Перейти к содержимому


Фото
- - - - -

Нижний регистр имени файла в карантине

нижний регистр имя файла карантин

  • Please log in to reply
40 ответов в этой теме

#1 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 23 Октябрь 2019 - 23:53

Здравствуйте, команда DrWeb.

При помещении в карантин в имени файла регистр символов меняется на нижний. И при восстановлении файла регистр не восстанавливается.
Т.е. был такой файл (допустим) "Заявление на командировочные Ефимчик А В.docx"
DrWeb его удалил в карантин (причём даже ошибочно - ложное срабатывание, исправленное после обращения в службу поддержки).
И файл превратился в "заявление на командировочные ефимчик а в.docx"
Т.е. на пустом месте и ошибочно DrWeb сам попортил пользователю файл.

Это нехорошее поведение. Надо бы исправить.

Порчение пользовательских файлов - это баг? Серьёзный? Или как обычно, пустяк, не заслуживающий исправления?



#2 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 24 Октябрь 2019 - 09:16

Форум-то тут причём???

Сделайте запрос в техподдержку - пусть они выносят багу на разработчиков.

 

P.S.

И не надо нагнетать истерию: смена регистра неприятна, но к "порче данных пользователя" никак не относится.


Сообщение было изменено basid: 24 Октябрь 2019 - 09:16


#3 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 24 Октябрь 2019 - 10:22

Порчение пользовательских файлов - это баг? Серьёзный? Или как обычно, пустяк, не заслуживающий исправления?

Баг.
Не серьёзный.
Заслуживающий исправления в свободное от более серьёзных вещей время.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#4 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 24 Октябрь 2019 - 15:51

Форум-то тут причём???

А на форуме обсуждать баги нельзя?



#5 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 24 Октябрь 2019 - 17:27

uaHwElAqIW, какая версия антивируса? Файл был пойман SpIDer Guard-ом?


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 24 Октябрь 2019 - 17:50

uaHwElAqIW, какая версия антивируса? Файл был пойман SpIDer Guard-ом?

А есть разница? Доктор не хранит ни атрибуты, ни точное название файлов, попавших в карантин, уже лет 100, как минимум.


Сообщение было изменено SergSG: 24 Октябрь 2019 - 17:51


#7 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 24 Октябрь 2019 - 18:47

А на форуме обсуждать баги нельзя?

А этом баге есть хоть что-то интересное??? Хотя бы в филосовском плане?

Вот вы уже высказались и очень пафосно, следом должен будет SergSG вставить пару копеек. Может, ещё кто подтянется.

Выхлоп-то в чём будет?



#8 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 24 Октябрь 2019 - 19:05

С другой стороны, если хотите пообсуждать, то извольте: у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.

Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.

Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".



#9 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 24 Октябрь 2019 - 19:07

Выхлоп-то в чём будет?

А Вы подумайте. Ответ слишком очевиден.



#10 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 24 Октябрь 2019 - 19:39

Нам, тупым, интеллектуальных намёков не понять ...



#11 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 24 Октябрь 2019 - 19:48

С другой стороны, если хотите пообсуждать, то извольте: у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.

Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.

Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".

 

О том и речь. Недавно были доделки на эту тему, поэтому интересна конкретика.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 24 Октябрь 2019 - 20:21

С другой стороны, если хотите пообсуждать, то извольте: у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.
Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.
Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".

 
О том и речь. Недавно были доделки на эту тему, поэтому интересна конкретика.

А для конкретики нужен отчёт, в котором зарегистрировано описываемое событие.

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#13 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 24 Октябрь 2019 - 23:46

какая версия антивируса? Файл был пойман SpIDer Guard-ом?

11.5, SpIDer Guard-ом. В 12-ой версии регистр не сбивается?

 

Сейчас проведу тест и соберу логи, и выложу здесь.


Сообщение было изменено uaHwElAqIW: 24 Октябрь 2019 - 23:47


#14 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 25 Октябрь 2019 - 01:35

Итак. Провёл тест. Регистр символов в имени файла при автоматическом удалении в карантин уже не сбивается.

Вы поразительно быстро поправили. А ещё говорите, что не нужно на форум обращаться; служба поддержки решала бы этот вопрос значительно дольше (по моему опыту).

 

Конкретика по поводу вчерашнего инцидента.
Один из попорченых вчера (2019-10-23) файлов назывался CR-WG450.exe . Был автоматически удалён при распаковке архива WinGate_v4[1].50.zip , превратился при удалении в карантин в cr-wg450.exe (и восстановлен был уже под именем cr-wg450.exe ).

Итог: был пользовательский файл CR-WG450.exe , стал по ошибке файлом cr-wg450.exe .

После обращения в службу поддержки о ложном срабатывании и подтверждения этого через ≈ 4 часа, обновления антивируса файл cr-wg450.exe уже вирусом не считался.

Среди всех логов DrWeb ( C:\Documents and Settings\All Users\Application Data\Doctor Web\Logs\ ) только в dwservice.log есть упоминания имён CR-WG450.exe/cr-wg450.exe . Из dwservice.log выкладываю все строчки с упоминанием CR-WG450.exe/cr-wg450.ex (а то целиком там 73000 строк). В spiderg3.log строчки начинаются уже с 2019-10-24.

