Перейти к содержимому


Фото
- - - - -

Не срабатывает исключение для Guard

ESS ложное сраб исключение

  • Please log in to reply
24 ответов в этой теме

#1 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 07:00

Добрый день.

Сегодня утром Агент версии 11.5 набросился на безобидную, давно работающую программу Wise Disk Cleaner

Источник: SpIDer Guard for Windows workstations (система)
Объект: C:\program files\wise\wise disk cleaner\wisediskcleaner.exe (неизвестно)
Тип: потенциально опасная программа
Угроза: Program.Unwanted.4104
Действие: сообщено

--
Dr.Web Server 11.00.2-201901120 (Windows Server 2008 R2 Standard x64 (Build 7601), Service Pack 1)

 

Вирустотал ничего не нашел, отправил файл в ваш сервис как ложное срабатывание, но пока надо работать, чтобы гвардеец не задалбывал сотрудников окошками.

Что сделал: выбрал группу Антивирусная сеть > Everyone > Windows > SpIDer Guard для рабочих станций и на вкладке Исключения добавил путь C:\program files\wise\wise disk cleaner\wisediskcleaner.exe ->  Сохранить.

Но окошки по прежнему появляются. Где моя ошибка?

 

#2 pig

pig

    Бредогенератор

  • Helpers
  • 10 661 Сообщений:

Отправлено 25 Апрель 2019 - 08:21

Вообще-то по умолчанию потенциально опасные просто игнорируются.
А детект, скорее всего, целевой. Видимо, какой-то троян утилиту в своих неблаговидных целях притаскивает.

А про неработающее исключение - песня отдельная. Нужен отчёт с проблемной машины.
Почтовый сервер Eserv тоже работает с Dr.Web

#3 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 10:37

Всё понятно, только чего он раньше то ее не трогал? Давно стоит, работает.

По исключениям, это старая больная песня, я уже 2 темы тут создавал, логи показывают всё ОК, но проблема остаётся. Поэтому и решил тем же способом: на время дал права, зашел на каждую станцию и прописал исключения на них. Благо, сеть небольшая.

Спасибо что уделили время.



#4 SergSG

SergSG

    The Master

  • Posters
  • 12 168 Сообщений:

Отправлено 25 Апрель 2019 - 10:47

Всё понятно, только чего он раньше то ее не трогал? Давно стоит, работает.

Вариант с ложным срабатыванием тоже не исключен.



#5 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 25 Апрель 2019 - 11:01

 

Добрый день.

Сегодня утром Агент версии 11.5 набросился на безобидную, давно работающую программу Wise Disk Cleaner

Источник: SpIDer Guard for Windows workstations (система)
Объект: C:\program files\wise\wise disk cleaner\wisediskcleaner.exe (неизвестно)
Тип: потенциально опасная программа
Угроза: Program.Unwanted.4104
Действие: сообщено

--
Dr.Web Server 11.00.2-201901120 (Windows Server 2008 R2 Standard x64 (Build 7601), Service Pack 1)

 

Вирустотал ничего не нашел, отправил файл в ваш сервис как ложное срабатывание, но пока надо работать, чтобы гвардеец не задалбывал сотрудников окошками.

Что сделал: выбрал группу Антивирусная сеть > Everyone > Windows > SpIDer Guard для рабочих станций и на вкладке Исключения добавил путь C:\program files\wise\wise disk cleaner\wisediskcleaner.exe ->  Сохранить.

Но окошки по прежнему появляются. Где моя ошибка?

На этот вопрос ответить может только приложенный Вами отчёт доктора.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 11:49

На этот вопрос ответить может только приложенный Вами отчёт доктора.

 

С чего бы начать, всё такое вкусное... :)

29609_800.png

 

Да вот с нижней, пожалуй. Окно 5, время проблемы 15:08:21

https://cloud.mail.ru/public/2khg/296retpDk



#7 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 25 Апрель 2019 - 11:58

Нет у Вас никаких исключений для этого файла на этом компьютере.

Можно вангануть, что на нём персональные настройки.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#8 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 12:06

Ваша правда. Видимо, в этом и есть ошибка, что я решил что правила группы Everyone имеют высший приоритет?



