40 ответов в этой теме

[VVS]

Я бы поменял в планировщике быстрое сканирование на выборочное и внёс бы туда исключение.

[Konstantin Yudin]

Докладываю.
Убрала все исключения отовсюду.
Все настройки раб.станции наследуются от группы everyone.
Для группы everyone внесла исключение в "пути и файлы" "c:\ammyy\aa_v3.exe" в:
1) Конфигурация-Windows-Сканер
2) Конфигурация-Windows-SpIDer Guard для рабочих станций
3) Конфигурация-Планировщик заданий-Daily scan  -  вот тут вкладка "Исключения" есть только для действия "Выборочное сканирование", а по умолчанию должно запускаться действие "быстрое сканирование" при старте компа, а для него не нашла, куда прописать путь к файлу. 
Получается, что реально исключения внесла только в п.1 и 2. С ними не получилось, после запуска aa_v3.exe ушел в карантин.

насколько я помню задание исключений уже есть во всех режимах. вот только не помню в какой версии ES

[Melena]

DrWeb ESuite 10.01.0

Исключения есть только для выборочного режима.

Но, вроде бы, такой вариант работает. Ammyy жив.

Единственное, я не понимаю, что именно она проверяет? Быстрый режим при запуске примерно понятно. А выборочный без указания путей - как работает?

И еще обратила внимание, что с этой настройкой процесс  dwengine.exe*32 занимает 60-90% процессора. В варианте с быстрой проверкой такого точно не было. Может, он шарашит по всей системе? Без указаний-то?

[VVS]

IMHO имеет смысл отключить "проверять стационарные диски"

[Melena]

Отключила и поставила галку на "показывать ход проверки". Посмотрим.

Но вообще непонятна логика этих запланированных сканеров. Если их настройки  полностью автономны и не связаны с настройками сканера из конфигурации Windows, то должен быть свой, идентичный набор этих настроек. А если связаны, то должны браться из конф.сканера по умолчанию, а какие-то, указанные явно, могут быть изменены. Сканер-то один всего? Просто используется с разным набором настроек?

[Melena]

Что-то Ammyy опять в карантин уехал после перезагрузки. 

Так, еще раз все аккуратно перепробую на другой раб.станции. Сейчас не могу, т.к. она ушла в глубокое обновление  виндов.

Но пока не решится проблема с Ammyy не смогу распространить drWeb на всю сеть. Пока только на двух машинах пробую, знакомлюсь.

[VVS]

Отчёт + лог ES-сервера.

Ну и время указать.

[Melena]

Про отчет и время теперь знаю.  А лог ES-сервера - это Администрирование > Журнал Сервера Dr.Web   - drwcsd.log ?

[VVS]

Угу.

[Melena]

Продолжаем разговор

Итак, напомню настройки группы Everyone (тестируемая раб станция наследует все права):

1)Планировщик - Daily scan (Стартовое (по времени на станции)) - Выборочное сканирование - Исключаемые пути и файлы "c:\ammyy\aa_v3.exe"

2)Сканер Исключаемые пути и файлы "c:\ammyy\aa_v3.exe"

3)SpIDer Guard  Исключаемые пути и файлы "c:\ammyy\aa_v3.exe"

 

 После очередного "убиения" и перезагрузки удается скопировать файл aa_v3.exe на место и запустить его. Запускается и файл, и служба, оба  с ошибкой RegCreateKeyExA() error = 5, но работает.

Перезагружаемся.

Работает.

В Диспетчере задач процесс dwengine.exe*32 в течение минут десяти занимал в основном 40-80%, потом 2-6%.

 

Так что, за исключение ошибки реестра ( не знаю, насколько это важно для работоспособности ammyy), все пока работает.

 

Далее, в планировщике задач есть еще и ежемесячное сканирование, в котором нет настройки исключений. Грохнет?

 

Еще вопрос: нет ли возможности в веб-консоли, просматривая какие-либо отчеты или статистики, прямо оттуда задавать исключения? Типа "вот этот процесс/файл, который ты посчитал плохим,  я знаю и ему доверяю, клади его быстренько в исключения"?

У нас, напр., используется в лок. сети мессенджер небольшой (bopup) (на тестируемой станции он сейчас работает норм). Вот, в какой-то момент, вскоре после установки агента, агент что-то кричал про него на станции и спрашивал, не помню уже что Типа, не записать ли его в исключения. Вот есть ли возможность делать это не локально, а из админской консоли? 

[Kirill Polubelov]

А грохает точно кто-то из пп. 1,2, 3? Не превентивная защита, например? (в логе dwservice.log) должно быть видно по grep denied

[Melena]

Я с самого начала делала исключение и в превентивной защите в т.ч.  И не работало. Получается, что работает только  с вариантом выборочного сканирования при старте станции (с указанием исключаемого  файла). Если выбирать другой тип сканирования при старте, то файл при загрузке компа сразу летит в карантин.

[Melena]

В "Ежемесячном сканировании", в планировщике заданий, нет  возможности задать исключения. Это опция "Сканер Dr.Web полное сканирование". В итоге несчастный aa_v3.exe был опять сброшен в карантин. А вообще отключать полное сканирование раз в месяц не хочется. Есть выход?

Спасибо.

[d.a.panov]

В "Ежемесячном сканировании", в планировщике заданий, нет  возможности задать исключения. Это опция "Сканер Dr.Web полное сканирование". В итоге несчастный aa_v3.exe был опять сброшен в карантин. А вообще отключать полное сканирование раз в месяц не хочется. Есть выход?

Спасибо.

Я думаю это баг, так как ожидаемое и логичное поведение антивируса - это как раз то, что параметры исключения сканера должны быть едины для всех задач сканирования. Поднимайте официальный тикет в саппорте, тут вряд ли помогут.

[Melena]

Подняла.

Это не бага, это фича     

Так и было задумано, и в инструкции это описано. Логику не понимаю...

Придется каждый месяц перевосстанавливать убитую службу на всех компах сети и изучать другие антивирусы на след. год

[SergSG]

А вообще отключать полное сканирование раз в месяц не хочется.

А польза от этого сканирования хоть раз была?

[Afalin]

Вообще, проблема же решается выборочным сканированием. Там есть всё то же самое, что в полном, плюс остальные настройки.

[Melena]

А польза от этого сканирования хоть раз была?

Да, находит периодически какие-то подгруженные скрипты в темповых директориях браузеров.

Вообще, проблема же решается выборочным сканированием. Там есть всё то же самое, что в полном, плюс остальные настройки.

Да, это я уже поняла, так и сделаю, просто считала, что полное сканирование делает что-то еще дополнительно помимо сканирования дисков

[maxic]

считала, что полное сканирование делает что-то еще дополнительно помимо сканирования дисков

Определённо, нет.

Это, скорее, может относиться к быстрому сканированию, которое направлено на выявление активного заражения.

[SergSG]

 

А польза от этого сканирования хоть раз была?

Да, находит периодически какие-то подгруженные скрипты в темповых директориях браузеров.

Странно. По идее, этим Гард занимается в реалтайме. Думается, это скорее ложняки.

Возможно имеет смысл включить автоочистку кеш при закрытии браузеров. Пользы от него при современном контенте все равно ни какой нет.