2019-Oct-23 07:54:00.206192 [ 2984] [INF] [arkdll] [2516] 

id: 733717, timestamp: 07:54:00.190, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-21-500, cid: 3584/2824:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe
context: start addr: 0x4f61f0, image: 0x400000:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe
  fileinfo: size: 43008, easize: 39, attr: 0x20, buildtime: 19.06.1992 22:22:17.000, ctime: 23.10.2019 07:54:00.190, atime: 23.10.2019 07:54:00.190, mtime: 15.01.2002 05:56:30.000, descr: , ver: , company: , oname: 
  hash: ba71b99952d116c84c4a63da3a1c4c715179ef8d status: unsigned, pe32 / unsigned / unknown / unknown
  drop new executable: \Device\HarddiskVolume1\Documents and Settings\Administrator\Desktop\F\+Proxy\+WinGate\wingate45\WinGate_v4[1].50\CR-WG450.exe
id: 733717 ==> allowed [2], time: 15.308929 ms

.......

2019-Oct-23 07:56:12.269065 [ 3004] [INF] [arkdll] [2608] 

id: 734784, timestamp: 07:56:12.269, type: PsCreate (16), flags: 1 (wait: 1)
sid: S-1-5-21-500, cid: 668/4200:\Device\HarddiskVolume1\DrWeb\spideragent_adm.exe
context: start addr: 0x4010b0, image: 0x400000:\Device\HarddiskVolume1\DrWeb\spideragent_adm.exe
  created process: \Device\HarddiskVolume1\DrWeb\spideragent_adm.exe:668 --> \Device\HarddiskVolume1\DrWeb\spideragent.exe:496
  sid: S-1-5-21-500, bitness: 32, ilevel: unknown, sesion id: 0, type: 2, reason: 0, new: 0, dbg: 0, wsl: 0
  curdir: , cmd: 
  status: signed_drweb / signed_drweb / clean / unknown
id: 734784 ==> allowed [2], time: 0.573257 ms

2019-Oct-23 07:56:13.456147 [ 2992] [WRN] [users] getting display name failed: A required privilege is not held by the client. (1314)
2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1006
2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1012
2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1013
2019-Oct-23 07:56:13.471766 [ 2992] [WRN] [users] getting display name failed: A required privilege is not held by the client. (1314)
2019-Oct-23 07:56:13.471766 [ 2992] [ERR] [users] [get_sys_users2] Exception occured on lookup_sid: No mapping between account names and security IDs was done. (1332) (1332) additional: S-1-5-21-1015
2019-Oct-23 07:56:13.487386 [ 2992] [WRN] [users] getting display name failed: The system cannot find the file specified. (2)
2019-Oct-23 07:56:13.565483 [ 3000] [INF] [dwprot-calls] User Sf0 is registering as pumper.
2019-Oct-23 07:56:13.627961 [ 2996] [INF] [dws9] Interactive process entered
2019-Oct-23 07:56:17.860846 [ 4120] [INF] [qr-calls] Enumerate finished.
2019-Oct-23 07:56:26.826439 [ 3008] [INF] [qr-calls] restore file, hash: F08e611cd0c760557f2e1ecc9af7531cf03d6b2e3080554bc72ca834901db0a1 , path:C:\documents and settings\administrator\desktop\f\+proxy\+wingate\wingate45\wingate_v4[1].50\cr-wg450.exe, Result: 0
2019-Oct-23 07:56:31.652864 [ 5620] [INF] [qr-calls] Enumerate finished.
2019-Oct-23 07:59:57.720928 [ 2980] [INF] [arkdll] [2596] 

.......

2019-Oct-23 18:25:10.161276 [ 2992] [INF] [arkdll] [2568] 

id: 918864, timestamp: 18:25:10.161, type: FileExecWrite (53), flags: 1 (wait: 1)
sid: S-1-5-21-500, cid: 4960/3712:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe
context: start addr: 0x4f61f0, image: 0x400000:\Device\HarddiskVolume4\wrar571ru\WinRAR.exe
  fileinfo: size: 43008, easize: 39, attr: 0x20, buildtime: 19.06.1992 22:22:17.000, ctime: 23.10.2019 18:25:10.145, atime: 23.10.2019 18:25:10.161, mtime: 15.01.2002 05:56:30.000, descr: , ver: , company: , oname: 
  hash: ba71b99952d116c84c4a63da3a1c4c715179ef8d status: unsigned, pe32 / unsigned / unknown / unknown
  drop new executable: \Device\HarddiskVolume1\Documents and Settings\Administrator\Desktop\F\+Proxy\+WinGate\wingate45\WinGate_v4[1].50\CR-WG450.exe
id: 918864 ==> allowed [2], time: 1.201550 ms

2019-Oct-23 18:25:10.239399 [ 3000] [INF] [arkdll] [2544] 




#15 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 25 Октябрь 2019 - 01:48

... у меня регистр имён файлов остаётся прежним и при помещении файла в карантин и при восстановлении этого файла из карантина. Чтобы не перегружаться восстанавливал в другой каталог.

Тестировал на eicar, временно отключив SpiderGuard: скачал архив, распаковал, переименовал в "Тестовый Вирус.doc", проверил сканером, обезвредил и восстановил из карантина.

Во всех местах (исходное, карантин, новое) "Имя Файла Осталось Прежним".

По всей видимости, объяснить можно двумя вариантами:

  • в 12-ой версии этого бага нет (у меня версия 11.5, т.к. 12-ая не идёт под Windows XP),
  • вы провели проверку после исправления бага, т.к. у меня (в версии 11.5) уже тоже регистр не портится при удалении в карантин. Проверил в 2019-10-24 22:30. В промежутке  2019-10-23 ≈17:30  —  2019-10-24 22:30 баг был, по видимости, исправлен. Я запрос в службу поддержки по этому багу составить не успел. Видимо, кто-то из работников DrWeb это сделал за меня (за что ему спасибо).

Сообщение было изменено uaHwElAqIW: 25 Октябрь 2019 - 01:51


#16 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 25 Октябрь 2019 - 01:57

Хочу добавить: у меня время в UTC. Чтобы перейти на московское время надо добавлять 4 ч.



#17 basid

basid

    Guru

  • Posters
  • 4 475 Сообщений:

Отправлено 25 Октябрь 2019 - 04:31

Вот об этом-то и речь ...

Оказывается, что нормальное сообщение о баге должно содержать сильно больше информации, чем простая констатация факта.

Ещё оказывается, что комбинация XP+11.5 сильно понижает интерес форумчан, поскольку будет такое у незначительного процента маргиналов.

 

P.S.

Да, у маргиналов - лично я, несмотря на консервативность, "пересел" на семёрку в 2013 году. По вполне разумным соображениям.



#18 Eugen Engelhardt

Eugen Engelhardt

    Advanced Member

  • Dr.Web Staff
  • 699 Сообщений:

Отправлено 25 Октябрь 2019 - 09:24

у меня версия 11.5, т.к. 12-ая не идёт под Windows XP

Уже поддерживается, новость https://news.drweb.ru/show/?i=13435

-возобновлена возможность установки продуктов на компьютеры под управлением OS Windows XP / Windows Server 2003;

 

Приведённого куска лога, недостаточно, да там и нет ничего криминального, для анализа нужен полный отчёт антивируса, можете в личку Роману отправить.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#19 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 25 Октябрь 2019 - 10:17

Итак. Провёл тест. Регистр символов в имени файла при автоматическом удалении в карантин уже не сбивается.
Вы поразительно быстро поправили. А ещё говорите, что не нужно на форум обращаться; служба поддержки решала бы этот вопрос значительно дольше (по моему опыту).

Никто ничего не правил, тем более в версии 11.5.
В старых версиях исправляются только критические баги, к коим обсуждаемое, естественно, не имеет никакого отношения.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#20 uaHwElAqIW

uaHwElAqIW

    Member

  • Posters
  • 133 Сообщений:

Отправлено 26 Октябрь 2019 - 23:58

комбинация XP+11.5 сильно понижает интерес форумчан, поскольку будет такое у незначительного процента маргиналов

На 99% уверен, что в 12-ой версии этот баг был тоже. Скажите, где скачать сборку за 2019-10-22 DrWebSS v12 , и можно будет это подтвердить (или опровергнуть).

И разговоры о маргиналах неуместны. Версия 11.5 официально поддерживается.

 

 

Уже поддерживается, новость https://news.drweb.ru/show/?i=13435

-возобновлена возможность установки продуктов на компьютеры под управлением OS Windows XP / Windows Server 2003;

Интересно, почему тогда версия 11.5 не обновляется автоматически до 12-ой. Насколько я помню, за 15 лет никогда не удалял старую версию, чтобы поставить новую. Всегда старая версия автообновлялась до новой версии.
Старую версию придётся удалить, или поверху можно 12-ую версию установить? Настройки от 11.5 примет версия 12-ая?
 

Приведённого куска лога, недостаточно, да там и нет ничего криминального, для анализа нужен полный отчёт антивируса, можете в личку Роману отправить.

Вообще-то, криминал там очевиден - регистр символов стал нижним:

  drop new executable: \Device\HarddiskVolume1\Documents and Settings\Administrator\Desktop\F\+Proxy\+WinGate\wingate45\WinGate_v4[1].50\CR-WG450.exe
2019-Oct-23 07:56:26.826439 [ 3008] [INF] [qr-calls] restore file, hash: F08e611cd0c760557f2e1ecc9af7531cf03d6b2e3080554bc72ca834901db0a1 , path:C:\documents and settings\administrator\desktop\f\+proxy\+wingate\wingate45\wingate_v4[1].50\cr-wg450.exe, Result: 0




Also tagged with one or more of these keywords: нижний регистр, имя файла, карантин

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых