Тест Тест SysWatch 3.9 + CureIt

Тема в разделе "Тестирование ПО", создана пользователем Phoenix, 19 янв 2014.

Статус темы:
Закрыта.
  1. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    CureIt вылетает с ошибкой 1722, рабочий стол блокируется - создать-изменить картинку для скрина не получается. Диспетчер задач не вызывается. При выходе из системы ПК выключчается. Только холодная перезагрузка. В отчётах ошибки. (win7x64)
    19.01.2014 18:00:29 >>>>>>>>>> ERROR: WARNING: [NON-RETAIL WARNING]: AccessControl::Initialize() - default ACL is empty.

    19.01.2014 18:30:25 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:30:25 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:30:28 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:30:28 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:30:28 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:30:31 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:31:09 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:49 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:50 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:50 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:50 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:50 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:50 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:50 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:51 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:51 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:32:51 >>>>>>>>>> ERROR: Requesting information: reference failed
    19.01.2014 18:38:24 >>>>>>>>>> ERROR: ERROR: ProcessEntity::UpdateTokenInfo - Unable to get process token.

     
    Kиpилл нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Зачем нужен был CureIt, если есть свой сканер внутри, не спрашиваю... Недоумеваю молча.

    Что за кем ставилось? Настройки по умолчанию или что-то менялось?
    Система установлена начисто или после других экспериментов, твиков, хаков?
    Делалась ли проработка инцидента с добавлением кюреит в доверенные?
    Какой кюреит брался? С сайта DrWeb или из вашей подписи?
     
    Последнее редактирование: 19 янв 2014
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.978
    Скорее всего надо было обновить профиль и добавить исключения.
    курейт тоже блокирует рабочий стол,а сисвач видимо заблокировал курейт...
     
    SNS-amigo нравится это.
  4. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Как это зачем ? Ранее тесты с совместной установкой антивирусов были, а тут портабельный сканер. И со своей сборки и отдельно. CureIt же не модифицировался.. Так же не запускался dwsysinfo с ошибкой с миносовым значением.
    Код (Text):
    Этап проблемы 19: (19.01.2014 19:08:07) Пользователь щелкнул "C:\Users\..\procexp64.exe Ошибка файловой системы (-1073741819). (текст)" левой кнопкой мыши в "C:\Users\..\procexp64.exe"
     
    Перед постом восстановил настройки на умолчание. Профиль обновлял перед тестом.

    Сейчас Куреит не блокирует рабочий стол, эту фишку убрали.
     
    Последнее редактирование: 19 янв 2014
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    ???

    Как мне воспроизводить ситуацию?
     
    Последнее редактирование: 19 янв 2014
  6. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Просто запустите Кьюрит. (или у вас нет проблем с ним ?) Кьюрит и лицензионный запускал с таким же результатом.(он собирается по ключевому файлу).

    Моя сборка скачивает кьюрит, потом можно запустить уже скачанный, но дело не в сроке давности.
    Без проработки он бы и не запустился. Хотя файл с цифровой подписью.. странно почему такая реакция.
    Стояла 3.8 до этого. Но опять же профиль сделал, системного диска.
     
    Последнее редактирование: 19 янв 2014
    Kиpилл и SNS-amigo нравится это.
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    хм,
    Phoenix, походите по ссылкам Doctor Web cureit ошибка 1722 я так понимаю глючную сборку CureIt собрали и это косяк вебовцев, а SafenSoft тут вообще не причём.
     
    Kиpилл и SNS-amigo нравится это.
  8. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Да в курсе. Но ведь сисвотч на этом застревает. Поставлю читую систему проверю ещё. Вообще именно в таких не стандартых случаях и выявляются проблемки.
    Вот только собрал профиль и вышла ошибка
    host.png
     
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Могу проверить только на Win7 x86. Других под рукой нет.
    На SW 3.8 с AV_FP + CureIt новейший — проверил. Всё ОК.
    НА SW 3.8 с AV_BD + CureIt новейший — проверил. Всё ОК.
    По умолчанию и в режиме ГРИ.

    Завтра с SW 3.9 буду проверять.
    Phoenix, для таких программ, как CureIt и пр. лечилки, желательно сначала включать в SW Глобальный режим инсталляции (ГРИ), а потом уже их запускать на выполнение. Об этом уже говорилось ранее в прошлом году.
     
    Kиpилл нравится это.
  10. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    В ГРИ повторилось то же самое на х64. Нет, по отдельности (курейт и сисвотч) всё работает и хорошо работает.
    Сегодня на чистой х86 буду проверять. Кстати не сказал, что при отключенной защите и даже выходе модулей SysWatch проверял сначала.
    Просто проблема в том, что всё виснет и блокируется - мышь работает и меню Пуск, браузер работает но ничего запустить уже не получается. После перезагрузки всё нормализуется. В принципе для песочницы это нормально наверное ? Но вот почему Курейт в песочницу попадает ???
     
    Последнее редактирование: 20 янв 2014
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Я уже все проверил. У вас в системе win7x64 какой-то глюк.
    Версия 3.8 пропускает кюрилку как в режиме РГИ (без экранов блокировки), так и в обычном (с двумя экранами, где выбирается запуск в режиме установки).

    Версия 3.9 имеет дополнительный защитный функционал, который молча прерывает установку и запуск программ, которым нужен монопольный допуск и повышение прав в системе. Может я не так выразился, но суть такова.
    Потому запуск кюрилки нужно однозначно производить после включения РГИ.

    Скриншот-лист
    [​IMG] [​IMG] [​IMG] [​IMG] [​IMG]

    Я обнаружил несколько различий в программе 3.9.
    Одно из них таково.
    [​IMG]

    Т.е. теперь ЦОБ Windows признаёт SNS SW как защитный продукт для Windows, и после установки красный крестик на флажке ЦОБа исчезает почти сразу. На скриншоте прошло 15 минут, но это просто я не догадался сделать сравнительный снимок сразу. Был занят снятием других скриншотов и загрузкой кюрилки, да и отходил за чаем. На самом деле крестик исчезает почти сразу после установки SW. И в финальной версии 3.8, и в испытуемой 3.9.
     
    Phoenix и Kиpилл нравится это.
  12. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Нашёл причину и виновника - это RecIt. Удалил, подчистил и теперь кюрит нормально работает. :sorry: Даже в обычном режиме (не режиме глобальной установки).
    ОТЧЕТ О ПРОВЕРКЕ
    ================

    Типы файлов: Только исполняемые файлы
    Область проверки: C:\Windows\temp
    Реакция на угрозу: Выбор действия автоматически


    Результаты проверки
    ===================
    20.01.2014 20:55:24 Начало проверки
    20.01.2014 20:55:24 Проверка запущена с правами системной учетной записи
    20.01.2014 20:55:39 Подключение ядра BitDefender выполнено успешно (7.52730/2014-01-18 09:37)
    20.01.2014 20:55:39 Окончание проверки

    Проверено объектов: 1
    Обнаружено угроз: 0
    Обезврежено угроз: 0
    Embedded certificates: 0
    Catalog certificates: 0
    ОТЧЕТ О ПРОВЕРКЕ
    ================

    Типы файлов: Все файлы
    Область проверки: C:\Windows\temp
    C:\Users\SNS\Videos\Installbez.7z
    Реакция на угрозу: Запрос действия


    Результаты проверки
    ===================
    20.01.2014 21:01:43 Начало проверки
    20.01.2014 21:01:43 Проверка запущена с правами системной учетной записи
    20.01.2014 21:01:49 Подключение ядра BitDefender выполнено успешно (7.52773/2014-01-20 09:26)
    20.01.2014 21:01:49 Окончание проверки

    Проверено объектов: 24
    Обнаружено угроз: 0
    Обезврежено угроз: 0
    Embedded certificates: 0
    Catalog certificates: 0
    >>>C:\Windows\TEMP\Installbez.exe\data004 is BINARYRES container
    C:\Windows\TEMP\Installbez.exe\data005 - infected with BackDoor.Cybergate.1
    C:\Users\SNS\AppData\Local\Temp\3E447E07-BCA3E68C-F6127851-1E240736\haq45ib5.key - Ok
    >>>C:\Windows\TEMP\Installbez.exe\data006 is BINARYRES container
    C:\Windows\TEMP\Installbez.exe - infected container
    ---------
    -----------------------------------------------------------------------------
    Start curing
    -----------------------------------------------------------------------------
    C:\Windows\TEMP\Installbez.exe - quarantined
    (y)
     

    Вложения:

    • DSCN0822.JPG
      DSCN0822.JPG
      Размер файла:
      57 КБ
      Просмотров:
      7
    SNS-amigo нравится это.
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Я не совсем понял откуда отчет с infected with BackDoor.Cybergate.1 и скриншот. :cool:

    Из кюрилки или от сканера BD?
    И отчет на VirusTotal бы еще приложить.
     
  14. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Скрин от проблемной программы RecIt есть на этом сайте. По отчётам всё и так понятно.. Не все антивирусы всё детектируют, тем более иностранные в России.
    Вчерашний Результат virustotal - BackDoor.Cybergate.1
    Вот сегодня уже другое дело!
    --- Объединённое сообщение, 21 янв 2014, Дата первоначального сообщения: 21 янв 2014 ---
    7zip формат не понимает.
    Код (Text):
    ОТЧЕТ О ПРОВЕРКЕ
    ================
    Типы файлов:    Все файлы
    Область проверки:    C:\Users\ZX\Music\Installbez.zip
                C:\Users\ZX\Music\Installbez.7z
                C:\Users\ZX\Music\Installbez.exe
    Реакция на угрозу:    Выбор действия автоматически
    Результаты проверки
    ===================
    21.01.2014 16:58:26    Начало проверки
    21.01.2014 16:58:26    Проверка запущена с правами системной учетной записи
    21.01.2014 16:58:32    Подключение ядра BitDefender выполнено успешно (7.52794/2014-01-21 09:26)
    21.01.2014 16:58:41    C:\Users\ZX\Music\Installbez.zip    Зараженный    Trojan.Generic.10391597    Вылечен
    21.01.2014 16:58:46    C:\Users\ZX\Music\Installbez.exe    Зараженный    Trojan.Generic.10391597    Вылечен
    21.01.2014 16:58:46    Окончание проверки

    Проверено объектов:    3
    Обнаружено угроз:    2
    Обезврежено угроз:    2
    Embedded certificates:    0
    Catalog certificates:    0
     
    --- Объединённое сообщение, 21 янв 2014 ---
     
    SNS-amigo нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Они одинаковые!!! :D

    Phoenix,
    Это этот?

    Это BitDefender. :nurse:
    Как-нибудь кинь мне этого "типа" - для опытов и очного знакомства. ;)
     
  16. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Хоть фотографируй.. обновляют старые ссылки после рескана..

    Вот BitDefender free понимает.
    Код (Text):
    2014/01/21 17:34:42 CContScanPlugin.cpp [InternalAddTask] On Demand task added: FirstFile:C:\Users\ZX\Music\Installbez.7z  7fc20000-e887-4f55-24a0-b1b48021e087 errCode:0(0x0)
    2014/01/21 17:34:42 CContScanPlugin.cpp [StartNextOnDemand] Start/Resume onDemand scan
    2014/01/21 17:34:44 ScanInstance.cpp [ScanInstance::StaticScanCallback2] Scan Callback 2: c:\Users\ZX\Music\installbez.7z=> status:3 threatType 0
    2014/01/21 17:34:44 QuarAlImpl.cpp [CGzQuar::QuarFile] Quar file: c:\Users\ZX\Music\installbez.7z
    2014/01/21 17:34:44 ExcludeSpImpl.cpp [CGzExclude::RemoveEntry] Entry 0xe469caa0  - 0x6b64  removed
    2014/01/21 17:34:44 ScanInstance.cpp [ScanInstance::StaticScanCallback2] Quar: c:\Users\ZX\Music\installbez.7z
    bdfree.png
    Интересует - опция предварительная инициализация сканера. В хелпе не нашлёл кроме ->
    Код (Text):
    Установите флажок Предварительная инициализация сканера, если требуется инициализация
    антивирусного движка при каждом запуске сканирования.
     
    Лучше установить наверное, если часто используется сканирование движком ?

    Опция восстановить в Установка-Удаление программ, работает ! :) Быстро восстановил агента - не хотел запускаться после выключения.
     
    Kиpилл и SNS-amigo нравится это.
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Еще несколько детектов добавилось.
    Разница в способам реализации сканера.
    Насчет прединициализации не знаю. Он же и так инициализируется.
     
  18. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    А вот ещё непонятка. Пишет вылечен, а файл на месте и хеш не изменён. https://www.virustotal.com/ru/file/...06484cbd81cde56297070d67/analysis/1390505202/
    ОТЧЕТ О ПРОВЕРКЕ
    ================
    Типы файлов: Все файлы
    Область проверки: C:\Users\ZX\Documents\my naked video sex on cam______________________________________________________________________________.exe
    C:\Users\ZX\Documents\services
    Реакция на угрозу: Выбор действия автоматически

    Результаты проверки
    ===================
    23.01.2014 23:23:16 Начало проверки
    23.01.2014 23:23:16 Проверка запущена с правами системной учетной записи
    23.01.2014 23:23:35 Подключение ядра BitDefender выполнено успешно (7.52794/2014-01-21 09:26)
    23.01.2014 23:23:51 C:\Users\ZX\Documents\my naked video sex on cam______________________________________________________________________________.exe Зараженный Trojan.Generic.8960555 Вылечен
    23.01.2014 23:23:51 Окончание проверки

    Проверено объектов: 2
    Обнаружено угроз: 1
    Обезврежено угроз: 1
    Embedded certificates: 0
    Catalog certificates: 0
     
  19. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Phoenix, я не особо разбираюсь в принципах лечения BitDefender'а. :ROFLMAO:
    Может он - сканер BD - хочет довершить лечение после перезагрузки.
     
  20. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.852
    Симпатии:
    1.836
    Тоже так подумал и переименовал его - никто не был против :cry:
     
Статус темы:
Закрыта.

Поделиться этой страницей