Перейти к содержимому


Фото
- - - - -

Блокируется wufuc


  • Please log in to reply
53 ответов в этой теме

#41 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 03 Апрель 2021 - 19:04

Хм, оказывается если включить в настройках обновлять только вирусные базы - dwarkapi.dll все равно обновляется на новую версию. Это так и должно быть?

Неа, не должно.
Хм, а по логике - должен восстанавливать себя до состояния, в котором был на момент переключения на обновления только баз, соотв "неверные" модули заменяются на "правильные" из репы. А вот с всо уже не используются.

#42 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 03 Апрель 2021 - 21:10

 

 

Хм, оказывается если включить в настройках обновлять только вирусные базы - dwarkapi.dll все равно обновляется на новую версию. Это так и должно быть?

Неа, не должно.
Хм, а по логике - должен восстанавливать себя до состояния, в котором был на момент переключения на обновления только баз, соотв "неверные" модули заменяются на "правильные" из репы. А вот с всо уже не используются.

 

Точно. В репе то остался уже новый экземпляр. Вот он на постапдейте и копируется.



#43 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Апрель 2021 - 15:20

странно все это. с 12.5 я вижу инжекты, а с 12.6 нет, т.е. либо мы еще в ядре его где то пресекаем то ли я не понимаю пока что происходит. но факт есть факт, с 12.6 нет инжектов а значит до аркапи вообще ничего не дошло что он мог разрешить. 


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#44 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 06 Апрель 2021 - 18:10

странно все это. с 12.5 я вижу инжекты, а с 12.6 нет, т.е. либо мы еще в ядре его где то пресекаем то ли я не понимаю пока что происходит. но факт есть факт, с 12.6 нет инжектов а значит до аркапи вообще ничего не дошло что он мог разрешить. 

У ТС бага нестабильно повторяется - на 1 ПК бага исчезла. Может это связано со стартом - типа, успел проскочить или нет.



#45 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Апрель 2021 - 19:43

скорее всего, только не понимаю если успел проскочить то проблемы тем более быть не должно


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#46 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Апрель 2021 - 19:45

вспоминать что изменилось за год с лишним в логике драйвера и аркапи та еще радость, там сотни изменений, новые защиты, алгоритмы работы...


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#47 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 06 Апрель 2021 - 19:54

вспоминать что изменилось за год с лишним в логике драйвера и аркапи та еще радость, там сотни изменений, новые защиты, алгоритмы работы...

Может имеет смысл сравнить по отчетам поведение нового арка на ПК где wufuc "заработал" с ПК на котором он блокируется?

ТС прислал отчет с ПК на котором wufuc блокируется, осталось получить отчет с ПК, на котором wufuc "заработал".



#48 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 09 Апрель 2021 - 07:30

Я немного перепутала. На ПК где wufuc "заработал", он оказывается работал и работает без сбоев. Там в логе были записи о сбоях от 03/31/20, которые я случайно приняла за актуальные.

Но тем не менее для сравнения могу предоставить отчет.

 

https://disk.yandex.ru/d/vJKGlLcJnfp5rg

 

Системы похожие, ОС одинаковая, Dr.Web одинаковой версии. На проблемном ПК я даже пробовала переустановить его начисто со сбросом настроек - не помогло.


Сообщение было изменено Anyuta1166: 09 Апрель 2021 - 07:32


#49 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Май 2021 - 13:38

сегодня вышло обновление. просьба обновится, перегрузится и проверить как теперь дела на проблемных машинах.


With best regards, Konstantin Yudin
Doctor Web, Ltd.

#50 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 06 Май 2021 - 19:33

сегодня вышло обновление. просьба обновится, перегрузится и проверить

 

Dr.Web Anti-rootkit API dwarkapi.dll (12.6.5.202104230) - это оно?

 

Только что перезагрузила проблемный компьютер - ошибка есть.

 

Причем в предыдущий раз проблемный компьютер был перезагружен 1 мая, и с того момента до сегодняшней перезагрузки ошибки не было. Не знаю - случайность это была или нет.



#51 Anyuta1166

Anyuta1166

    Newbie

  • Posters
  • 14 Сообщений:

Отправлено 07 Июнь 2021 - 14:05

В общем, я нашла рабочий workaround - зайти в настройки Планировщика заданий, найти там wufuc и поставить в свойствах триггера задержку запуска на несколько секунд. Тогда все работает. Такое ощущение, что где-то какой-то race condition получается - если wufuc запускается слишком рано (раньше какого-то модуля в dr.web?), то он не может потом модифицировать процесс службы обновления.


Сообщение было изменено Anyuta1166: 07 Июнь 2021 - 14:05


#52 LieutX

LieutX

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 23 Июнь 2021 - 16:47

На текущий момент проблема сохраняется. Метод Anyuta1166 в качестве костыля проблему временно решает.



#53 NikolayHAOS

NikolayHAOS

    Member

  • Posters
  • 376 Сообщений:

Отправлено 15 Ноябрь 2021 - 01:07

04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(104): Supported version of wuaueng.dll: 7.6.7601.24542
04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(141): Found IsDeviceServiceable function offset: wuaueng.dll+0x2f418
04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(146): Successfully wrote value to target process: lpAddress=000007FECF4CE948
04/01/21 17:49:48 [rundll32.exe:6200] [INFO] ServiceNotifyCallback(153): Successfully wrote value to target process: lpAddress=000007FECF4CE94C

А что это за логи такие где/чем посмотреть? А то тоже проблема с wufuc.



#54 NikolayHAOS

NikolayHAOS

    Member

  • Posters
  • 376 Сообщений:

Отправлено 18 Декабрь 2021 - 14:47

Неужели никто не знает где и как посмотреть такой лог, из сообщения выше?




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых