Перейти к содержимому


Фото
- - - - -

dr web agent блокирует службу


  • Please log in to reply
25 ответов в этой теме

#1 dagsys

dagsys

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 29 Январь 2019 - 12:26

Добрый день всем!

 

 

У меня вот такая проблема есть сервер на нем развернут "Центр управления доктор вебом". Все установки антивирусной программы производится через него. Ближе к проблеме , я сегодня заметил что др веб удаляет кое какие службы с которым некоторые  программы связаны. 

 

вот например один из них : C:\windows\system32\stkhcl32.dll  , C:\WINDOWS\System32\svchost.exe -k stkhsvc .

 

как и где мне надо прописать это в Центре управление dr web - ом ??? что он не удалял саму программу и связанную службу.??? помогите ребята , срочно нужно... 

 

Прикрепленные файлы:

  • Прикрепленный файл  stkh.PNG   21,69К   0 Скачано раз


#2 VVS

VVS

    The Master

  • Moderators
  • 17 094 Сообщений:

Отправлено 29 Январь 2019 - 12:33

А что это за файл - C:\windows\system32\stkhcl32.dll ?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 dagsys

dagsys

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 29 Январь 2019 - 12:40

А что это за файл - C:\windows\system32\stkhcl32.dll ?

Это библиотека программы 



#4 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 500 Сообщений:

Отправлено 29 Январь 2019 - 12:49

dagsys, Какой программы? Можно отчет с этой машины, где был детект?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 VVS

VVS

    The Master

  • Moderators
  • 17 094 Сообщений:

Отправлено 29 Январь 2019 - 12:54

dagsys, Какой программы? Можно отчет с этой машины, где был детект?

https://stakhanovets.ru/7ka/

Не думаю, что это ложное срабатывание.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 VVS

VVS

    The Master

  • Moderators
  • 17 094 Сообщений:

Отправлено 29 Январь 2019 - 12:56

dagsys, внесите в исключения SpIDer Guard для эвривана или для конкретных агентов.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#7 dagsys

dagsys

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 29 Январь 2019 - 13:01

dagsys, внесите в исключения SpIDer Guard для эвривана или для конкретных агентов.

да это понятно , но как мне указать путь ? 



#8 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 500 Сообщений:

Отправлено 29 Январь 2019 - 13:01

dagsys, внесите в исключения SpIDer Guard для эвривана или для конкретных агентов.

 

Это все хорошо, но хотелось бы посмотреть thumbprint подписи файла. Мы уже мирили нас с данным ПО.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#9 VVS

VVS

    The Master

  • Moderators
  • 17 094 Сообщений:

Отправлено 29 Январь 2019 - 13:15

 

dagsys, внесите в исключения SpIDer Guard для эвривана или для конкретных агентов.

да это понятно , но как мне указать путь ? 

 

Отчёт приложите, посмотрим - скажем.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#10 dagsys

dagsys

    Newbie

  • Posters
  • 34 Сообщений:

Отправлено 30 Январь 2019 - 07:34

 

 

dagsys, внесите в исключения SpIDer Guard для эвривана или для конкретных агентов.

да это понятно , но как мне указать путь ? 

 

Отчёт приложите, посмотрим - скажем.

 

 

 

 

как сделать этот отчет ? или чем сделать ?



#11 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 30 Январь 2019 - 08:37

Скиньте C:\windows\system32\stkhcl32.dll на фтп: ftp://people.drweb.com/i.korolev/



#12 VVS

VVS

    The Master

  • Moderators
  • 17 094 Сообщений:

Отправлено 30 Январь 2019 - 09:45

dagsys, внесите в исключения SpIDer Guard для эвривана или для конкретных агентов.

да это понятно , но как мне указать путь ?

Отчёт приложите, посмотрим - скажем.

как сделать этот отчет ? или чем сделать ?

Инструменты - поддержка - отчёт для технической поддержки

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#13 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 005 Сообщений:

Отправлено 06 Февраль 2019 - 16:41

Скиньте C:\windows\system32\stkhcl32.dll на фтп: ftp://people.drweb.com/i.korolev/

Что-то делалось или каждую версию библиотеки скидывать?
Версия Сервера Dr.Web 11.00.2 (27-02-2019 05:00:00)
Linux 3.10.0-957.5.1.el7.x86_64 x86_64; ; glibc 2.17

#14 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 005 Сообщений:

Отправлено 08 Февраль 2019 - 07:44

56D672CC4D6397162ECCB331FAD8EBF61B31328FE8E5C84E5CC8C07DAA9DF7DB

 

C63A8CD9E4449493F7E4CE6305892954C17F812E59780D0164E5A1EC511F64F9


Сообщение было изменено Aleksandra: 08 Февраль 2019 - 07:45

Версия Сервера Dr.Web 11.00.2 (27-02-2019 05:00:00)
Linux 3.10.0-957.5.1.el7.x86_64 x86_64; ; glibc 2.17

#15 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 08 Февраль 2019 - 08:40

 

Скиньте C:\windows\system32\stkhcl32.dll на фтп: ftp://people.drweb.com/i.korolev/

Что-то делалось или каждую версию библиотеки скидывать?

 

 

Проблемы с данным ПО чинились, поэтому и стало интересно, что конкретно за версия ПО у этого человека.



#16 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 08 Февраль 2019 - 08:43

C63A8CD9E4449493F7E4CE6305892954C17F812E59780D0164E5A1EC511F64F9 - с этим проблем быть не должно.

 

56D672CC4D6397162ECCB331FAD8EBF61B31328FE8E5C84E5CC8C07DAA9DF7DB - такой не нашелся



#17 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 005 Сообщений:

Отправлено 08 Февраль 2019 - 09:06

56D672CC4D6397162ECCB331FAD8EBF61B31328FE8E5C84E5CC8C07DAA9DF7DB - такой не нашелся

attached

Прикрепленные файлы:


Версия Сервера Dr.Web 11.00.2 (27-02-2019 05:00:00)
Linux 3.10.0-957.5.1.el7.x86_64 x86_64; ; glibc 2.17

#18 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 08 Февраль 2019 - 10:00

 

56D672CC4D6397162ECCB331FAD8EBF61B31328FE8E5C84E5CC8C07DAA9DF7DB - такой не нашелся

attached

 

 

С этим тоже все норм должно быть.



#19 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 005 Сообщений:

Отправлено 08 Февраль 2019 - 10:25

Ваня, спасибо! Проблема была, есть ли она сейчас пока не понятно. Сами агенты уже не работают. Пробовала восстановить из карантина, удаленно ребутнула станцию через ES-сервер, но информация со станций уже не собирается.
Версия Сервера Dr.Web 11.00.2 (27-02-2019 05:00:00)
Linux 3.10.0-957.5.1.el7.x86_64 x86_64; ; glibc 2.17

#20 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 285 Сообщений:

Отправлено 08 Февраль 2019 - 10:31

А когда это было примерно? 21 сентября выходило обновление баз с новым их сертификатом.


Семь раз отрежь – один раз проверь


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых