10 ответов в этой теме

[aperhov]

Здравствуйте.

 

Есть такая Галактика ERP. База в SQL, исполняемые файлы в расшаренной папке, у пользователей подключена как сетевой диск. Туда же в подпапки пишутся временные файлы, отчеты генерятся и тд.

Некоторое время назад в процессе работы (не при запуске, а уже в процессе работы, не у всех, не всегда) началось такое:
 Снимок.JPG   24,4К   2 Скачано раз
Исполняемый exeшник блокируется (переместить в карантин не может, потому что он захвачен другими пользователями), до перезагрузки не запускается.

В логе на рабочей станции:

Preventive Protection event: Encoder

 

id: 21322, timestamp: 16:35:17.047, type: Encoder (40), flags: 5 (wait: 1), cid: 6980/5104:\Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe

  source context: start addr: 0x649e8c, image: 0x400000:\Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe

  hips: type: 17, action: deny [5]

  cmd: F:\galnet.rus\exe\AtlExec.exe  /c:F:\galnet.rus\galnet.cfg 

  encoder action: 2

  fileinfo: size: 3021856, easize: 39, attr: 0x2020, buildtime: 20.06.1992 01:22:17.000, ctime: 28.09.2017 05:43:30.656, atime: 13.11.2017 16:29:02.179, mtime: 04.07.2017 18:00:52.000, descr: Ядро 2-х уровневого Атлантис-приложения, ver: 5.5.28.3, company: Корпорация Галактика, oname: 

  hash: 0583df8cd7a6a002fd22667261fcfa7c48919db1 status: unsigned, pe32, mup / unsigned / unknown

threat: DPH:Trojan.Encoder.2 ==> send user blocked alert

path: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe ==> denied access to file

process: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe:6980 ==> suspended all threads in process

path: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe ==> quarantined

send driver event reply for unblock process ==> success

process: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe:6980 ==> terminated

disinfect: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe ==> quarantined [8]

threat: DPH:Trojan.Encoder.2 ==> sended user virus found alert

id: 21322 ==> denied [5], time: 7913.366403 ms

Два вопроса:

1. Уведомления об этом администратору не приходят, в консоли это никак не отображается (статистика - угрозы), это так и должно быть? На срабатывания SpIDer Guard и сканера все приходит/отображается.

2. Что должно быть написано в исключения превентивной защиты?

 

Сейчас стоит интерактивный режим, уровень оптимальный, в исключениях добавлены (все разрешено) 
Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe
F:\galnet.rus\exe\atlexec.exe

atlexec.exe

и все равно срабатывает.
 

[provayder]

С DPH детектами в тех.поддержку

[aperhov]

С DPH детектами в тех.поддержку

да уже отправлял Сообщить о ложном срабатывании Dr.Web с тем же логом экзешник.
но, 

 

 

Ваш запрос был проанализирован. Для присланного Вами файла указана категория "Ложное срабатывание", но на данный момент файл сканером Dr.Web не определяется как угроза.

 

Возможно, ложное срабатывание уже было исправлено специалистами ООО "Доктор Веб", или Вы указали неверную категорию.

 

Если Вы уверены, что данный файл представляет угрозу, пожалуйста, воспользуйтесь формой отправки повторно и укажите наиболее подходящую категорию запроса.
 

#7929758

[Afalin]

Техподдержка – support.drweb.com. С этими детектами туда.

Сообщение было изменено Afalin: 14 Ноябрь 2017 - 11:09

[Afalin]

1. Уведомления об этом администратору не приходят, в консоли это никак не отображается (статистика - угрозы), это так и должно быть? На срабатывания SpIDer Guard и сканера все приходит/отображается.

Вообще не должно быть, но агент действительно это на сервер не сообщает.

[Konstantin Yudin]

>Что должно быть написано в исключения превентивной защиты?

нужно создавать правила в превентивной защите для этих процессов а не добавлять их в исключения

[aperhov]

Техподдержка – support.drweb.com. С этими детектами туда.

а https://my.drweb.com/biz/support/ это тогда что?

которое 
Ваши реквизиты доступа к личному кабинету бизнес-пользователя Dr.Web:

логин: 
пароль: 
Ссылка для входа в личный кабинет: https://my.drweb.com/biz/

позвонил голосом, типа да, тот запрос в техподдержку о ложном срабатывании это не туда запрос, хотя казалось бы... и та техподдержка, которая нужна, его не видит.

ладно, еще один сделаю.

[provayder]

тех.поддержка и вир.лаб это разные подразделения

[Jumbo Frame]

aperhov

 

Нужно правило создать в превентивной защите в "Списке приложений с персональными параметрами доступа к защищаемым объектам", для полного пути к файлу (F:\galnet.rus\exe\atlexec.exe), "целостность запущенных приложений - разрешать".

[Kirill Polubelov]

Галактика снова в белом списке. Можно убирать ранее добавленные файлы из исключений, надеюсь.

[Konstantin Yudin]

Исключения надо убрать в принципе, а правила в превентивке пусть будет, хуже не будет.