Перейти к содержимому


Фото
- - - - -

Срабатывания на Far, FastStone, Roblox


  • Please log in to reply
23 ответов в этой теме

#1 Dimitrias

Dimitrias

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 21 Ноябрь 2017 - 17:31

Сначала это чудо удалило exe-шник FastStone Image Viewer 
При попытке удалить фото.
Теперь это чудо удалило far.exe при копировании видео-файлов с одного логического диска на другой.
В обоих случаях сообщая что программам запрещено изменять объекты.

 

Потом блокирование  Roblox в момент установки.

 

Это вот сегодня:

 

501

Событие: Обнаружена угроза Сведения: Объект: Far.exe
Угроза: DPH:Trojan.Encoder.2
Действие: Перемещено
Путь: C:/Program Files/Far Manager/Far.exe


#2 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 742 Сообщений:

Отправлено 21 Ноябрь 2017 - 17:34

Спасибо!


Sergey Komarov
R&D www.drweb.com

#3 Dimitrias

Dimitrias

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 21 Ноябрь 2017 - 17:45

Спасибо!

 

Пожалуйста, а что это за эпидемия в последнее время?

Более 20 лет пользую дрвеб. Но сейчас серьезно задумался удалить его и перейти на что-то более лучшее.

Эта дрянь блокирует мою всю работу.  :angry:


Сообщение было изменено Dimitrias: 21 Ноябрь 2017 - 17:46


#4 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 742 Сообщений:

Отправлено 21 Ноябрь 2017 - 17:47

 

Спасибо!

 

Пожалуйста, а что это за эпидемия в последнее время?

Более 20 лет пользую дрвеб. Но сейчас серьезно задумался удалить его и перейти на что-то более лучшее.

Эта дрянь блокирует мою всю работу.  :angry:

 

 

Фар вообще опасная штука в последнее время. Приходится бдить :(


Sergey Komarov
R&D www.drweb.com

#5 Dimitrias

Dimitrias

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 21 Ноябрь 2017 - 17:54

 

 

Спасибо!

 

Пожалуйста, а что это за эпидемия в последнее время?

Более 20 лет пользую дрвеб. Но сейчас серьезно задумался удалить его и перейти на что-то более лучшее.

Эта дрянь блокирует мою всю работу.  :angry:

 

 

Фар вообще опасная штука в последнее время. Приходится бдить :(

 

 

О да, все опасно кроме дрвеба.

Как можно отключить такое срабатывание при копировании, удалении файлов?



#6 VVS

VVS

    The Master

  • Moderators
  • 15 504 Сообщений:

Отправлено 21 Ноябрь 2017 - 18:08

В превентивной защите создать индивидуальное правило для нужной программы, разрешив в нём действие, которое вызывает срабатывание.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#7 Dimitrias

Dimitrias

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 21 Ноябрь 2017 - 18:09

В превентивной защите создать индивидуальное правило для нужной программы, разрешив в нём действие, которое вызывает срабатывание.

 

а если я не знаю как называется это действие? где его название при срабатывании можно увидеть?



#8 VVS

VVS

    The Master

  • Moderators
  • 15 504 Сообщений:

Отправлено 21 Ноябрь 2017 - 18:12

"В обоих случаях сообщая что программам запрещено изменять объекты" - целостность файлов пользователей


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#9 Dimitrias

Dimitrias

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 21 Ноябрь 2017 - 18:18

"В обоих случаях сообщая что программам запрещено изменять объекты" - целостность файлов пользователей

 

Спасибо.

А как разблокировать папку, которую эта дрянь заблокировала? Надо же теперь переустановить Far.



#10 VVS

VVS

    The Master

  • Moderators
  • 15 504 Сообщений:

Отправлено 21 Ноябрь 2017 - 18:19

Перезагрузиться, после чего можно будет восстановить модуль из карантина.


Сообщение было изменено VVS: 21 Ноябрь 2017 - 18:20

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#11 Dimitrias

Dimitrias

    Newbie

  • Posters
  • 43 Сообщений:

Отправлено 21 Ноябрь 2017 - 20:07

Перезагрузиться, после чего можно будет восстановить модуль из карантина.

 

Весело.

Сейчас обратил внимание, что некоторые файлы оно все таки дало перенести, а на каком-то посчитало что несанкционированный доступ!

:D  :facepalm:  при переносе на другой логический диск!!!!  :facepalm:  :facepalm:  :facepalm:

А ваши спецы будут с этим срабатыванием разбираться или нет?


Сообщение было изменено Dimitrias: 21 Ноябрь 2017 - 20:09


#12 provayder

provayder

    Poster

  • Posters
  • 1 326 Сообщений:

Отправлено 21 Ноябрь 2017 - 20:14

 

Перезагрузиться, после чего можно будет восстановить модуль из карантина.

 

Весело.

Сейчас обратил внимание, что некоторые файлы оно все таки дало перенести, а на каком-то посчитало что несанкционированный доступ!

