За полгода работы с DrWeb постоянно сталкиваюсь с ложными срабатываниями. Причем если иногда это может быть как-то понятно (редкая программа при запуске удаленного приложения генерирует dll файлы), то в большинстве случаев наоборот. Например, все примеры элементарных программ, скомпилированных в C# с большой вероятностью будут "вирусы", мы даже проверяли ради интереса - программа в 10 строк (натуральное hello world) моментально выдает срабатывание. Последний случай совсем добил - два года лежала на винте какая-то утилита производителя матплаты, которая вдруг стала "зараженной".
Собственно, проблема в том, что обрабатывать такие случае крайне неудобно. Чтобы отправить файл необходимо сначала экспортировать (скачать) его к себе на компьютер, потом загрузить по адресу https://vms.drweb.ru/sendvirus/ (каждый раз надо вспоминать свой ключ), потом ждать пока обновят базы и т.п.
1) Самая главная проблема - я не могу экспортировать просто так ради отправки файл на проверку, ведь у меня тоже стоит тот же антивирус с теми же базами, он тут же выдаст предупреждение и сам уберет файл в карантин! Приходится создавать отдельную группу с настройками "все выкл", потом сохранять-отправлять файл, удалять его минуя корзину, на всякий случай чистить папку временных файлов (было такое, что антивирус находил в них экспортированный файл и снова я в статистике был злостным распространителем вирусов для СБ) и только потом возвращать защиту на место. О том, насколько это небезопасно даже писать не буду. Как это можно обойти? Нельзя ли как-то добавить кнопку "отправить файл на анализ" прямо в админку?
2) Но даже когда первый пункт пройден, остается другая проблема - файлы с ложным срабатыванием остаются в карантине как "инфицированные". При нажатии на кнопку "сканировать файлы" ничего не меняется. Теперь каждый раз самому надо следить и за тем, что файл проверили на ложное срабатывание, и восстанавливать его вручную по каждой машине? Нет какой-то опции проверки файла в карантине и если он чист, то его восстанавливают откуда удалили?
Пример на скриншоте. Ответ по поводу его содержимого:
Добрый день,
Ваш запрос был проанализирован. Это срабатывание является ложным. Ошибка была исправлена.
Спасибо за сотрудничество.
To reсeive notifications in English, send a blank email to lang@rt-web.dev.drweb.com
--
С уважением,
Служба вирусного мониторинга ООО "Доктор Веб"Категория: FALSE ALARM
-------------------Запрос--------------------------------------
Hello,
User sent us a suspicious file.
User ip: 194.190.12.50
User agent: Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko
User comment:
User language: ru
User email: ***
Original file name: Setup.exe
File size: 38500456
File time: 2017-06-02 09:43:26
File mime type: application/x-ms-dos-executable
MD5: 92a817f1d225a18c0ff30b7b54ceb93a
SHA1: 0c2a5d8b31798a66e2be1df3518caeb3b24eb599
--
WBR, send-suspic-file.pl v2