40 ответов в этой теме

[Melena]

Здравствуйте!

Перечитала аналогичные темы, но так и не разобралась, что надо сделать, чтобы после перезагрузки не удалялся файл приложения Ammyy admin.

Что имеем:

- DrWeb ESuite 10.01.0 и установленный агент со всеми компонентами на раб.ст. с Windows 7.

- Запущенную на раб.ст. службу Ammyy admin

После перезагрузки компонент "Сканер Dr.Web" отправляет файл C:\Ammyy\AA_v3.exe в карантин.

В журнале такие записи:

Уровень	Дата и время	Источник	Код события	Категория задачи
Сведения	17.04.2018 11:03:38	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: Neutralized object: \Device\HarddiskVolume2\Ammyy\AA_v3.exe - quarantined, reboot required [threat name: {Program.RemoteAdmin.701:8}, action: 3, type: 1, ret: 1000008]
Сведения	17.04.2018 11:03:37	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet002\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 11:03:37	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 11:03:34	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure safeboot: name = \Registry\Machine\System\ControlSet002\Control\SafeBoot\Network\AmmyyAdmin, status 0x0
Сведения	17.04.2018 11:03:34	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure safeboot: name = \Registry\Machine\System\ControlSet001\Control\SafeBoot\Network\AmmyyAdmin, status 0x0
Сведения	17.04.2018 11:03:34	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet002\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 11:03:34	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 10:58:26	DrWebAVService	2	Отсутствует	Service Started.

В веб-интерфейсе управления антивирусной сети, в настройках группы, установлены исключения файла и процесса "c:\Ammyy\AA_v3.exe" в сканере и Guardе.  Дополнительно в превентивной защите добавлено приложение "c:\Ammyy\AA_v3.exe" с разрешением на "конфигурацию безоп.режима". Все эти права группы наследуются компом.

С drWeb-ом раньше не работала, вот только начинаю внедрять с тестового компа, и такой сюрприз... Хотелось бы, чтобы Ammyy работал и не убивался.

После помещения файла в карантин можно перезагрузить комп и восстановить файл. И даже запустить его, и даже службой, и даже будет работать, и даже проверка сканером его папки обходит этот файл:

Object(s) to scan:
 - C:\Ammyy\
Files excluded from scaning: 
 - c:\Ammyy\AA_v3.exe

Тем не менее после перезагрузки, файл неизменно попадает в карантин.Что надо сделать?

Спасибо!

[VVS]

Здравствуйте!

Перечитала аналогичные темы, но так и не разобралась, что надо сделать, чтобы после перезагрузки не удалялся файл приложения Ammyy admin.

1. Убрать все те исключения, которые Вы сделали.

2. Воспроизвести проблему, после чего создать отчёт DrWeb и приложить его сюда.

3. В сообщении указать точное время по часам компьютера, когда наблюдалась проблема.

[Melena]

17:18

 

После восстановления файла из карантина (до последней перезагрузки) были ошибки при запуске приложения и установке службы (17-12, видимо).

Уровень	Дата и время	Источник	Код события	Категория задачи
Ошибка	17.04.2018 17:18:08	Service Control Manager	7034	Отсутствует	"Служба ""Ammyy Admin"" неожиданно прервана. Это произошло (раз): 1."

Уровень	Дата и время	Источник	Код события	Категория задачи
Сведения	17.04.2018 17:18:08	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: Neutralized object: \Device\HarddiskVolume2\Ammyy\AA_v3.exe - quarantined, reboot required [threat name: {Program.RemoteAdmin.701:8}, action: 3, type: 1, ret: 1000008]
Сведения	17.04.2018 17:18:08	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet002\Services\AmmyyAdmin_4E8, status 0x0
Сведения	17.04.2018 17:18:08	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\AmmyyAdmin_4E8, status 0x0
Сведения	17.04.2018 17:18:08	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet002\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 17:18:07	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 17:18:06	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet002\Services\AmmyyAdmin_4E8, status 0x0
Сведения	17.04.2018 17:18:06	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet002\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 17:18:06	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\AmmyyAdmin_4E8, status 0x0
Сведения	17.04.2018 17:18:06	DrWebARKDaemon	1002	Отсутствует	DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\AmmyyAdmin, status 0x0
Сведения	17.04.2018 17:14:00	DrWebAVService	2	Отсутствует	Service Started.
Предупреждение	17.04.2018 17:12:17	DrWebAVService	2	Отсутствует	"Preventive Protection event: Create protected key

