Всем привет. Произвел на предприятии апгрейд до 6.0 версии все работает хорошо, однако стала блокироваться программа удаленного администрирования ultravnc. Кто может подсказать правильные натройки исключений для этой программы.
P.S.: Перестала с антивирусом также работать программа сдачи электронной отчетности сбис. Если универсальное решение поисключению таких программ в антивирусе. Спасибо
Drweb и Ultravnc
Автор
vladimir_17
, апр 08 2011 10:12
7 ответов в этой теме
#2
sergeyko
-
- Dr.Web Staff
-
- 3 925 Сообщений:
Guru
Отправлено 08 Апрель 2011 - 12:39
Либо внести пути к этой штуке в исключения, либо привести имя детекта здесь, в зависимости от детекта, могут быть другие советы.Всем привет. Произвел на предприятии апгрейд до 6.0 версии все работает хорошо, однако стала блокироваться программа удаленного администрирования ultravnc. Кто может подсказать правильные натройки исключений для этой программы.
Как перестала? Что говорит?P.S.: Перестала с антивирусом также работать программа сдачи электронной отчетности сбис. Если универсальное решение поисключению таких программ в антивирусе. Спасибо
Sergey Komarov
R&D www.drweb.com
R&D www.drweb.com
#3
vladimir_17
-
- Members
- 2 Сообщений:
Newbie
Отправлено 08 Апрель 2011 - 12:43
По ultravnc помогло следующее:
Есть два варианта решения.
Либо запретить SpIDer Guard и сканерам Dr.Web вообще реагировать на любые программы, отнесенные к классу RiskWare (потенциально опасные), либо поименно исключить из проверки конкретные файлы соотв. ПО.
Первое настраивается в настройках соответсвующих компонент во вкладке "Действия":
"Потенциально опасные"="Игнорировать"
Второе - во вкладке "Исключения" (или "Исключаемые пути"):
Из компонента клиентской части ES соответствующие настройки нужно задать для
1) SpIDer Guard,
2) сканера "Dr.Web сканер для Windows"
3) сканера "D.Web Enterprise сканер для Windows".
У Spider Guard один действующий список исключений - список исключаемых _путей_.
Туда вносится все - и каталоги, и файлы.
Если файл исключается по относительному имени (в смысле без указания пути - т.е. не проверять файл с таким-то именем, независимо от того, в каком каталоге он находится), то в той же панели настроек исключений нужно поставить флажок, разрешающий использовать в исключениях относительные имена.
Что касается "Dr.Web сканер для Windows":
По полному имени (с путем) как каталоги, так и файлы исключаются также как и в SpIder Guard через список исключаемых путей.
Список исключаемых файлов в настройках сканера предназначен только для исключения файлов по имени файла (без указания пути).
О "D.Web Enterprise сканер для Windows" следует добавить, что это не отдельная прогр. компонента, а функция агента ES. Вызываться она может из заданий, поставленных в расписание для станции, и настраивается в свойствах таких заданий.
Два задания на сканирование станции в расписании для группы Everyone присутствуют по умолчанию.
Отключение реакции на RiskWare в настройках для Enterprise Scanner делается, в общем, также как и в остальных прогр. компонентах Dr.Web, а вот для исключения чего-либо из сканирования Enterprise Scanner'ом, исключение должно быть описано регулярным выражением.
По Сбис пока ничего сказать не могу потомучто бухгалтера сейчас нет на месте и сам не видел как программа работала и какие ошибки там она выдавала. Напишу позже
Есть два варианта решения.
Либо запретить SpIDer Guard и сканерам Dr.Web вообще реагировать на любые программы, отнесенные к классу RiskWare (потенциально опасные), либо поименно исключить из проверки конкретные файлы соотв. ПО.
Первое настраивается в настройках соответсвующих компонент во вкладке "Действия":
"Потенциально опасные"="Игнорировать"
Второе - во вкладке "Исключения" (или "Исключаемые пути"):
Из компонента клиентской части ES соответствующие настройки нужно задать для
1) SpIDer Guard,
2) сканера "Dr.Web сканер для Windows"
3) сканера "D.Web Enterprise сканер для Windows".
