Перейти к содержимому


Фото
- - - - -

Загрузка процессора dwengine.exe при отключенных компонентах защиты


  • Please log in to reply
51 ответов в этой теме

#1 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 26 Май 2019 - 10:57

Добрый день.

Наблюдаю странное поведение компонентов Агента на установленном файловом (DFS) сервере. 

 

Можно как-то узнать, что именно вызвало столь неподдельный интерес у dwengine.exe?

 

Nbet3OY.png


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#2 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 26 Май 2019 - 13:35

Логи проштудировать за этот момент времени.

#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 28 Май 2019 - 16:05

на самом деле вы не все отключили, есть еще фоновая проверка на руткиты, она выключается отдельно в настройках спайдер гарда. лучше всего снять дамп этого процесса пока он потребляет ресурсы. может зациклился на каком то объекте.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 28 Май 2019 - 18:14

А может сканер по расписанию запустился.



#5 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 29 Май 2019 - 09:27

А может сканер по расписанию запустился.

 

Скорее всего так и случилось. Обычно он справляется часов за 10, а скриншот был снят на исходе 15 часа работы. И я по началу не связал эти события, но думал может есть какое-то секретное кунг-фу, наведя мышь на которую можно понять, что выполняется запланированное задание.


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#6 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 29 Май 2019 - 14:21

 

А может сканер по расписанию запустился.

 

Скорее всего так и случилось. Обычно он справляется часов за 10, а скриншот был снят на исходе 15 часа работы. И я по началу не связал эти события, но думал может есть какое-то секретное кунг-фу, наведя мышь на которую можно понять, что выполняется запланированное задание.

 

Про кунг-фу не скажу, вряд ли такое есть. При сканировании по расписанию, если не ошибаюсь, работает консольник, но на Вашем скрине не все процессы Доктора видны.

А вот необходимость в регулярном сканировании при наличии спайдера вызывает большие сомнения.



#7 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 828 Сообщений:

Отправлено 29 Май 2019 - 14:41

При сканировании по расписанию, если не ошибаюсь, работает консольник, но на Вашем скрине не все процессы Доктора видны.

Неа, нечто под кодовым названием Enterprise Scanner.


Семь раз отрежь – один раз проверь

#8 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 29 Май 2019 - 14:44

 

При сканировании по расписанию, если не ошибаюсь, работает консольник, но на Вашем скрине не все процессы Доктора видны.

Неа, нечто под кодовым названием Enterprise Scanner.

Он и на серверных версиях? В процессах его должно быть видно?



#9 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 828 Сообщений:

Отправлено 29 Май 2019 - 14:45

Он и на серверных версиях? В процессах его должно быть видно?

Емнип, технически это кусок сервиса.


Семь раз отрежь – один раз проверь

#10 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 29 Май 2019 - 15:00

 

Он и на серверных версиях? В процессах его должно быть видно?

Емнип, технически это кусок сервиса.

Значит работу сканера по расписанию никак не идентифицировать? Или есть идеи?  :huh:



#11 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 29 Май 2019 - 15:48

Он и на серверных версиях? В процессах его должно быть видно?

Емнип, технически это кусок сервиса.

Значит работу сканера по расписанию никак не идентифицировать? Или есть идеи?  :huh:

глянуть в ES консоль
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#12 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 29 Май 2019 - 16:01

 

 

Он и на серверных версиях? В процессах его должно быть видно?

Емнип, технически это кусок сервиса.

Значит работу сканера по расписанию никак не идентифицировать? Или есть идеи?  :huh:

 

Неуловимый "Джо", должен быть пойман и идентифицирован ^_^
В процессах он идентифицируется, как dwengine.exe, и если сканер вручную не запускали, то значит это планировщик его стартанул, как то так.

Однако, было бы не лишним процесс запуска сканера по расписанию отражать в трее, например в виде всплывающего уведомления "начато сканирование по расписанию" (имея опцию Вкл./Выкл.), таким образом дав понять пользователю, что происходит.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#13 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 29 Май 2019 - 17:32

Однако, было бы не лишним процесс запуска сканера по расписанию отражать в трее, например в виде всплывающего уведомления "начато сканирование по расписанию" (имея опцию Вкл./Выкл.), таким образом дав понять пользователю, что происходит.

И чтоб этот балун висел не 3 секунды, а пока пользователь сам его не закроет. И такой же на завершение наверно не помешал бы.

Надеюсь Вы сможете донести эту идею до руководителей разработки.  :)



#14 Vladislav S

Vladislav S

    Newbie

  • Dr.Web Staff
  • 30 Сообщений:

Отправлено 29 Май 2019 - 19:31

 

 

 

Он и на серверных версиях? В процессах его должно быть видно?

Емнип, технически это кусок сервиса.

Значит работу сканера по расписанию никак не идентифицировать? Или есть идеи?  :huh:

 

Неуловимый "Джо", должен быть пойман и идентифицирован ^_^
В процессах он идентифицируется, как dwengine.exe, и если сканер вручную не запускали, то значит это планировщик его стартанул, как то так.

Однако, было бы не лишним процесс запуска сканера по расписанию отражать в трее, например в виде всплывающего уведомления "начато сканирование по расписанию" (имея опцию Вкл./Выкл.), таким образом дав понять пользователю, что происходит.

 

Есть такое уведомление https://download.geo.drweb.com/pub/drweb/esuite/11.0.2/documentation/HTML/en/agent/

 

Minor notifications:

Scan of your computer is run by administrator of your anti-virus network.

Scan of your computer is run according to schedule.

Scan of your computer is finished.

 

Правда по умолчанию отключен, висит 15 секунд...



#15 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 828 Сообщений:

Отправлено 29 Май 2019 - 20:00

И чтоб этот балун висел не 3 секунды, а пока пользователь сам его не закроет. И такой же на завершение наверно не помешал бы.

Надеюсь Вы сможете донести эту идею до руководителей разработки.

Опционально можно такое делать, и делается, судя по комментарию Владислава.

По дефолту такое делать никак нельзя, потому что в тырпрайзе не дело пользователя, что там у него делается по команде из ЦУ.


Семь раз отрежь – один раз проверь

#16 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 29 Май 2019 - 20:02

 

Есть такое уведомление https://download.geo.drweb.com/pub/drweb/esuite/11.0.2/documentation/HTML/en/agent/

 

Minor notifications:

Scan of your computer is run by administrator of your anti-virus network.

Scan of your computer is run according to schedule.

Scan of your computer is finished.

Правда по умолчанию отключен, висит 15 секунд...

:D Ну вот. Как то раскурили. Разработка оперативно сработала.

Только с дефолтом, думаю, сделали не правильно и 15 секунд - совсем не то пальто. Пользователь должен гарантированно получить уведомление, что ресурсы ПК будут ограничены из за запущенного сканирования.


Сообщение было изменено SergSG: 29 Май 2019 - 20:05


#17 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 29 Май 2019 - 20:05

По дефолту такое делать никак нельзя, потому что в тырпрайзе не дело пользователя, что там у него делается по команде из ЦУ.

Не согласен. Я должен знать что мой ПК станет на время тормозом. Повлиять на процесс я не смогу по любому, разве что через админа, но знать должен.



#18 Александр Б.

Александр Б.

    Member

  • Posters
  • 207 Сообщений:

Отправлено 30 Май 2019 - 10:28

Опционально можно такое делать, и делается, судя по комментарию Владислава.

По дефолту такое делать никак нельзя, потому что в тырпрайзе не дело пользователя, что там у него делается по команде из ЦУ.

 

Логично, но.

 

Если речь идёт о серверах, на которые заходят только администраторы - они же должны знать, что происходит?

 

Для них шарик должен всплывать. Например после нажатия на замок.


Dr.Web ESS 13.00.1 (21-09-2023 03:00:00) / Ubuntu 20.04.6 / Linux 5.4.0-169-generic x86_64; Debian GNU/Linux bullseye/sid; glibc 2.31 / PostgreSQL 10.18

 


#19 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 30 Май 2019 - 11:21

По дефолту такое делать никак нельзя, потому что в тырпрайзе не дело пользователя, что там у него делается по команде из ЦУ.

Не согласен. Я должен знать что мой ПК станет на время тормозом. Повлиять на процесс я не смогу по любому, разве что через админа, но знать должен.
Мечтай. Ничего ты не должен, сиди и работой. А узнаешь или нет зависит от конкретного админа, он может сообщить что плановые сканы тогда то, а может и не сообщить.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#20 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 828 Сообщений:

Отправлено 30 Май 2019 - 11:53

Если речь идёт о серверах, на которые заходят только администраторы - они же должны знать, что происходит?

Администраторы и без того знают, когда что планово сканируется. Если не те, так другие.


Семь раз отрежь – один раз проверь


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых