23 Antworten zu diesem Thema

[Legion03]

В настройках защиты и блокировки подозрительных действий можно выбрать блокировать, разрешать и спрашивать для разных видов подозрительного поведения. Я попробовал с файлом hosts, выбрал спрашивать, добавил в файл несколько символов и сохранил - появился запрос разрешить или заблокировать изменения, все работает. Если же выбрать блокировать, то файл hosts изменить невозможно, тут тоже все понятно. Но вот есть программа FPS monitor и если параметр целостности запущенных приложений выбрать спрашивать, то при запуске монитора появляется такое странное окошко, где всего одна кнопка - исправить. Если ее нажать, то катана обнаруживает файлы C:\ProgramData\FPSMonitor\hooks\fpsmon64.exe и C:\ProgramData\FPSMonitor\hooks\fpsmon64.dll как вирусы и якобы помещает их в карантин. В менеджере карантина действительно отображаются эти два файла, но из папки C:\ProgramData\FPSMonitor\hooks они не удаляются, а остаются заблокированными. и снимается эта блокировка исключительно перезагрузкой компьютера, никакое отключение защиты и самозащиты не помогает. Если восстановить из карантина эти два файла, то они восстанавливаются с именами fpsmon64(1).exe и fpsmon64(1).dll. Ну это понятно, исходные файлы ведь заблокированы и с ними ничего нельзя сделать до перезагрузки. Но почему они блокируются, ведь в карантин должны были переместиться. И как отключить подобные детекты? В полном антивирусе есть настройки исключений, но тут исключений нет! Это вообще как так? Если я хочу, чтобы катана ни при каких обстоятельствах не проверяла определенную программу или определенную папку, то как их исключить? Один раз катана добавила в карантил файл SppExtComObjHook.dll и SppExtComObjPatcher.exe в карантин, я восстановил и больше эти файлы не трогает. Восстановление из карантина это аналог добавления в исключения или нет? Если нет, то почему тут нет исключений? Когда будет исправление бага с фпс монитором?

Angehängte Bilder

•  1Снимок.PNG   15,46K   1 Anzahl Downloads

[Konstantin Yudin]

В катане есть исключения, вернее правила в превентивной защите, ровно как в большом брате. То что они залочены значит процесс нейтрализации ещё идёт, должны исчезнуть в большинстве случаев. Но в целом процесс лечения это сложная многоходовочка, часть операций может происходить после ребута.

[Konstantin Yudin]

Fps монитор работает по принципу инжекта своего кода в различные процессы, то что за это получает ожидаемо. Пришлите эти файлы оба мне в личку, глянем насколько им можно доверять. Можете создать правило в превентивной защите для этого приложения и выставить в разрешить нужные действия.

[Konstantin Yudin]

Поведенческий анализ через какое то время теряет интерес к файлам и процессам которые живут в системе, поэтому детекты не постоянны по своей натуре.

[Legion03]

А то, что файлы не удаляются, а блокируются, это нормально? Почему в карантине они есть и в исходной папке тоже есть? Очень похоже на баг. Может стоит вам поставить этот монитор и попробовать воспроизвести?

[Konstantin Yudin]

Я написал выше. Должен появится в конце балун с детектом DPH:Trojan.Inject.xxx и путем к файлу.

[Legion03]

Еще баг в катане. Если запустить фпс монитор, а потом стресс-тест в фурмарке, то при закрытии монитора остается заблокированный процесс fpsmon64.exe, файл программы C:\ProgramData\FPSMonitor\hooks\fpsmon64.exe. Такое пока проявляется только с фурмарком, в играх такого нет. Если же отключить и включить защиту, то бага с фурмарком нет. Это вообще какой-то эпический криворукий баг. Как такое вообще возможно? Почему блокируется процесс fpsmon64.exe, но если перед запуском монитора и фурмарка отключить и включить заново защиту, то бага нет? Фурмарк версии 1.26.0.0, фпс монитор 5305. Вам не кажется, что это уже слишком? 1000 рублей в год и такие серьезные труднонаходимые баги? Это если человек разбирается в компьютерах, он может понять закономерность и найти причину бага, а если это будет блондинка? Тогда причину бага можно вообще не найти никогда. Да даже если и опытный человек, но никогда не юзал фурмарк, скачает его, запустит, увидит баг с фпс монитором и подумает на фурмарк или на монитор, что логично, ведь только с фурмарком такой баг появляется. А на самом деле виноват доктор веб. И что это за окошко в моем первом посте, где только одна кнопка исправить? Почему не две кнопки разрешить и запретить? Кому-то серьезно надо заняться выпрямлением своих рук, так как качество кода совсем плохое уже. Тут где-то баг трекер был, туда еще можно писать? Куда надо отписать по этому багу, чтобы им занялись?

