12 ответов в этой теме

[Dmitry_rus]

Не обнаружил защиты ветвей реестра, связанных с автозапуском. В настройках ПЗ всё стоит на "запретить", кроме пунктов "Загрузка драйверов" и "Системные службы". Мануал пишет вот что:
===
Автозапуск программ:
·Software\Microsoft\Windows\CurrentVersion\Run
·Software\Microsoft\Windows\CurrentVersion\RunOnce
·Software\Microsoft\Windows\CurrentVersion\RunOnceEx
===
Однако запись в эти ветви делается без какой-либо реакции со стороны АВ. Лог сервиса прилагаю. В нем смущают записи от hips-manager... Хотя, возможно, они "не в кассу".

ОС - XP SP3.

Spoiler

2014-Nov-01 19:23:13.968750 [3068] [DBG] [GetEngineDumpSettings] Collect settings
2014-Nov-01 19:23:13.968750 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Enable is 'Off'
2014-Nov-01 19:23:13.968750 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Full is 'Off'
2014-Nov-01 19:23:13.968750 [3068] [DBG] [GetEngineDumpSettings] Dump/Enable is 'Off'
2014-Nov-01 19:23:13.968750 [3068] [DBG] [GetEngineDumpSettings] Dump/Full is 'Off'
2014-Nov-01 19:23:13.984375 [3068] [DBG] [config] DiffConfig:
++++++++++++++++++++++++++++++++++++++++++++++++++
setting_scheme: ""
Agent8 {
report {
detailed_log {
av_service: true
}
}
}

++++++++++++++++++++++++++++++++++++++++++++++++++
2014-Nov-01 19:23:13.984375 [3068] [INF] [create_allowed_param] Set 0 objects for white list
2014-Nov-01 19:23:13.984375 [3068] [INF] [DPH] reinit objects...
2014-Nov-01 19:23:13.984375 [3068] [DBG] [HIPSObject] Add file
2014-Nov-01 19:23:13.984375 [3068] [ERR] [hips-manager] error while reload objects:
2014-Nov-01 19:23:40.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:23:40.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:23:49.312500 [3068] [DBG] [GetEngineDumpSettings] Collect settings
2014-Nov-01 19:23:49.312500 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Enable is 'Off'
2014-Nov-01 19:23:49.312500 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Full is 'Off'
2014-Nov-01 19:23:49.312500 [3068] [DBG] [GetEngineDumpSettings] Dump/Enable is 'Off'
2014-Nov-01 19:23:49.312500 [3068] [DBG] [GetEngineDumpSettings] Dump/Full is 'Off'
2014-Nov-01 19:23:49.312500 [3068] [DBG] [get_user_reg] S-1-5-18
2014-Nov-01 19:23:49.312500 [3068] [DBG] [get_user_reg] S-1-5-19
2014-Nov-01 19:23:49.312500 [3068] [DBG] [get_user_reg] S-1-5-20
2014-Nov-01 19:23:49.312500 [3068] [DBG] [get_user_reg] S-1-5-21-1214440339-1532298954-682003330-1003
2014-Nov-01 19:23:57.765625 [3068] [DBG] [GetEngineDumpSettings] Collect settings
2014-Nov-01 19:23:57.765625 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Enable is 'Off'
2014-Nov-01 19:23:57.765625 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Full is 'Off'
2014-Nov-01 19:23:57.765625 [3068] [DBG] [GetEngineDumpSettings] Dump/Enable is 'Off'
2014-Nov-01 19:23:57.765625 [3068] [DBG] [GetEngineDumpSettings] Dump/Full is 'Off'
2014-Nov-01 19:23:57.765625 [3068] [DBG] [config] DiffConfig:
++++++++++++++++++++++++++++++++++++++++++++++++++
setting_scheme: ""
Agent8 {
netting {
hips_access {
value {
object_type: hips_hosts
access: action_deny
}
value {
object_type: hips_disk_low_level
access: action_deny
}
value {
object_type: hips_driver_load
access: action_deny
}
value {
object_type: hips_IFEO
access: action_deny
}
value {
object_type: hips_user_drivers
access: action_deny
}
value {
object_type: hips_winlogon_shell
access: action_deny
}
value {
object_type: hips_winlogon_notifiers
access: action_deny
}
value {
object_type: hips_shell_modules
access: action_deny
}
value {
object_type: hips_exe_associations
access: action_deny
}
value {
object_type: hips_SRP
access: action_deny
}
value {
object_type: hips_BHO
access: action_deny
}
value {
object_type: hips_autoruns
access: action_deny
}
value {
object_type: hips_policy_autoruns
access: action_deny
}
value {
object_type: hips_safe_boot_config
access: action_deny
}
value {
object_type: hips_session_manager
access: action_deny
}
value {
object_type: hips_system_services
access: action_permit
}
value {
object_type: hips_ps_inject
access: action_deny
}
value {
object_type: hips_encoders
access: action_deny
}
value {
object_type: hips_prn_inject
access: action_deny
}
value {
object_type: hips_objects
access: action_deny
}
value {
object_type: hips_change_time
access: action_permit
}
}
}
}

++++++++++++++++++++++++++++++++++++++++++++++++++
2014-Nov-01 19:23:57.765625 [2868] [INF] [DPH] reinit objects...
2014-Nov-01 19:23:57.765625 [3068] [INF] [create_allowed_param] Set 0 objects for white list
2014-Nov-01 19:23:57.765625 [3068] [INF] [DPH] reinit objects...
2014-Nov-01 19:23:57.765625 [2868] [DBG] [HIPSObject] Add file
2014-Nov-01 19:23:57.765625 [2868] [ERR] [hips-manager] error while reload objects:
2014-Nov-01 19:23:57.765625 [3068] [DBG] [HIPSObject] Add file
2014-Nov-01 19:23:57.765625 [3068] [ERR] [hips-manager] error while reload objects:
2014-Nov-01 19:24:00.734375 [3068] [DBG] [GetEngineDumpSettings] Collect settings
2014-Nov-01 19:24:00.734375 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Enable is 'Off'
2014-Nov-01 19:24:00.734375 [3068] [DBG] [GetEngineDumpSettings] Core/DumpOnError/Full is 'Off'
2014-Nov-01 19:24:00.734375 [3068] [DBG] [GetEngineDumpSettings] Dump/Enable is 'Off'
2014-Nov-01 19:24:00.734375 [3068] [DBG] [GetEngineDumpSettings] Dump/Full is 'Off'
2014-Nov-01 19:24:00.734375 [3068] [DBG] [config] DiffConfig:
++++++++++++++++++++++++++++++++++++++++++++++++++
setting_scheme: ""
Agent8 {
netting {
hips_access {
value {
object_type: hips_hosts
access: action_deny
}
value {
object_type: hips_disk_low_level
access: action_deny
}
value {
object_type: hips_driver_load
access: action_permit
}
value {
object_type: hips_IFEO
access: action_deny
}
value {
object_type: hips_user_drivers
access: action_deny
}
value {
object_type: hips_winlogon_shell
access: action_deny
}
value {
object_type: hips_winlogon_notifiers
access: action_deny
}
value {
object_type: hips_shell_modules
access: action_deny
}
value {
object_type: hips_exe_associations
access: action_deny
}
value {
object_type: hips_SRP
access: action_deny
}
value {
object_type: hips_BHO
access: action_deny
}
value {
object_type: hips_autoruns
access: action_deny
}
value {
object_type: hips_policy_autoruns
access: action_deny
}
value {
object_type: hips_safe_boot_config
access: action_deny
}
value {
object_type: hips_session_manager
access: action_deny
}
value {
object_type: hips_system_services
access: action_permit
}
value {
object_type: hips_ps_inject
access: action_deny
}
value {
object_type: hips_encoders
access: action_deny
}
value {
object_type: hips_prn_inject
access: action_deny
}
value {
object_type: hips_objects
access: action_deny
}
value {
object_type: hips_change_time
access: action_permit
}
}
}
}

++++++++++++++++++++++++++++++++++++++++++++++++++
2014-Nov-01 19:24:00.734375 [2852] [INF] [DPH] reinit objects...
2014-Nov-01 19:24:00.734375 [3068] [INF] [create_allowed_param] Set 0 objects for white list
2014-Nov-01 19:24:00.734375 [3068] [INF] [DPH] reinit objects...
2014-Nov-01 19:24:00.734375 [2852] [DBG] [HIPSObject] Add file
2014-Nov-01 19:24:00.734375 [2852] [ERR] [hips-manager] error while reload objects:
2014-Nov-01 19:24:00.734375 [3068] [DBG] [HIPSObject] Add file
2014-Nov-01 19:24:00.734375 [3068] [ERR] [hips-manager] error while reload objects:
2014-Nov-01 19:24:10.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:24:10.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:24:40.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:24:40.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:24:48.484375 [2840] [DBG] [3092] [DPH] evt: P: 0 I: 141 C: 3 T: 16 Pi: 1412 Pa: 1412 Ti: 1496 W: 1, +result: undef
2014-Nov-01 19:24:54.562500 [2860] [DBG] [3092] [DPH] evt: P: 0 I: 142 C: 3 T: 17 Pi: 4 Pa: 4 Ti: 64 W: 0
2014-Nov-01 19:25:10.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:25:10.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:25:29.953125 [2864] [DBG] [3092] [DPH] evt: P: 0 I: 143 C: 3 T: 39 Pi: 4 Pa: 4 Ti: 40 W: 1, +result: undef
2014-Nov-01 19:25:29.968750 [2840] [DBG] [3092] [DPH] evt: P: 0 I: 144 C: 3 T: 39 Pi: 4 Pa: 4 Ti: 40 W: 1, +result: undef
2014-Nov-01 19:25:29.968750 [2840] [DBG] [3092] [DPH] evt: P: 0 I: 145 C: 3 T: 39 Pi: 4 Pa: 4 Ti: 40 W: 1, +result: undef
2014-Nov-01 19:25:30.484375 [2840] [DBG] [3092] [DPH] evt: P: 0 I: 146 C: 3 T: 16 Pi: 1412 Pa: 1412 Ti: 1496 W: 1, +result: undef
2014-Nov-01 19:25:36.500000 [2852] [DBG] [3092] [DPH] evt: P: 0 I: 147 C: 3 T: 17 Pi: 4 Pa: 4 Ti: 64 W: 0
2014-Nov-01 19:25:40.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:25:40.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:26:10.281250 [2868] [DBG] [Scheduler] Run task: tasks::logrot
2014-Nov-01 19:26:10.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:26:10.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:26:40.312500 [2876] [DBG] [task_manager] New task named 'services'
2014-Nov-01 19:26:40.312500 [2872] [DBG] [services_task::check_service] DrWebEngine is 'Running', pid: 2880
2014-Nov-01 19:27:10.312500 [2876] [DBG] [task_manager] New task named 'services'

