообще-то, криминал там очевиден - регистр символов стал нижним:
drop new executable: \Device\HarddiskVolume1\Documents and Settings\Administrator\Desktop\F\+Proxy\+WinGate\wingate45\WinGate_v4[1].50\CR-WG450.exe 2019-Oct-23 07:56:26.826439 [ 3008] [INF] [qr-calls] restore file, hash: F08e611cd0c760557f2e1ecc9af7531cf03d6b2e3080554bc72ca834901db0a1 , path:C:\documents and settings\administrator\desktop\f\+proxy\+wingate\wingate45\wingate_v4[1].50\cr-wg450.exe, Result: 0
Also tagged with one or more of these keywords: нижний регистр, имя файла, карантин
Русские форумы →
Dr.Web Enterprise Suite →
не срабатывает разрешающее правило для контроля приложенийАвтор: Александр Б. , 15 июл 2022 контроль приложений, карантин и еще 1… |
|
|
||
Русские форумы →
Общие вопросы →
Непонятное поведение КАТАНЫ, багАвтор: Legion03 , 22 июн 2021 катана, баг, детект, карантин |
|
|
||
Русские форумы →
Dr.Web для Windows →
Рабочие станции →
Карантин на внешнем носителеАвтор: Отображаемое имя , 27 фев 2020 карантин |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Почему может возникать ошибка карантина?Автор: mikev1988 , 05 сен 2019 Карантин |
|
|
||
Русские форумы →
Dr.Web Enterprise Suite →
Карантин на сменном носителеАвтор: d.a.panov , 17 сен 2018 Карантин, Сменный носитель и еще 1… |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых