27 ответов в этой теме

[Zerg12345]

Папки с важными данными, к которым был открыт доступ из сети, оказались зашифрованными. 
К счастью, для них создавались ежедневные копии защитой данных. 
После шифрования все данные из этих папок были удалены и мы попытались восстановить 
данные из копии. Объем папки Drweb Arxiv очень большой (около 25 Гб). При попытке восстановления служба DrWeb перестает отвечать, после чего происходит ее перезагрузка. Пробовали несколько раз. После этого папка с архивом защищаемых файлов была скопирована на внешний носитель, а исходный зараженный жесткий диск отформатирован. 
Мы попытались восстановить архив на другом компьютере с DrWeb, но он не видит архивные копии. 
Как мы можем восстановить данные из сохраненной папки DrWeb arxiv? 
Прислать архив вам крайне затруднительно из-за большого объема. 

В услугах расшифровки не нуждаемся, просим помочь с восстановлением данных из копии.

[sergeyko]

Надо разбираться. Обратитесь, пожалуйста, в техподдержку. 

[Zerg12345]

Обратился, спасибо.

[Konstantin Yudin]

Для начала хотелось бы узнать о какой версии антивируса идет речь.

>Мы попытались восстановить архив на другом компьютере с DrWeb, но он не видит архивные копии.

папку целиком и никак иначе нужно положить в корень любого диска и включить в настройках защиту и выбрать этот диск. после этого все должно подхватится.

Если падает сервис то хотелось бы с него дамп в момент падения. см. как сделать дамп: https://forum.drweb.com/index.php?showtopic=324986
Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1

[Zerg12345]

Для начала хотелось бы узнать о какой версии антивируса идет речь.

>Мы попытались восстановить архив на другом компьютере с DrWeb, но он не видит архивные копии.

папку целиком и никак иначе нужно положить в корень любого диска и включить в настройках защиту и выбрать этот диск. после этого все должно подхватится.

Если падает сервис то хотелось бы с него дамп в момент падения. см. как сделать дамп: https://forum.drweb.com/index.php?showtopic=324986
Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1

Копия была создана в DrWeb SS11. Дампа падения службы уже не сделаю, т.к. зараженную систему снес.

На другом компьютере пробовал восстановить в DrWeb SS10. Делал так: включил защиту, создал защищенную копию пустой папки в корне внешнего HDD. Затем извлек его и на другой машине заменил на нем всю пустую папку с архивом в корне диска на непустую с нужным архивом. Затем снова

подключил к машине с DrWeb SS10 и попытался выполнить восстановление. Результат: папка с архивом обнулилась, резервных копий не найдено.  
Завтра попробую поставить DrWeb SS11 и повторить попытку.

[Konstantin Yudin]

>Копия была создана в DrWeb SS11. Дампа падения службы уже не сделаю, т.к. зараженную систему снес.
>На другом компьютере пробовал восстановить в DrWeb SS10

так нельзя. 10 версия не понимает формат 11

[Konstantin Yudin]

и сначала подкладывайте всю папку, потом включаете защиту данных и выбираете диск. иначе все пере затрется по окончании. т.к. индексные служебные файлы в памяти находятся.

[Zerg12345]

и сначала подкладывайте всю папку, потом включаете защиту данных и выбираете диск. иначе все пере затрется по окончании. т.к. индексные служебные файлы в памяти находятся.

Спасибо. Ситуация начинает проясняться. Пробовал на SS10, т.к. боялся, что в SS11 будет падать служба, как при первых попытках. Завтра попробую повторить с SS11 с включенной записью дампов на случай падений. Постараюсь также выбрать самый мощный компьютер из доступных, чтобы он смог "переварить" архив в 25 ГБ.   

[SergSG]

архив в 25 ГБ.   

Это все одним куском сделано?

[Zerg12345]

 

архив в 25 ГБ.   

Это все одним куском сделано?

 

Нет, это общий размер папки, созданной антивирусом. Там много файлов и точек восстановлений.