[VVS]

И что это за окошко в моем первом посте, где только одна кнопка исправить? Почему не две кнопки разрешить и запретить? Кому-то серьезно надо заняться выпрямлением своих рук, так как качество кода совсем плохое уже.

Это юзабилисты такую глупость придумали: "исправить" - это запретить, а нажатие на крестик - это разрешить.
Более глупого решения я в жизни, наверно, не встречал.
Только вот к "качеству кода" это не имеет никакого отношения...

[Legion03]

Только вот к "качеству кода" это не имеет никакого отношения

Про качество кода это я написал из-за бага с фурмарком, а не по поводу этого окошка.  Отписал этот баг в техподдержку, но раньше вроде трекер был bugs.drweb.ru, сейчас его уже нет? Тогда откуда баг-репорты принимаются?

[RomaNNN]

 

Только вот к "качеству кода" это не имеет никакого отношения

Про качество кода это я написал из-за бага с фурмарком, а не по поводу этого окошка.  Отписал этот баг в техподдержку, но раньше вроде трекер был bugs.drweb.ru, сейчас его уже нет? Тогда откуда баг-репорты принимаются?

 

bugs.drweb.com

[Konstantin Yudin]

видел ваш тикет, и личку. все эти модули с марта еще в доверенных.

[Konstantin Yudin]

2021-Jun-23 15:06:15.456090 [5584] [INF] [ark] load and init success version: 11.5.7.2019_02_13_1, API version = 820

2021-Jun-23 15:06:21.591476 [3912] [INF] [5584] [arkdll] arkdb load, ver: 5.0, timestamp: 04.12.2020 22:08:30.000, size: 3525853 bytes, hash: f1f5c559979cfe6b90a51c230274978e09fd979c, load time: 1317.038000 ms

 

староват у вас продукт мягко говоря

[Legion03]

Это как так? Я вчера скачал его из личного кабинета, обновления проверял, там не требуется. Почему у вас на сайте старая катана? И почему не обновляется, если обновление вышло?

 

Программные модули

Dr.Web KATANA 

Dr.Web KATANA (1.0)

Dr.Web Anti-rootkit API 

dwarkapi.dll (11.5.7.201902131)

Dr.Web KATANA setup 

katana-setup.exe (1.0.18.12080)

Dr.Web Shellguard anti-exploit module 

dwsguard64.dll (12.6.2.05180)

Dr.Web Shellguard anti-exploit module 

dwsguard32.dll (12.6.2.05180)

Dr.Web Protection for Windows 

dwprot.sys (11.5.10.10080)

Dr.Web SysInfo library 

dwsysinfo.dll (11.5.3.201811230)

Dr.Web SysInfo 

dwsysinfo.exe (11.5.3.201811230)

Dr.Web KATANA Agent 

spideragent.exe (11.0.7.02271)

Dr.Web Updater 

drwupsrv.exe (11.5.19.06040)

Dr.Web Control Service 

dwservice.exe (11.5.2.09121)

Dr.Web Quarantine 

dwqrlib64.dll (11.5.6.03280)

Dr.Web Thunderstorm Cloud Client SDK 

ccsdk.dll (11.5.1.06070)

Angehängte Bilder

•  Снимок.PNG   20,9K   0 Anzahl Downloads

Bearbeitet von Legion03, 23 Juni 2021 - 21:46,

[Legion03]

Так, мне в тикете написали обновить программу, перезагрузить компьютер и проверить. Но я не заметил, что еще написали включить облако. Сейчас я включил облако, выполнил обновление и баг вроде пропал. Попробую еще с другими программами протестировать. Так а что, без облака никак? Что будет передаваться Доктору при активном облаке? Разъясните подробнее пункт 2.2 политики конфиденциальности. Будет ли отправляться на серверы в облако каждый детект чего-нибудь у меня на компьютере? Если да, то будет ли отправляться с этим мой уникальный идентификатор, по которому меня можно будет вычислить? Можно ли избавиться от этого бага без всяких облаков (не хочу, чтобы за мной следили), или вы таким образом принуждаете пользователей к отправке статистики (а она анонимна?)