Сообщение было изменено Dmitry_rus: 01 Ноябрь 2014 - 19:39

[VVS]

IMHO ждём Константина.

[Dmitry_rus]

Да уж, пусть поскорее появится, что ли... А то (если вдруг) получить злoвреда в автозагрузку при полном попустительстве Доктора - удовольствие ниже среднего... Остальные ветви, кроме \Run* кстати, защищаются нормально.

2All: потестируйте у себя, если не сложно. Может, это у меня какой-то локальный глюк?

Сообщение было изменено Dmitry_rus: 02 Ноябрь 2014 - 10:47

[Dmitry_rus]

Похожая проблема описывалась в этой ветке:

http://forum.drweb.com/index.php?showtopic=312877

...баги возвращаются?

[АВаТар]

Вообще-то, в Справке 10 написано больше:

Автозапуск программ:

·Software\Microsoft\Windows\CurrentVersion\Run

·Software\Microsoft\Windows\CurrentVersion\RunOnce

·Software\Microsoft\Windows\CurrentVersion\RunOnceEx

·Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

·Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup

·Software\Microsoft\Windows\CurrentVersion\RunServices

·Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

 

Чтобы проверить возможность изменения этих областей реестра, я поставил в настройках ПЗ - "Автозапуск программ - Запрещать" (по умолчанию у меня стоит "Оптимальный (рекомендуется)").

 

После чего попробовал создать в редакторе реестра (regedit) в 1-ой ветке из приведённого списка - пробный параметр, и ещё - изменить значения существующих. Получил полный облом, как и было заявлено Dr.Web'ом. Правда, в сообщениях об ошибках не было этого слова - "Dr.Web".

 

Пробовал ещё поменять что-нибудь в вышеперечисленных ветках с помощью программы Autoruns (от SysInternals) - получил тот же результат. Тест у меня был не полный, но, думаю, показательный.

 

Получается, что у меня эти ветви реестра защищены от изменений.

 

ОС - Русский Windows 7 x86 SP1 + все обновления на текущий момент. XP под рукой нет.

Сообщение было изменено АВаТар: 03 Ноябрь 2014 - 17:00

[АВаТар]

ЗЫ. А при настройке - "Спрашивать", действительно получаю запрос от Dr.Web на разрешение такого действия.

[Dmitry_rus]

Тест у меня был не полный, но, думаю, показательный.

Да, вполне показательный, большое спасибо!

Тем не менее, вынужден констатировать, что на моей XP SP3 вышеуказанные ветви не защищаются.

В то время как с 9.1 проблем не было. После праздников еще проверю на других машинах с XP и с другими версиями ОС.

Пока вернулся на "девятку". Да и зеленый паучок привычен взору...

[Dmitry_rus]

Upd: Проверил на 64-битных Win 7 и 8.1 - всё работает без нареканий, как Доктор прописал... А вот со старушкой ХР - бяда...   Ее тоже подлечить неплохо бы, хоть и стоит одной ногой в могиле...

[RomaNNN]

Upd: Проверил на 64-битных Win 7 и 8.1 - всё работает без нареканий, как Доктор прописал... А вот со старушкой ХР - бяда...   Ее тоже подлечить неплохо бы, хоть и стоит одной ногой в могиле...

 

Можете создать баг в трекере? С логами сервиса желательно.

[Konstantin Yudin]

Спасибо за репорт, странно что только с xp проблема, алгоритм там один на все.

[Dmitry_rus]

Upd: проверил еще на 3 машинах (одна из которых - ноутбук) с ХР - воспроизводимость 100%. Так что копипастите код из 9-ки!

[Diana Lebedeva]

Dmitry_rus, 

на всех машинах был апгрейд с 9-ки на 10-ку, правильно я понимаю?

 какие-то особые настройки превентивки на 9-ке были при этом?

[Dmitry_rus]

Нет, была установка с предварительным штатным удалением (без сохранения настроек), перезагрузкой, применением ремувера. На некоторых машинах Dr.Web до этого вообще ранее не устанавливался. Что касается особых настроек - я обычно применяю пользовательские, где разрешен только запуск драйверов и системные службы.

https://bugs.drweb.com/view.php?id=102219