24 ответов в этой теме

[Vsevolod Strigunov]

Добрый день!

 

Windows 8.1, DrWeb antivirus v.11.

Хочу сбросить файлы с внешнего диска на диск E:, выбираю в проводнике винды нужную папку на съемном диске, Ctrl+X, выбираю другую папку на диске E:, Ctrl+V - начинает перемещение, перемещает несколько файлов, после чего DrWeb выдает сообщение "Процессу запрещена модификация файлов пользователей" и отменяет дальнейшее перемещение.

 

Вот это сообщение:

 

 drweb1.png   13,14К   3 Скачано раз

Полез в настройки, сменил с "запрещать" на "спрашивать", попробовал снова, получил аналогичное сообщение:

 drweb2.png   11,28К   3 Скачано раз

причем кнопка "Исправить" включает запрет обратно.

Вопрос 1: на кой хрен нужен этот режим? Всегда считал ,что "спрашивать" - это предупреждать, но при этом давать возможность выбора между запретом и разрешением.

Сделал проверку сканером DrWeb - не нашел ничего.

Те же самые файлы (те, что по нескольку штук давало переместить) между другими дисками и папками перемещаются без проблем.

Подумал, настроил пермишены на Full Control для группы юзеров Everyone для съемного диска. Антивинус перестал иметь мозги и дал все переместить.

Вопросы 2 и 3: 

2) Какого хрена этому антивирусу было надо? 

3) почему по нескольку штук он таки давал перемещать?

[RomaNNN]

Полез в настройки, сменил с "запрещать" на "спрашивать", попробовал снова, получил аналогичное сообщение:

drweb2.png

причем кнопка "Исправить" включает запрет обратно.

Вопрос 1: на кой хрен нужен этот режим? Всегда считал ,что "спрашивать" - это предупреждать, но при этом давать возможность выбора между запретом и разрешением.

Неудачный дизайн балуна. Там крестик есть в правом верхнем углу, который разрешает действие процессу.

 

Можете прикрепить стандартный отчет антивируса?

[VVS]

 

Полез в настройки, сменил с "запрещать" на "спрашивать", попробовал снова, получил аналогичное сообщение:

drweb2.png

причем кнопка "Исправить" включает запрет обратно.

Вопрос 1: на кой хрен нужен этот режим? Всегда считал ,что "спрашивать" - это предупреждать, но при этом давать возможность выбора между запретом и разрешением.

Неудачный дизайн балуна. Там крестик есть в правом верхнем углу, который разрешает действие процессу.

Крайне неудачный дизайн, который каждый раз шокирует даже меня.

Отмена эквивалентна ответу "Разрешить".

[Vsevolod Strigunov]

 

Полез в настройки, сменил с "запрещать" на "спрашивать", попробовал снова, получил аналогичное сообщение:

drweb2.png

причем кнопка "Исправить" включает запрет обратно.

Вопрос 1: на кой хрен нужен этот режим? Всегда считал ,что "спрашивать" - это предупреждать, но при этом давать возможность выбора между запретом и разрешением.

Неудачный дизайн балуна. Там крестик есть в правом верхнем углу, который разрешает действие процессу.

 

Можете прикрепить стандартный отчет антивируса?

 

Это? Положил в архив, почему-то на загрузку .csv выдает "Вам запрещена загрузка файлов этого типа"

 

 events.zip   542байт   2 Скачано раз

там в отчете только несколько записей "Доступ к защищаемому объекту заблокирован Превентивной защитой".
Допускаю, что это из-за пермишенов, но вопросы 2 и в особенности 3 не дают покоя...

[Konstantin Yudin]

не оно. нужен отчет для тех. поддержки в инструментах

[Vsevolod Strigunov]

не оно. нужен отчет для тех. поддержки в инструментах

А, понял. вот:

 VS_Vsevolod_220317_132144.zip   6,65Мб   10 Скачано раз

[Konstantin Yudin]

спасибо, разбираемся.

[Konstantin Yudin]

в целом все понятно. отработало нововведение от Романа раньше такой детект подавлялся.

[Konstantin Yudin]

можете сделать полный дамп процесса dllhost, когда висит запрос с кнопкой исправить. например в диспетчере процессов. нужно убедится то все так же как я думаю и фикс поможет. а то может у вас там суслик за компанию хостится

[Aleksey Tarakhti]

Vsevolod Strigunov, какое содержимое у каталогов, которые вы копируете? Видео, изображения, офисные документы?

[Aleksey Tarakhti]

По поводу дампа с процесса dllhost.exe. Снимать дамп нужно с процесса с тем же PID'ом, что указан в нотификации, которая появляется в правом нижнем углу.

[Konstantin Yudin]

в общем не воспроизводится ситуация, а значит есть какая то специфика в вашей системе. нужны дампы.

[Alexander Rudin]

Сегодня столкнулся с ровно такой же ситуацией. Локально был залогинен на станции обычного пользователя под своей учеткой с правами админа. Копировал файлы из профиля другого пользователя FARом, запущенного с правами администратора. При копировании файлов из папок Downloads и Desktop с системного диска на другой физический диск, получил вот такое же оповещение -"Процессу запрещена модификация файлов пользователей".

 

FAR.EXE улетел в карантин как Троян.Енкодер. После восстановления Фара из карантина, снова запустить его не смог - у FAR.EXE пропал владелец. После перезагрузки права восстановились. После этого решил копировать проводником и проверить - убьет ли DrWEB процесс explorer.exe. Не убил и даже дал скопировать.

 

Из специфики компа - Windows 7, системный диск SSD на внешнем AsMedia SATA контроллере, внесены правки в реестр чтобы система не считала его съемным и не было значка безопасного удаления в трее.

Второй физический диск HDD SATA на ICH7 встроенном контроллере.

Сообщение было изменено Alexander Rudin: 04 Октябрь 2017 - 09:24

[Nenya Amo]

Alexander Rudin, проводник валиден, потому не пищит, а фар это из вне не имеющий подписи майкрософта.

[Daniil Yavno]

Копировал файлы из профиля другого пользователя FARом, запущенного с правами администратора. При копировании файлов из папок Downloads и Desktop с системного диска на другой физический диск, получил вот такое же оповещение -"Процессу запрещена модификация файлов пользователей".

 

 

Вы их именно копировали или таки перемещали?

[Alexander Rudin]

 

Вы их именно копировали или таки перемещали?

 

Имею привычку копировать, потом удалять руками источник. Как было в этот раз 100% точно не скажу, мог бес попутать и F6 нажал, но маловероятно.

 

ps: вчера у пользователя реальный енкодер спокойненько за час пошифровал все файлы на компе и никакой ругани от веба что "Процессу запрещена модификация файлов пользователей".

Мб потому что кодировал файлы в своем профиле а я начала админом лазить в чужих профилях

Сообщение было изменено Alexander Rudin: 06 Октябрь 2017 - 05:01

[VVS]

ps: вчера у пользователя реальный енкодер спокойненько за час пошифровал все файлы на компе и никакой ругани от веба что "Процессу запрещена модификация файлов пользователей".

А тушка сохранилась?

Разработчикам бы его...

[Alexander Rudin]

Все отправлено по тикету сразу же как прошла атака. И промежуточные JS скрипты и сам EXEшник  енкодера. Через несколько часов все уже было в вирусных базах и он начал детектится. 

По теме - как раз сейчас занимаюсь этой больной машиной, вирусописатели обленились в конец, никаких автозапусков и механизмов размножения - тупо пользователь запустил .LNK из архива, создался промежуточный скрипт CMD, тот скачал с удаленного сайта под видом таблицы стилей CSS другой уже JS, тот в свою очередь третий JS и только тот скачал и запустил EXE. Который очень потихоньку в фоне начал шифровать, причем начал с сетевых ресурсов, которые нашел сам - серверные шары не были подключены как буквы дисков. Файлы он читал, создавал другой с другим расширением, оригинальный после этого удалял. Атака шла чуть больше часа, пока пользователь сам не наткнулся на шифрованный файл при работе и не обратился к поддержке. За час успело пошифровать около 50Гб на серверах и 20гб на локальной машине, процессор эта штука грузила на 5-10%. Сетка 100Мбит, так что скорость работы ограничивалась скоростью сети. 

 

Не поверил я в RSA-1024 шифрование заявленное в баннере, явно длина ключа меньше при таких скоростях и решил на всякий случай сохранить шифрованные локальные данные пользователя, может и будет когда декриптор. И тут снова столкнулся с "Процессу запрещена модификация файлов пользователей"

 

Операции проводил опять с помощью FAR:

1. На HDD диске D из пользовательской папки дало скопировать и удалить все зашифрованные файлы

2. На SSD диске C из профиля пользователя, с рабочего стола DESKTOP, дало скопировать но при попытке удаления снова получил данное окно и фар улетел в карантин как DPH.Encoder.2

 

Проводник мне в данном случае помочь ничем не смог, так как удалять надо выборочно, по маске. Ушел в командную строку...

[VVS]

Все отправлено по тикету сразу же как прошла атака. И промежуточные JS скрипты и сам EXEшник  енкодера. Через несколько часов все уже было в вирусных базах и он начал детектится.

Это IMHO Вы в вирлаб отправили, а хотелось бы, чтобы разработчики превентивки посмотрели.

Номер тикета сообщите, пожалуйста.

[pig]

Э, а это таки тикет техподдержки. А их публиковать нельзя.