22 ответов в этой теме

[murzik653]

Ноутбук Lenovo

Windows 7 Pro x64, предустановленная система. Drweb 11.0

2 учётные записи julija и murzik

При входе под учётной записью julija появляется окно

Номер Pid от раза к разу меняется.

при входе под другой учётной записью такое окно не появляется

Отчёт для тех. поддержки прилагаю.
 

 

Прикрепленные файлы:

•  T570_julija_031217_151844.zip   8,54Мб   4 Скачано раз

Сообщение было изменено murzik653: 03 Декабрь 2017 - 16:01

[SergSG]

rundll32.exe может кто угодно запускать. И вирь в том числе.

Подождите стаффов, может они прояснят.

[VVS]

И желательно указать точное время (с точностью до нескольких секунд), когда наблюдалась проблема.

[Konstantin Yudin]

можно получить файл C:\Program Files (x86)\ThinkPad\Utilities\PWMTR64V.DLL ?

[murzik653]

И желательно указать точное время (с точностью до нескольких секунд), когда наблюдалась проблема.

Как это время узнать с такой точностью?

В трее вемя 15.15

[murzik653]

можно получить файл C:\Program Files (x86)\ThinkPad\Utilities\PWMTR64V.DLL ?

Можно.

 

https://yadi.sk/d/urUyYo843QHG6p

 

Есть какие то подозрения на него?

Сообщение было изменено murzik653: 03 Декабрь 2017 - 23:36

[murzik653]

можно получить файл C:\Program Files (x86)\ThinkPad\Utilities\PWMTR64V.DLL ?

 

Сейчас внимательно пригляделся.

При входе с учетной записью Администатора в трее не отображается Lenovo Power Manager

 pwr.gif   3,17К   0 Скачано раз

Т.е. по какой то причине DrWEB блокирует запуск этой программы.

Наверное есть смысл переустановить эту утилиту?

Сообщение было изменено murzik653: 04 Декабрь 2017 - 00:34

[SergSG]

Наверное есть смысл переустановить эту утилиту?

Думаю, есть смысл подождать ответ от Konstantin Yudin. Он как раз спец по превентивке и лучше него вам никто не поможет.

Сообщение было изменено SergSG: 04 Декабрь 2017 - 01:59

[murzik653]

можно получить файл C:\Program Files (x86)\ThinkPad\Utilities\PWMTR64V.DLL

Привожу дополнительную информацию.

PWMTR64V.DLL входит в состав утилиты Lenovo Power Management.

Это утилита от производителя ноутбука Lenovo, она запускается при загрузке ноутбука.

Я попробовал отключить превентивную защиту - утилита запустилась и в трее появился значёк.

Я скачал с сайта производителя более новую версию утилиты и попробовал переустановить её.

Переустановку не помогла.

Насколько я помню ранее это окно не появлялось.

Но к сожалению не могу определить, когда это всё началось.

[murzik653]

Просьба к модераторам - исправьте пожалуйста ошибку в названии темы(Ппросессу -> Процессу), у меня такой возможности нет.

,

Сообщение было изменено murzik653: 04 Декабрь 2017 - 08:26

[Konstantin Yudin]

можно получить файл C:\Program Files (x86)\ThinkPad\Utilities\PWMTR64V.DLL ?

Можно.

https://yadi.sk/d/urUyYo843QHG6p

Есть какие то подозрения на него?

Да, через запуск в контексте rundll32.exe пытаются исполнить свой код в системном процессе explorer.exe. какая то повальная тенденция, использовать rundll32 для компрометации. Легальные разработчики совсем головой перестали думать, полно легальных способов оказаться в explorer.exe. гляну длл скажу подробней.

[murzik653]

Легальные разработчики совсем головой перестали думать, полно легальных способов оказаться в explorer.exe

 

Спасибо за информацию.

Эта утилита первоначально появилась во времена Windows XP.

М.б. ноги оттуда растут?

Только не понятно почему это окно вылезает под одной учётной записью и не вылезает под другой.

Могу конечно ошибаться, но по моему раньше всё работало нормально под обеими учётными записями.

Сообщение было изменено murzik653: 04 Декабрь 2017 - 09:25

[Konstantin Yudin]

посмотрел. добавил распознавание. в след. обновлении dwarkapi.dll алерта не будет. пока можно его игнорировать, если появления в трее леново тулзы не критично.
>Только не понятно почему это окно вылезает под одной учётной записью и не вылезает под другой.

видно прав не хватает на инжект. там они не скромничают с правами к explorer.exe

[Konstantin Yudin]

rundll32.exe ни в коем случае нельзя добавлять в исключения. это один самых популярных хост процессов для проникновения у троянов, энкодеров, анб и т.п.

[murzik653]

посмотрел. добавил распознавание. в след. обновлении dwarkapi.dll алерта не будет. пока можно его игнорировать, если появления в трее леново тулзы не критично.

Спасибо.

Буду ждать это обновление.

[murzik653]

посмотрел. добавил распознавание. в след. обновлении dwarkapi.dll алерта не будет. пока можно его игнорировать, если появления в трее леново тулзы не критично.
>Только не понятно почему это окно вылезает под одной учётной записью и не вылезает под другой.

видно прав не хватает на инжект. там они не скромничают с правами к explorer.exe

 

Константин, я вроде бы нашел причину.

Всё зависит от последовательности установки DrWEB и создания учетных записей.

Учётная запись под которой происходил конфликт DrWeb и утилиты Lenovo была создана после утановки DrWeb.

Я удалил DrWeb, перезагрузил ноутбук и зашёл под учётной записью  Lenovo Power Manager в трее появился.

После этого снова установил DrWeb.

[SergSG]

Всё зависит от последовательности установки DrWEB и создания учетных записей.

Может быть - кто поставил, тот и хозяин, остальные юзеры. Но, по сабжу, это роли не играет - просто утилита ведет себя несколько по-босяцки, вот и получает.

[murzik653]

Может быть - кто поставил, тот и хозяин, остальные юзеры.

Утилита была предустановлена.

[Konstantin Yudin]

Все доработки уже в бете, если есть желание можете по тестировать. Буду крайне признателен.

[murzik653]

Все доработки уже в бете, если есть желание можете по тестировать. Буду крайне признателен.

Поясните пожалуйста что означает "бета", т.е. с очередным обновлением эти изменения должны установиться?