id: 3433, timestamp: 17:12:17.470, type: RegCreateKey (9), flags: 1 (wait: 1)
sid: S-1-5-21-3832176597-334904680-266274848-1108, cid: 1256/5060:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
context: start addr: 0x47d2ee, image: 0x400000:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
  hips: type: 14, action: deny [5]
  cmd: ""C:\Ammyy\AA_v3.exe"" -elevated 
  fileinfo: size: 780432, easize: 39, attr: 0x20, buildtime: 05.07.2017 22:57:26.000, ctime: 17.04.2018 16:25:38.000, atime: 17.04.2018 16:25:38.000, mtime: 17.04.2018 17:07:56.817, descr: Ammyy Admin, ver: 3.5, company: Ammyy LLC, oname: 
  signer: C=RU|ST=Russian Federation|L=Moscow|O=Ammyy LLC|CN=Ammyy LLC, timestamp: 05.07.2017 22:57:35.000, thumbprint: 5d8ebd403e12bde05a6025a0fb625a06a206edb3
  hash: 5d7cb1a2ca7db04edf23dd3ed41125c8c867b0ad status: signed, pe32, new_pe / signed / unknown / unknown
  key: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AmmyyAdmin, access: 0x0
send user blocked alert
id: 3433 ==> denied [5], time: 0.162490 ms
"
Предупреждение	17.04.2018 17:12:17	DrWebAVService	2	Отсутствует	"Preventive Protection event: Create protected key

id: 3432, timestamp: 17:12:17.470, type: RegCreateKey (9), flags: 1 (wait: 1)
sid: S-1-5-21-3832176597-334904680-266274848-1108, cid: 1256/5060:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
context: start addr: 0x47d2ee, image: 0x400000:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
  hips: type: 14, action: deny [5]
  cmd: ""C:\Ammyy\AA_v3.exe"" -elevated 
  fileinfo: size: 780432, easize: 39, attr: 0x20, buildtime: 05.07.2017 22:57:26.000, ctime: 17.04.2018 16:25:38.000, atime: 17.04.2018 16:25:38.000, mtime: 17.04.2018 17:07:56.817, descr: Ammyy Admin, ver: 3.5, company: Ammyy LLC, oname: 
  signer: C=RU|ST=Russian Federation|L=Moscow|O=Ammyy LLC|CN=Ammyy LLC, timestamp: 05.07.2017 22:57:35.000, thumbprint: 5d8ebd403e12bde05a6025a0fb625a06a206edb3
  hash: 5d7cb1a2ca7db04edf23dd3ed41125c8c867b0ad status: signed, pe32, new_pe / signed / unknown / unknown
  key: \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin, access: 0x0
send user blocked alert
id: 3432 ==> denied [5], time: 0.241345 ms
"
Предупреждение	17.04.2018 17:12:11	DrWebAVService	2	Отсутствует	"Preventive Protection event: Create protected key

id: 3397, timestamp: 17:12:11.043, type: RegCreateKey (9), flags: 1 (wait: 1)
sid: S-1-5-21-3832176597-334904680-266274848-1108, cid: 1256/5060:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
context: start addr: 0x47d2ee, image: 0x400000:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
  hips: type: 14, action: deny [5]
  cmd: ""C:\Ammyy\AA_v3.exe"" -elevated 
  fileinfo: size: 780432, easize: 39, attr: 0x20, buildtime: 05.07.2017 22:57:26.000, ctime: 17.04.2018 16:25:38.000, atime: 17.04.2018 16:25:38.000, mtime: 17.04.2018 17:07:56.817, descr: Ammyy Admin, ver: 3.5, company: Ammyy LLC, oname: 
  signer: C=RU|ST=Russian Federation|L=Moscow|O=Ammyy LLC|CN=Ammyy LLC, timestamp: 05.07.2017 22:57:35.000, thumbprint: 5d8ebd403e12bde05a6025a0fb625a06a206edb3
  hash: 5d7cb1a2ca7db04edf23dd3ed41125c8c867b0ad status: signed, pe32, new_pe / signed / unknown / unknown
  key: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AmmyyAdmin_4E8, access: 0x0
send user blocked alert
id: 3397 ==> denied [5], time: 0.180240 ms
"
Предупреждение	17.04.2018 17:12:11	DrWebAVService	2	Отсутствует	"Preventive Protection event: Create protected key