И какие именно модули у меня старые? Вот версии с включенным облаком

Программные модули

Dr.Web KATANA 

Dr.Web KATANA (1.0)

Dr.Web Anti-rootkit API 

dwarkapi.dll (11.5.7.201902131)

Dr.Web KATANA setup 

katana-setup.exe (1.0.18.12080)

Dr.Web Shellguard anti-exploit module 

dwsguard64.dll (12.6.2.05180)

Dr.Web Shellguard anti-exploit module 

dwsguard32.dll (12.6.2.05180)

Dr.Web Protection for Windows 

dwprot.sys (11.5.10.10080)

Dr.Web SysInfo library 

dwsysinfo.dll (11.5.3.201811230)

Dr.Web SysInfo 

dwsysinfo.exe (11.5.3.201811230)

Dr.Web KATANA Agent 

spideragent.exe (11.0.7.02271)

Dr.Web Updater 

drwupsrv.exe (11.5.19.06040)

Dr.Web Control Service 

dwservice.exe (11.5.2.09121)

Dr.Web Quarantine 

dwqrlib64.dll (11.5.6.03280)

Dr.Web Thunderstorm Cloud Client SDK 

ccsdk.dll (11.5.1.06070)

Bearbeitet von Legion03, 24 Juni 2021 - 01:46,

[SergSG]

 

2021-Jun-23 15:06:15.456090 [5584] [INF] [ark] load and init success version: 11.5.7.2019_02_13_1, API version = 820

2021-Jun-23 15:06:21.591476 [3912] [INF] [5584] [arkdll] arkdb load, ver: 5.0, timestamp: 04.12.2020 22:08:30.000, size: 3525853 bytes, hash: f1f5c559979cfe6b90a51c230274978e09fd979c, load time: 1317.038000 ms

 

староват у вас продукт мягко говоря

 

А вы Катану часто обновляете?  Я уж и не помню когда она последний раз в новостях светилась.

Bearbeitet von SergSG, 24 Juni 2021 - 17:32,

[Afalin]

2021-Jun-23 15:06:15.456090 [5584] [INF] [ark] load and init success version: 11.5.7.2019_02_13_1, API version = 820

2021-Jun-23 15:06:21.591476 [3912] [INF] [5584] [arkdll] arkdb load, ver: 5.0, timestamp: 04.12.2020 22:08:30.000, size: 3525853 bytes, hash: f1f5c559979cfe6b90a51c230274978e09fd979c, load time: 1317.038000 ms

 

староват у вас продукт мягко говоря

А вы Катану часто обновляете?  Я уж и не помню когда она последний раз в новостях светилась.

 

drwbase.db и без новостей обновляется несколько раз в неделю. Сегодня, например. А вот Аркадий там именно такой и лежит, двухлетней давности.

[Legion03]

А когда его обновят? И почему его не обновляют, если обновление уже вышло?

[Konstantin Yudin]

с вашей старой базой разбираться надо вам, с тех. поддержкой. база выходит иногда ежедневно. а у вас уже пол года как старая

[Legion03]

А как так может получиться, что у меня что-то там старое? Я же не пиратский дистрибутив скачал, а честно купил, а установщик скачал отсюда https://products.drweb.ru/home/katana/

Причем поставил всего два дня назад, это значит установщик старый там?

[SergSG]

А как так может получиться, что у меня что-то там старое? Я же не пиратский дистрибутив скачал, а честно купил, а установщик скачал отсюда https://products.drweb.ru/home/katana/

Причем поставил всего два дня назад, это значит установщик старый там?

Установщики обновляют крайне редко. Обновления загружаются в процессе установки или при первом же апдейте.

Почему у Вас не обновилась drwbase.db должна разобраться тех. поддержка. И логи, как я понимаю, находятся у них.