:D  :facepalm:  при переносе на другой логический диск!!!!  :facepalm:  :facepalm:  :facepalm:

А ваши спецы будут с этим срабатыванием разбираться или нет?

 

По поводу FastStone Image Viewer

https://forum.drweb.com/index.php?showtopic=328628&p=839136



#13 VVS

VVS

    The Master

  • Moderators
  • 15 504 Сообщений:

Отправлено 21 Ноябрь 2017 - 20:22

 

Перезагрузиться, после чего можно будет восстановить модуль из карантина.

 
Весело.
Сейчас обратил внимание, что некоторые файлы оно все таки дало перенести, а на каком-то посчитало что несанкционированный доступ!
:D  :facepalm:  при переносе на другой логический диск!!!!  :facepalm:  :facepalm:  :facepalm:
А ваши спецы будут с этим срабатыванием разбираться или нет?

 

Это к ним вопрос, а не ко мне.
ЕМНИП у Far нет подписи, так что IMHO я б в доверенные его не включал.
Но это IMHO.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#14 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 742 Сообщений:

Отправлено 21 Ноябрь 2017 - 20:27

 

Перезагрузиться, после чего можно будет восстановить модуль из карантина.

 

Весело.

Сейчас обратил внимание, что некоторые файлы оно все таки дало перенести, а на каком-то посчитало что несанкционированный доступ!

:D  :facepalm:  при переносе на другой логический диск!!!!  :facepalm:  :facepalm:  :facepalm:

А ваши спецы будут с этим срабатыванием разбираться или нет?

 

Будут. 


Sergey Komarov
R&D www.drweb.com

#15 SergSG

SergSG

    Guru

  • Posters
  • 9 652 Сообщений:

Отправлено 21 Ноябрь 2017 - 20:48

сейчас серьезно задумался удалить его и перейти на что-то более лучшее.

Если найдете "что-то более лучшее" и при этом не совсем дырявое, напишите, плз, я тоже подумываю.



#16 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 085 Сообщений:

Отправлено 21 Ноябрь 2017 - 21:18

А что с Roblox? Хочется понимания и деталей.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#17 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Dr.Web Staff
  • 951 Сообщений:

Отправлено 22 Ноябрь 2017 - 11:36

 

Сначала это чудо удалило exe-шник FastStone Image Viewer 
При попытке удалить фото.
Теперь это чудо удалило far.exe при копировании видео-файлов с одного логического диска на другой.
В обоих случаях сообщая что программам запрещено изменять объекты.

 

Потом блокирование  Roblox в момент установки.

 

Это вот сегодня:

 

501

Событие: Обнаружена угроза Сведения: Объект: Far.exe
Угроза: DPH:Trojan.Encoder.2
Действие: Перемещено
Путь: C:/Program Files/Far Manager/Far.exe

 

 

Нужно больше сведений про Roblox. Вы вот об этой игре говорите - https://www.microsoft.com/en-us/store/p/roblox/9nblgggzm6wm?SilentAuth=1&wa=wsignin1.0 ?

Если да, то расскажите как именно устанавливаете её, соберите логи ProcMon с начала установки Roblox до момента срабатывания и соберите сразу отчёт SysInfo после срабатывания.

 

Что касается Far и FastStone ImageViewer, то их действия зачастую не отличаются от шифровальщиков. А разработчики этих приложений не очень хотят подписывать свои творения, что весьма печально. Единственный способ избежать таких срабатываний, на данный момент, создать для них персональные правила Превентивной защиты.

Если мы ослабим защиту при таком поведении, то в какой-то момент вы сможете стать жертвой тех же шифровальщиков.



#18 maxic

maxic

    Keep yourself alive

  • Moderators
  • 11 410 Сообщений:

Отправлено 22 Ноябрь 2017 - 11:58

Aleksey Tarakhti, в последнее время мы стали легитимные приложения убивать. Вот сегодня были жалобы. Результатом оказалось помещение soffice.bin от Apache OpenOffice 4.1.4 в карантин как энкодера. Минное поле какое-то.



#19 Aleksey Tarakhti

Aleksey Tarakhti

    Poster

  • Dr.Web Staff
  • 951 Сообщений:

Отправлено 22 Ноябрь 2017 - 15:11

Aleksey Tarakhti, в последнее время мы стали легитимные приложения убивать. Вот сегодня были жалобы. Результатом оказалось помещение soffice.bin от Apache OpenOffice 4.1.4 в карантин как энкодера. Минное поле какое-то.

 

Это всё оборотная сторона борьбы с шифровальщиками.



#20 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 16 085 Сообщений:

Отправлено 22 Ноябрь 2017 - 15:43

Aleksey Tarakhti, в последнее время мы стали легитимные приложения убивать. Вот сегодня были жалобы. Результатом оказалось помещение soffice.bin от Apache OpenOffice 4.1.4 в карантин как энкодера. Минное поле какое-то.

готовим апдейт уже.
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых