18 ответов в этой теме

[Александр Б.]

Не хочется отдельную тему создавать, но хочется узнать.

 

Есть информация, почему Dr.Web 11 ES (с актуальные базами) срабатывает на установку adobe flash player (версия 25) ?

 

 

 

Или оно ложное?

 

Причем если выставлять проверку установочных файлов, то он ловит и .msi, которые были с сайта Adobe скачены.

Сообщение было изменено Александр Б.: 13 Июнь 2017 - 15:27

[Александр Б.]

Уточнение:

Срабатывает на все 3 установочных .msi (activex, npapi, ppapi)

[Konstantin Yudin]

в вирлаб

[Александр Б.]

в вирлаб

 

Запрос (с вложенным .msi)отправил с параметром "ложное срабатывание", на что пришёл автоответ:

 

 

 

Ваш запрос был проанализирован. Для присланного Вами файла указана категория "Ложное срабатывание", но на данный момент файл сканером Dr.Web не определяется как угроза.

 

При этом замечу, что на компьютере с Security Space 11 на эти .msi тишина.

[VVS]

При этом замечу, что на компьютере с Security Space 11 на эти .msi тишина.

Тогда начнём с отчёта DrWeb с компьютера, на котором наблюдается ложное срабатывание.

[Александр Б.]

Срабатывание происходит у Агентов Dr.Web ES 11.

 

Как образом с них можно отчет снять?

 

В административной части я вижу статистику только в таком виде:

[Konstantin Yudin]

на станциях модули актуальны, не включено обновление только баз и т.п.?

[VVS]

Срабатывание происходит у Агентов Dr.Web ES 11.

 

Как образом с них можно отчет снять?

Инструменты - поддержка - отчёт для технической поддержки

[Александр Б.]

Все станции функционируют штатно, обновляется всё по расписанию.

[Александр Б.]

Инструменты - поддержка - отчёт для технической поддержки

 

А он в каком виде будет? В админку ES прилетит или на рабочей станции где-то появится?

[VVS]

На рабочей станции.

[Александр Б.]

Вас понял, сейчас попробую достать.

[Александр Б.]

Тогда начнём с отчёта DrWeb с компьютера, на котором наблюдается ложное срабатывание.

 

Архив отправил приватом.

[VVS]

Что-то у Вас странное твориться.

Вот из лога обновления:

20170601 09:51:20 [ERR] [Updater ] loader error: boost::filesystem::copy: Такой запрос не поддерживается: "C:\ProgramData\Doctor Web\Updater\TempES\90/products.xml", "C:/PROGRA~3/DOCTOR~1/Updater/repo\90\products.xml.cache;"
20170601 09:51:20 [ERR] [Updater ] Updater failed. 
20170601 09:51:20 [INF] [  Main  ] Updater has finished. Exit code = 2

Мало того, что ошибка, так ещё и датировано 01/06/2017

Рекомендую с этим отчётом и с логом сервера обратиться в ТП.

Сообщение было изменено VVS: 15 Июнь 2017 - 21:45

[VVS]

А лог сервиса выглядит так:

2017-Jun-13 16:58:43.853965 [2456] [ERR] [es-settings] error while set LogLevel to 0: Invalid value; (report_settings::level could not be 0)
2017-Jun-13 16:59:14.161671 [2456] [ERR] [Updater] Es update-loader error: download failed. Stop current update task
2017-Jun-13 16:59:14.192871 [2456] [ERR] [Reconnector] SERVER VIOLATION: stop called
2017-Jun-13 17:00:04.453351 [2460] [ERR] [es-settings] error while set LogLevel to 0: Invalid value; (report_settings::level could not be 0)
2017-Jun-13 17:00:34.657363 [2456] [ERR] [Updater] Es update-loader error: download failed. Stop current update task
2017-Jun-13 17:00:34.688563 [2456] [ERR] [Reconnector] SERVER VIOLATION: stop called

[Александр Б.]

Я по дате лог-файла обновления понял уже, что последнее обновление было 1 июня.

 

Заметил следующие странности:

 

а) станция некоторое время (видимо с 1 июня) была оффлайн в Центре управления, но дата последнего подключения актуальна.

б) она продолжала отчитываться в Центр управления об найденных угрозах

в) обновления она не получала с 1 июня

г) Агент считает, что всё в порядке - дата обновлений согласно актуальной ревизии в Центре управления.

 

Т.е. для отправки статистики на сервере Агент работал, для приема обновлений - уже нет.

 

Собственно у остальных станций реакции на Adobe Flash Player нет.

 

Случай пока рассматриваю как случайность - снес ремовером Агента, установил заново.

 

Если повторится, тогда уже отпишусь в ТП.

Сообщение было изменено Александр Б.: 16 Июнь 2017 - 17:36

[Afalin]

а) станция некоторое время (видимо с 1 июня) была оффлайн в Центре управления, но дата последнего подключения актуальна.

б) она продолжала отчитываться в Центр управления об найденных угрозах

Как это? Оффлайн-станции никуда не отчитываются.

[Александр Б.]

Как это? Оффлайн-станции никуда не отчитываются.

 

Посмотрите 1-й пост темы. Там скриншот отчета с этой станции от 13 июня (хотя обновления она перестала получать еще 1 июня). Она отчитывалась о каждом случае попытки установить флешплеер через групповые политики.

 

Когда стояла проверка инсталяционных пакетов - Агент отчитывался о найденной угрозе в c:\windows\temp\****.msi

 

При отключении проверки инсталяционных пакетов - Агент уже ловил распакованные файлы из .msi - как раз случай на скриншоте.

 

Поэтому повторюсь: в Центре управления при просмотре этой станции подробней - "дата последней регистрации" была актуальной, вплоть до переустановки Агента на этой рабочей станции.

 

При этом именно в древе рабочих станций в Центре управления её иконка была погашенной.

[Afalin]

Понял, о чём речь. Из-за процитированных ошибок она постоянно отваливалась от сервера, потому дольше находилась в оффлайне, чем в онлайне. Потому и получилось такое впечатление, что она оффлайн.