[Konstantin Yudin]

и сначала подкладывайте всю папку, потом включаете защиту данных и выбираете диск. иначе все пере затрется по окончании. т.к. индексные служебные файлы в памяти находятся.

Спасибо. Ситуация начинает проясняться. Пробовал на SS10, т.к. боялся, что в SS11 будет падать служба, как при первых попытках. Завтра попробую повторить с SS11 с включенной записью дампов на случай падений. Постараюсь также выбрать самый мощный компьютер из доступных, чтобы он смог "переварить" архив в 25 ГБ.

Мощность компьютера тут особой роли не играет

[Zerg12345]

Для начала хотелось бы узнать о какой версии антивируса идет речь.

>Мы попытались восстановить архив на другом компьютере с DrWeb, но он не видит архивные копии.

папку целиком и никак иначе нужно положить в корень любого диска и включить в настройках защиту и выбрать этот диск. после этого все должно подхватится.

Если падает сервис то хотелось бы с него дамп в момент падения. см. как сделать дамп: https://forum.drweb.com/index.php?showtopic=324986
Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1

Восстановление запускается, но сервис падает где-то на половине восстановления. Включил создание дампа через CreateDump=1.

Где искать сам дамп? Events.dbs это не он?

Прикрепленные файлы:

•  dwservice.log   7,31Мб   0 Скачано раз
•  events.dbs.log   44К   0 Скачано раз

[phantom83]

Где искать сам дамп?

в инструкции же есть ответ

 

Если нам повезло, crash-dump будет лежать в каталоге %LOCALAPPDATA%\CrashDumps

[Zerg12345]

 

Где искать сам дамп?

в инструкции же есть ответ

 

Если нам повезло, crash-dump будет лежать в каталоге %LOCALAPPDATA%\CrashDumps

 

Это если делать через настройку Windows, а не через DrWeb.

[phantom83]

Это если делать через настройку Windows, а не через DrWeb.

ни чего не понял, Вы же писали

Включил создание дампа через CreateDump=1.

Где искать сам дамп?

о каком дампе Вы говорите?

[SergSG]

Где искать сам дамп? Events.dbs это не он?

Events.dbs это не он.

Смотрите в каталогах Доктора C:\Program Files\Common Files\Doctor Web, C:\Program Files\DrWeb, C:\Users\Serg\Doctor Web, C:\ProgramData\Doctor Web

[Zerg12345]

Писали:

"Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1"

В этом случае дамп лежит не в %LOCALAPPDATA%\CrashDumps.

 

Выше есть инструкция как настроить другим способом. Вот там будет в %LOCALAPPDATA%\CrashDumps.

Я пробовал сделать встроенным дампером, но не могу найти папку с дампом.

Сейчас попробую по инструкции сделать.

[SergSG]

Писали:

"Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1"

В этом случае дамп лежит не в %LOCALAPPDATA%\CrashDumps.

Здесь нету C:\Users\Serg\AppData\Local\CrashDumps ?

[Zerg12345]

 

Писали:

"Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1"

В этом случае дамп лежит не в %LOCALAPPDATA%\CrashDumps.

Здесь нету C:\Users\Serg\AppData\Local\CrashDumps ?

 

Нету. Поставил восстановление еще раз на другой диск, жду.

[SergSG]

Писали:

"Так же в 11 версии, в самом сервисе есть встроенный функционал дампера, включается тут: SOFTWARE\\Doctor Web\\Settings\\av-service, параметр CreateDump=1"

В этом случае дамп лежит не в %LOCALAPPDATA%\CrashDumps.

Возможно после изменения в реестре нужен ребут.

Для сервиса лучше всего, конечно, создавать дамп родным дампером. Иногда это единственная возможность, т.к. он может сразу рестартануть и в дампе уже будет новая копия.

Да, и проверьте в реестре, приняло ли изменение CreateDump=1

Сообщение было изменено SergSG: 27 Октябрь 2017 - 11:19