У Spider Guard один действующий список исключений - список исключаемых _путей_.
Туда вносится все - и каталоги, и файлы.
Если файл исключается по относительному имени (в смысле без указания пути - т.е. не проверять файл с таким-то именем, независимо от того, в каком каталоге он находится), то в той же панели настроек исключений нужно поставить флажок, разрешающий использовать в исключениях относительные имена.
Что касается "Dr.Web сканер для Windows":
По полному имени (с путем) как каталоги, так и файлы исключаются также как и в SpIder Guard через список исключаемых путей.
Список исключаемых файлов в настройках сканера предназначен только для исключения файлов по имени файла (без указания пути).
О "D.Web Enterprise сканер для Windows" следует добавить, что это не отдельная прогр. компонента, а функция агента ES. Вызываться она может из заданий, поставленных в расписание для станции, и настраивается в свойствах таких заданий.
Два задания на сканирование станции в расписании для группы Everyone присутствуют по умолчанию.
Отключение реакции на RiskWare в настройках для Enterprise Scanner делается, в общем, также как и в остальных прогр. компонентах Dr.Web, а вот для исключения чего-либо из сканирования Enterprise Scanner'ом, исключение должно быть описано регулярным выражением.
По Сбис пока ничего сказать не могу потомучто бухгалтера сейчас нет на месте и сам не видел как программа работала и какие ошибки там она выдавала. Напишу позже
#4
Dmitriy Altuhov
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 02 Август 2012 - 19:58
Сегодня проблема вновь стала актуальной. До сегодняшнего дня проблем не было. Ultravnc в исключения не добавлял.
Station: USER22 (tcp/192.168.5.25:4978)
Time: 02/08/2012 22:31:55.788
Source: SpIDer Guard ® G3 for Workstations (NT AUTHORITY\SYSTEM:NT AUTHORITY\SYSTEM)
Object: "C:\program files\ultravnc\winvnc.exe" (***\***:****\Пользователи домена)
Type: infected
Virus: BackDoor.Siggen.47397
Result: locked
Ложное срабатывание?
Station: USER22 (tcp/192.168.5.25:4978)
Time: 02/08/2012 22:31:55.788
Source: SpIDer Guard ® G3 for Workstations (NT AUTHORITY\SYSTEM:NT AUTHORITY\SYSTEM)
Object: "C:\program files\ultravnc\winvnc.exe" (***\***:****\Пользователи домена)
Type: infected
Virus: BackDoor.Siggen.47397
Result: locked
Ложное срабатывание?
#5
maxic
-
- Moderators
- 12 857 Сообщений:
Keep yourself alive
Отправлено 02 Август 2012 - 20:26
Dmitriy Altuhov, отправьте в вирлаб в категорию Ложное срабатывание, аналитики рассмотрят и выдадут свой вердикт.
#6
Dmitriy Altuhov
-
- Posters
- 25 Сообщений:
Newbie
Отправлено 03 Август 2012 - 16:43
Вроде исправили. Сейчас определяется не как вирус, а как "Program.RemoteAdmin.557" со статусом Reported. Хоть пользователей не пугают сообщения.
#7
v.martyanov
-
- Virus Analysts
-
- 8 308 Сообщений:
Guru
Отправлено 03 Август 2012 - 16:45
Вроде исправили. Сейчас определяется не как вирус, а как "Program.RemoteAdmin.557" со статусом Reported. Хоть пользователей не пугают сообщения.
Ну детект соответствует содержанию. А что там со второй программой? На ней тоже детект?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
Dr.Web soft партнер Шенцев
-
- Posters
- 8 Сообщений:
Newbie
Отправлено 04 Август 2012 - 10:17
Из опыта лучше не использовать относительные пути, в Spider Guard в список исключений нужно внести абсолютный путь.
Кстати до недавних обновлений, и sc и uvnc нормально работали с Доктором Веб.
Кстати до недавних обновлений, и sc и uvnc нормально работали с Доктором Веб.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