id: 3396, timestamp: 17:12:11.027, type: RegCreateKey (9), flags: 1 (wait: 1)
sid: S-1-5-21-3832176597-334904680-266274848-1108, cid: 1256/5060:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
context: start addr: 0x47d2ee, image: 0x400000:\Device\HarddiskVolume2\Ammyy\AA_v3.exe
  hips: type: 14, action: deny [5]
  cmd: ""C:\Ammyy\AA_v3.exe"" -elevated 
  fileinfo: size: 780432, easize: 39, attr: 0x20, buildtime: 05.07.2017 22:57:26.000, ctime: 17.04.2018 16:25:38.000, atime: 17.04.2018 16:25:38.000, mtime: 17.04.2018 17:07:56.817, descr: Ammyy Admin, ver: 3.5, company: Ammyy LLC, oname: 
  signer: C=RU|ST=Russian Federation|L=Moscow|O=Ammyy LLC|CN=Ammyy LLC, timestamp: 05.07.2017 22:57:35.000, thumbprint: 5d8ebd403e12bde05a6025a0fb625a06a206edb3
  hash: 5d7cb1a2ca7db04edf23dd3ed41125c8c867b0ad status: signed, pe32, new_pe / signed / unknown / unknown
  key: \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_4E8, access: 0x0
send user blocked alert
id: 3396 ==> denied [5], time: 24.966768 ms
"
Сведения	17.04.2018 17:03:12	DrWebAVService	2	Отсутствует	Service Started.

Этот журнал? Других с этим временем не нашла...

Сообщение было изменено Melena: 17 Апрель 2018 - 17:28

[VVS]

Этот журнал? Других с этим временем не нашла...

Инструменты - поддержка - отчёт для технической поддержки.

[Melena]

Ой... Извините... Не увидела этого в инструкции по созданию темы

Так?

Прикрепленные файлы:

•  XX_170418_175950.zip   10,23Мб   3 Скачано раз

Сообщение было изменено Melena: 17 Апрель 2018 - 18:04

[Konstantin Yudin]

все у вас правильно исключено, но нужно добавить еще в ES Сканер исключение из консоли администратора.

Сообщение было изменено Konstantin Yudin: 17 Апрель 2018 - 18:26

[Konstantin Yudin]

>В веб-интерфейсе управления антивирусной сети, в настройках группы, установлены исключения файла и процесса "c:\Ammyy\AA_v3.exe" в сканере и Guardе. Дополнительно в превентивной защите добавлено приложение "c:\Ammyy\AA_v3.exe" с разрешением на "конфигурацию безоп.режима". Все эти права группы наследуются компом.

это все правильно

[VVS]

Костя, разве внесение AA_v3.exe в исключаемые процессы - это правильно???

[Konstantin Yudin]

если делать надежно чтоб не ловилось то да. иначе DPD может срубить. когда речь идет об исключениях то тут о правильности трудно рассуждать.

[VVS]

Ну, не знаю...

Позволять проге удалённого доступа записывать всё, что угодно, на диск...

Я б такое разрешил только в крайнем случае, если детект в реале будет.

[Melena]

В веб-интерфейсе управления антивирусной сети, в настройках группы, установлены исключения файла и процесса "c:\Ammyy\AA_v3.exe" в сканере и Guardе. Дополнительно в превентивной защите добавлено приложение "c:\Ammyy\AA_v3.exe" с разрешением на "конфигурацию безоп.режима". Все эти права группы наследуются компом.

это все правильно

Так с этими настройками и не работает ведь.

все у вас правильно исключено, но нужно добавить еще в ES Сканер исключение из консоли администратора.

Вот здесь не поняла. Я все исключения и так делала из веб-консоли, а не на раб.станции. И для сканера указывала в исключениях файл с путем. А в Guardе указывала и файл, и процесс, оба с путем. Или Вы тут про что-то другое говорите?

Позволять проге удалённого доступа записывать всё, что угодно, на диск...

Я б такое разрешил только в крайнем случае, если детект в реале будет.

С Ammyy работаю много лет, очень удобно. За все время ни разу не замечала проблем. Сама прога пишет только свой журнал в папке запуска. А переоценить удобство удаленного доступа к опекаемым клиентам просто невозможно

[VVS]

 

все у вас правильно исключено, но нужно добавить еще в ES Сканер исключение из консоли администратора.

Вот здесь не поняла. Я все исключения и так делала из веб-консоли, а не на раб.станции. И для сканера указывала в исключениях файл с путем. А в Guardе указывала и файл, и процесс, оба с путем. Или Вы тут про что-то другое говорите?

 

В расписании задач для группы у Вас есть задание на периодическое сканирование...
 

 

Позволять проге удалённого доступа записывать всё, что угодно, на диск...
Я б такое разрешил только в крайнем случае, если детект в реале будет.

С Ammyy работаю много лет, очень удобно. За все время ни разу не замечала проблем. Сама прога пишет только свой журнал в папке запуска. А переоценить удобство удаленного доступа к опекаемым клиентам просто невозможно

 

Я б что-нибудь вносил в исключаемые приложения только в исключительном случае, только тогда, когда это реально нужно.
Пока что по Вашим логам я такой необходимости не видел.

[Melena]

В расписании задач для группы у Вас есть задание на периодическое сканирование...

Ага, посмотреть задачи, ок, посмотрю и там.

Я б что-нибудь вносил в исключаемые приложения только в исключительном случае, только тогда, когда это реально нужно.

Так и я не хочу лишнего вносить, только необходимое Но вот Ammyy должен работать. Если в не вносить в исключаемые приложения, будет?

[VVS]

 

Я б что-нибудь вносил в исключаемые приложения только в исключительном случае, только тогда, когда это реально нужно.

Так и я не хочу лишнего вносить, только необходимое Но вот Ammyy должен работать. Если в не вносить в исключаемые приложения, будет?

 

В Ваших логах я не видел детекта на что-нибудь, что записывает на диск Ammyy.

[Melena]

В Ваших логах я не видел детекта на что-нибудь, что записывает на диск Ammyy.

А что и куда по Вашему мнению необходимо и достаточно внести, чтобы и лишнего не позволить, и в то же время не блокировать его работу?

[VVS]

В исключаемые пути SpIDer Guard, локального сканера и ES сканера.

[Melena]

ага, поняла, завтра поищу второй сканер )) и попробую этот минимальный вариант.

Спасибо!

[Melena]

Докладываю.

Убрала все исключения отовсюду.

Все настройки раб.станции наследуются от группы everyone.

Для группы everyone внесла исключение в "пути и файлы" "c:\ammyy\aa_v3.exe" в:

1) Конфигурация-Windows-Сканер

2) Конфигурация-Windows-SpIDer Guard для рабочих станций

3) Конфигурация-Планировщик заданий-Daily scan  -  вот тут вкладка "Исключения" есть только для действия "Выборочное сканирование", а по умолчанию должно запускаться действие "быстрое сканирование" при старте компа, а для него не нашла, куда прописать путь к файлу. 

Получается, что реально исключения внесла только в п.1 и 2. С ними не получилось, после запуска aa_v3.exe ушел в карантин.

[VVS]

Отчёт приложите.

[Melena]

Ой.. Забыла, извините...

Время, судя по журналам Windows 10:32

Раб.станция другая, аналогичная.

Прикрепленные файлы:

•  XX_180418_110010.zip   2,57Мб   1 Скачано раз

Сообщение было изменено Melena: 18 Апрель 2018 - 11:02