#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 25 Апрель 2019 - 12:08

Всё понятно, только чего он раньше то ее не трогал? Давно стоит, работает.

Вариант с ложным срабатыванием тоже не исключен.

судя по пути не думаю
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 741 Сообщений:

Отправлено 25 Апрель 2019 - 12:11

Ваша правда. Видимо, в этом и есть ошибка, что я решил что правила группы Everyone имеют высший приоритет?

Настройки от Everyone будут получены, если они нигде не перекрыты. Для первичных групп станции или для самой станции.


Семь раз отрежь – один раз проверь

#11 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 12:16

 

 

Всё понятно, только чего он раньше то ее не трогал? Давно стоит, работает.

Вариант с ложным срабатыванием тоже не исключен.

 

судя по пути не думаю

 

Я еще утром, отправил, с указанием серийника, этот файл на проверку, пока нет ответа.

Строго говоря, основные задачи решены, запуску софтины он не мешает, работников не отвлекает, ну а то что заваливает мне почту алертами... ну, надеюсь, органы скоро разберутся и отпустят невиновных.



#12 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 13:22

Только что скачал, установил и запустил сабжевую утилитку дома. Доктор Веб 12 даже не пикнул. Есть еще сомнения что это ложняк?



#13 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 690 Сообщений:

Отправлено 25 Апрель 2019 - 13:26

Только что скачал, установил и запустил сабжевую утилитку дома. Доктор Веб 12 даже не пикнул. Есть еще сомнения что это ложняк?

А если натравить сканер? :)
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#14 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 741 Сообщений:

Отправлено 25 Апрель 2019 - 13:30

Только что скачал, установил и запустил сабжевую утилитку дома. Доктор Веб 12 даже не пикнул. Есть еще сомнения что это ложняк?

Конечно есть. У Вас настроенные действия для нежелательных отличаются там и там.


Семь раз отрежь – один раз проверь

#15 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 25 Апрель 2019 - 13:33

Только что скачал, установил и запустил сабжевую утилитку дома. Доктор Веб 12 даже не пикнул. Есть еще сомнения что это ложняк?

Естественно есть.

По умолчанию детект подобного типа угроз отключен.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#16 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 25 Апрель 2019 - 13:44

 

Только что скачал, установил и запустил сабжевую утилитку дома. Доктор Веб 12 даже не пикнул. Есть еще сомнения что это ложняк?

А если натравить сканер? :)

 

Вы что-то знали! :) Домашний сканер ругнулся на

sqlite3.dll

WiseDefrag.dll

WJSlib.dll

 

Разбаньте ее, пжлст., она хорошая, пользу нам приносит. :rolleyes:



#17 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 13 Май 2019 - 13:51

Спасибо что отреагировали.

29756_900.png

Но, Агент продолжает бомбить веб-консоль и почту алертами об угрозе. Настроить персональные исключения и забить?

Это не каприз и не прихоть, позвольте объясню. Особенности нашего рабочего процесса таковы (пламенный привет компании AT Consulting Vostok), что нужно регулярно чистить кэш и куки бразуера и кэш Java.  И если про Shift+Ctrl+Del я еще пытался объяснить,то java... А эта утилитка оказалась идеальным решением, потому что у нее есть свой простенький шедулер, ставишь нужные флажки и при каждом запуске она быстро делает своё дело.



#18 SergSG

SergSG

    The Master

  • Posters
  • 12 168 Сообщений:

Отправлено 13 Май 2019 - 17:58

У браузеров обычно есть опция очистки кешей при зарытии.



#19 Ursus

Ursus

    Newbie

  • Posters
  • 80 Сообщений:

Отправлено 14 Май 2019 - 06:17

У браузеров обычно есть опция очистки кешей при зарытии.

1. Спутник с поддержкой отечественной криптографии - не нашел. Буду признателен если ткнете носом.

2. Как быть с Java?



#20 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 741 Сообщений:

Отправлено 14 Май 2019 - 11:16

1. Спутник с поддержкой отечественной криптографии - не нашел. Буду признателен если ткнете носом.

Криптопровайдеры с ГОСТом прикручивались когда-то к ФФ, может быть не к нему одному.


Семь раз отрежь – один раз проверь



Also tagged with one or more of these keywords: ESS ложное сраб, исключение

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых