Доктор веб блокирует установку программы
Данная статья написана в рамках ответственного разглашения информации о уязвимости. Хочу выразить благодарность сотрудникам Dr.Web за оперативное реагирование и исправление обхода брандмауэра (firewall).
В этой статье я продемонстрирую обнаруженную мной возможность обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии.
При исследовании различных техник и методик обхода антивирусных программ я заметил, что Dr.Web Security Space 12 версии блокирует любой доступ в Интернет у самописных приложений, хотя другие антивирусные программы так не реагируют. Мне захотелось проверить, возможно ли обойти данный механизм безопасности?
Разведка
Во время анализа работы антивирусной программы Dr.Web, я обнаружил, что некоторые исполняемые файлы (.exe), в папке C:\Program Files\DrWeb, потенциально могут быть подвержены Dll hijacking.
Dll Hijacking — это атака, основанная на способе поиска и загрузки динамически подключаемых библиотек приложениями Windows. Большинство приложений Windows при загрузке dll не используют полный путь, а указывают только имя файла. Из-за этого перед непосредственно загрузкой происходит поиск соответствующей библиотеки. С настройками по умолчанию поиск начинается с папки, где расположен исполняемый файл, и в случае отсутствия файла поиск продолжается в системных директориях. Такое поведение позволяет злоумышленнику разместить поддельную dll и почти гарантировать, что библиотека с нагрузкой загрузится в адресное пространство приложения и код злоумышленника будет исполнен.
Например, возьмём один из исполняемых файлов – frwl_svc.exe версии 12.5.2.4160. С помощью Process Monitor от Sysinternals проследим поиск dll.
Однако, у обычного пользователя нет разрешений для того чтобы подложить свой DLL файл в папку C:\Program Files\DrWeb. Но рассмотрим вариант, в котором frwl_svc.exe будет скопирован в папку под контролем пользователя, к примеру, в папку Temp, а рядом подложим свою библиотеку version.dll. Такое действие не даст мне выполнение программы с какими-то новыми привилегиями, но так мой код из библиотеки будет исполнен в контексте доверенного приложения.
Подготовительные мероприятия
Я начну свой эксперимент с настройки двух виртуальных машин с Windows 10. Первая виртуальная машина служит для демонстрации пользователя с установленным антивирусом Dr.Web. Вторая виртуальная машина будет «ответной стороной», на ней установлен netcat для сетевого взаимодействия с первой виртуалкой. Начальные настройки при установке:
На первую виртуальную машину с IP 192.168.9.2 установлю Dr.Web последней версии, в процессе установки Dr.Web’а выберу следующие пункты:
На вторую виртуальную машину с ip 192.168.9.3 установлю netcat.
Для демонстрации я разработал два исполняемых файла:
Второй файл — это прокси-библиотека version.dll, которая размещается рядом с frwl_svc.exe на первой виртуальной машине. Функциональность та же, что и test_application.exe, только код собран как dll.
Видео эксплуатации
После подготовительных мероприятий, я, наконец, подошёл к эксплуатации. На этом видео представлена демонстрация возможности обхода брандмауэра (firewall) в продукте Dr.Web Security Space 12 версии. (Dr.Web, version.dll и test_application.exe находится на первой виртуальной машине, которая расположена с левой стороны видео. А netcat находится на второй виртуальной машине, которая расположена с правой стороны видео.)
Вот что происходит на видео:
На второй виртуальной машине запускаем netcat он же nc64.exe и прослушиваем порт 4444.
Затем на первой виртуальной машине в папке C:\Users\root\AppData\Local\Temp распакуем aplications.7z, там находятся version.dll и test_application.exe.
После этого, с помощью whoami показываем, что все действия от обычного пользователя.
Потом копируем C:\Program Files\DrWeb\frwl_svc.exe в папку C:\Users\root\AppData\Local\Temp\aplications.
Дальше демонстрируем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления антивируса.
Следующим шагом запускаем тестовое приложение test_application.exe и проверяем работоспособность брандмауэр (firewall). Dr.Web заблокировал тестовое приложение, а значит можно сделать вывод, что брандмауэр (firewall) работает корректно.
Запускаем frwl_svc.exe и видим подключение в nc64.exe на второй машине.
Передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
Убедившись, что способ работает, можно сделать предположение, что, антивирус доверяет «своим» приложениям, и сетевые запросы, сделанные от имени таких исполняемых файлов, в фильтрацию не попадают. Копирование доверенного файла в подконтрольную пользователю папку с готовой библиотекой — не единственный способ исполнить код в контексте приложения, но один из самых легковоспроизводимых. На этом этапе я собрал все артефакты исследования и передал их специалистам Dr.Web. Вскоре я получил ответ, что уязвимость исправлена в новой версии.
Проверка исправлений
Вижу, что frwl_svc.exe версии 12.5.3.12180 больше не загружает стандартные dll. Это исправляет сам подход с dll hijacking, но появилась гипотеза, что логика работы с доверенными приложениями осталась. Для проверки я воспользовался старой версией frwl_svc.exe.
Подготовительные мероприятия
Начну проверку своей гипотезы с того, что настрою две виртуальные машины с windows 10 по аналогии с тем, как всё было в демонстрации.
На первую виртуальную машину с ip 192.168.9.2 я установлю Dr.Web последней версии. Процесс установки Dr.Web не отличатся от того, который был описан в предыдущем отчёте. А также в папку Temp я скопирую frwl_svc.exe версии 12.5.2.4160 и version.dll из предыдущего отчета.
На вторую виртуальную машину c ip 192.168.9.3 я установлю netcat.
Видео эксплуатации
После настройки двух виртуальных машин пришло время эксплуатации. На этом видео показана возможность обхода патча, которым Dr.Web исправил ошибку из предыдущего отчёта. Расположение виртуальных машин не отличается от представленных в предыдущем видео. Напомню, первая машина находится с левой стороны на видео, а вторая машина – с правой стороны. Действия в видео:
На второй виртуальной машине запускаем netcat(nc64.exe) и прослушиваем порт 4444.
Затем на первой виртуальной машине с помощью whoami показываем, что все действия от обычного пользователя.
Потом показываем версию frwl_svc.exe (12.5.2.4160) в папке C:\Users\drweb_test\AppData\Local\Temp.
Дальше демонстрируем версию frwl_svc.exe (12.5.3.12180) в папке C:\Program Files\DrWeb.
Следующим шагом показываем, что брандмауэр (firewall) включён, исключения отсутствуют и время последнего обновления.
После этого запускаем C:\Users\drweb_test\AppData\Local\Temp \frwl_svc.exe и видим подключение в nc64.exe во второй машине.
Последним шагом передаём команду на создание папки test на первой машине с помощью nc64.exe, который находится на второй машине.
Вывод
В результате проверки исправлений я обнаружил, что патч исправляет не саму проблему с доверенными приложениям, а только мой способ реализации данной уязвимости. Старая версия frwl_svc.exe отлично обходила ограничения. Все собранные сведения были переданы команде Dr Web. Вскоре была выпущена новая версия исправления, которая уже не обходилась моим методом.
Timeline
16.02.2021: Передача отчета в Dr.Web.
25.02.2021: Dr.Web сообщает, что данная возможность обхода firewall исправлена.
11.03.2021: Получение CVE 2021-28130.
14.03.2021: Проверка исправлений.
15.03.2021: Передача отчета в Dr.Web.
06.04.2021: Dr.Web сообщает, что данная возможность обхода firewall исправлена.
А когда включаешь защиту файла hosts в Dr.Web, то вот он все внесенные изменения-то и исправляет, возвращая начальные условия.
Файл hosts – один из важнейших в системе. Внесенные в него данные позволяют блокировать доступ к сайтам – или перенаправлять пользователей на сайты, заданные злоумышленниками.
Как выглядит файл hosts после заражения компьютера вирусом. Кстати, иногда и обычные программы вписывают необходимые им параметры в файлик. Если после открытия файла Вы видите примерно следующее, то стоит задуматься.
Вирусы пошли хитрые, поэтому прячут добавленные строки ниже:
Проблема в том, что антивирус не может определить, кто и с какой целью изменил файл hosts. Сделал ли это вручную сам пользователь или хакер, получивший доступ на компьютер, либо же виновата вредоносная программа.
Ниже пример работы вируса Trojan.Hosts.75, который стал проблемой многих юзеров в свое время. Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.
После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts. После изменения он выглядит следующим образом:
В связи с этим при обнаружении внесения изменений в hosts либо антивирусный сканер, либо файловый монитор SpIDer Guard восстанавливают состояние этого файла по умолчанию.
Что же делать, если вы хотите настроить файл hosts самостоятельно?
Первым делом необходимо внести файл в исключения антивирусного сканера или SpIDer Guard. Заходим в настройки Dr.Web Security Space и переходим в раздел Исключения → Файлы и папки. По умолчанию этот раздел пуст.
Нажимаем на «плюс», далее на кнопку Обзор и находим файл hosts (в Windows 10 он по умолчанию находится в папке %SystemRoot%\System32\drivers\etc).
Отмечаем оба пункта Исключить из проверки и нажимаем ОК.
Но за изменениями файла в режиме реального времени следит Превентивная защита Dr.Web (Настройки → Компоненты защиты ⇆ Превентивная защита → Изменить параметры блокировки подозрительных действий). Откроем файл hosts, внесем в него вредную строку и попробуем сохранить. Чтобы открыть файл hosts в блокноте, выберите Файл → Открыть, перейдите к папке с этим файлом, в поле с типом файла поставьте Все файлы и выберите тот файл hosts, который не имеет никакого расширения.
Не получилось. Почему? Для изменения файла hosts необходимо открыть его в текстовом редакторе, запущенном от имени Администратора (обязательно). Для примера отредактируем файл с помощью стандартного редактора «Блокнот». В поиске Windows 10 начните набирать «Блокнот», а после того как программа появится в результатах поиска, кликните по ней правой кнопкой мыши и выберите действие Запустить от имени администратора.
Вот теперь редактор готов сохранять изменения. Переходим в настройки Превентивной защиты:
Разрешаем доступ к файлу hosts, вносим нужные изменения и снова включаем запрет в Превентивной защите – она будет сохранять файл в неизменном виде.
А теперь – самое важное.
Антивирусная правДА! рекомендует
Добавив файл hosts в исключения антивируса, вы тем самым позволяете изменять его кому угодно. Поэтому обязательно наличие Превентивной защиты Dr.Web, контролирующей попытки изменения системного файла на лету и (при соответствующих настройках) блокирующего их или предупреждающего пользователя. Этот модуль присутствует в Dr.Web Security Space и Dr.Web KATANA.
Внесение таких исключений при защите Антивирусом Dr.Web – небезопасно и категорически не рекомендуется.
Оцените выпуск
Сделайте репост
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Анатрев
10:53:20 2020-07-15
Нужная для меня программа для работы в банке онлайн, вносит изменения в host, после чего Dr.Web эти изменения лечит. И так каждый день.
Может можно конкретную строку в файле host внести в исключения?
stolik
18:13:45 2020-04-25
Мыкола
01:21:32 2020-03-30
Господа, не поленитесь, сделайте функционал, чтобы можно было содержимое файла hosts указывать в "белом списке" доктор-веба (можно построчно - это более красивое решение), чтобы на соответствующие строки антивирус не ругался. Ну или проще - целиком на весь текст файла.
У вас же сейчас, судя по статье, доступны два варианта:
- hosts не меняется, при попытке изменить возвращается к содержимому файла по умолчанию.
- отключаются все защиты, пользователь может файл изменить, но также может изменить и злоумышленник.
И ЧТО ДЕЛАТЬ, ЕСЛИ ПОЛЬЗОВАТЕЛЮ НАДО ФАЙЛ ОТРЕДАКТИРОВАТЬ. ОТКЛЮЧАТЬ ЗАЩИТУ? ГЕНИАЛЬНО.
Сам работаю в it-компании, где наши программисты таким же образом решают проблемы пользователей.
БЕСИТ НЕИМОВЕРНО. 1111
Саня
18:31:25 2019-09-16
Petya
00:40:49 2019-09-12
Защита - это хорошо, но неудобно ставить взломанные программы, они за лицензией обращаются на сервера, и как-то надо перенаправлять на локалхост
Не смогла у Вас "прорваться" задать вопрос в ПОДДЕРЖКЕ, задаю здесь и надеюсь на ВАШ ОТВЕТ:
Операционная система на компьютере Windows XP Professional версия 2002 SP 3 и браузер Yandex. Все в рабочем состоянии, провела проверку ОС перед установкой Вашей программы.
18.02.2018 г я установила на свой ПК программу DR.Web SecuritySpace на 1 Пк на 1 год.. При установке : серийный номер я сообщила , ключ получила по почте; лицензию зарегистрировала за № 138595791. Получила ключевой файл :
; сохранила его копию на втором диске D. Кажется мне ( я не очень продвинутый пользователь), что все прошло в норме.
НО: пропало соединение с Интернет и не происходит ОБНОВЛЕНИЕ самой программы с 12 .20 часов дня, т.е с самого первого обновления..
Я провела полную проверку всего ПК сканером DR.Web – угроз не обнаружено. Не могу понять – почему пропал Интернет? Отчет я собрала, но отправляю все с другого ПК. Заранее благодарю Вас. С уважением,Людмила Александровна.
Сведения о системе:
Имя ОС Microsoft Windows XP Professional
Версия 5.1.2600 Service Pack 3 Сборка 2600
Изготовитель ОС Microsoft Corporation
Имя системы USER-3BD6A40EFF
Изготовитель System manufacturer
Модель System Product Name
Тип Компьютер на базе X86
Процессор x86 Family 6 Model 15 Stepping 6 GenuineIntel ~1867 МГц
Версия BIOS American Megatrends Inc. 0402, 16.05.2011
Версия SMBIOS 2.5
Папка Windows C:\WINDOWS
Системная папка C:\WINDOWS\system32
Устройство загрузки \Device\HarddiskVolume1
Язык Россия
Аппаратно-зависимый уровень (HAL) Версия = "5.1.2600.5512 (xpsp.080413-2111)"
Имя пользователя USER-3BD6A40EFF\USER 5
Часовой пояс Московское время (зима)
Полный объем физической памяти 2 048,00 МБ
Доступно физической памяти 1,18 ГБ
Всего виртуальной памяти 2,00 ГБ
Доступно виртуальной памяти 1,91 ГБ
Файл подкачки 3,85 ГБ
Файл подкачки C:\pagefile.sys
Отчет отправлю по Вашему запросу, т.к. не вижу как его приобщить.
Igor
01:26:43 2017-11-07
Доброго времени. А если я внес изменения по выше описанному, то что мне самому нужно и то что я конкретно знаю что я вношу, НО если я после изменений уберу файл из "исключения" и верну "привентивную защиту в исходное значение - то Др Вэб опять вернет файл HOSTS в изначальное состояние для моей системы? я конечно не хочу что бы мой НOSTS был подвержен вирусами и не был в исключениях, но и что бы в нем сохранились те изменения которые я сам же и внес, как это сделать, как бы поменять изначальный файл?
давно об этом знал постоянно проверяю файл host в семерке полегче было его изменять в десятке потруднее но разобрался
Сколько раз, скачивая какую-то специфическую утилиту с непроверенного сайта, вы видели приписку вида «перед запуском отключите антивирус»? Сколько раз возникала необходимость «погасить конфликт» между антивирусом и однозначно «чистым» приложением? А может, вы писали код, и антивирус «мешал» компиляции вашего приложения? Настроить антивирус на игнорирование однозначно безопасных объектов можно, но для этого важно понимать, зачем именно нужно настраивать исключения.
Для чего нужен раздел «Исключения» настроек Dr.Web?
Разрешать запуск безопасных приложений, которые по тем или иным причинам могут конфликтовать с антивирусом. | 976 |
Разрешить запуск программы, в описании которой написано, что она не является вредоносной, но для запуска надо отключить антивирус. | 126 |
Разрешать запуск программ, функционал которых позволяет хакерам проникать на компьютеры. | 49 |
Допустим, у вас есть ссылка или программа, полученная из надежного источника, — от вашего друга по переписке, от коллеги по работе через корпоративный мессенджер или от приятеля на его флешке. Антивирус «ругается» при попытке открытия или запуска.
Как поступить в таком случае?
«Согласиться» с антивирусом и удалить зараженный файл или не открывать ссылку. | 551 |
Внести файл или ссылку в исключения соответствующего компонента Dr.Web и запустить. | 510 |
Отключить соответствующий компонент Dr.Web и запустить приложение или открыть ссылку. | 37 |
Настроить антивирус «под себя» — задача простая. Настроить его правильно, найдя баланс между удобством работы и безопасностью, — получается не всегда. К этой задаче надо подходить тщательно и ответственно, работая только с определенными настройками антивируса.
Какие ограничения, установленные Dr.Web, и его параметры проверки не могут быть изменены?
Можно исключить из проверки только папки, не относящиеся к системным, и отключить спам-фильтр. | 460 |
Можно изменить любые параметры антивируса и отменить любые ограничения. | 409 |
Можно отключить проверку только трафика и спам-фильтр. | 173 |
Часто случаются ситуации, когда, переходя по ссылке или открывая, казалось бы, безопасный сайт или приложение, полученное из надежного источника, пользователь видит «запрещающий сигнал антивируса». Вариантов два: или дать программе/ресурсу «зеленый свет», или принять «совет» антивируса и не использовать ее. Если было принято решение дать доступ, то первое и самое простое, что приходит в голову, — отключить компонент, блокирующий приложение или ресурс.
В каких случаях нужно отключать компонент антивируса, а не добавлять пункт исключений?
Таких ситуаций в штатном режиме возникнуть не может. | 728 |
Если получить доступ к ресурсу или запустить «подозрительный» файл нужно только один раз. | 175 |
Когда нужно срочно получить доступ к сайту или установить «подозрительную» программу. | 111 |
Онлайн-казино, различные онлайн-биржи в целом относятся к нерекомендуемым ресурсам, но для части пользователей их посещение необходимо.
Как посетить нужный сайт, доступ к которому не рекомендует Dr.Web?
Добавить сайт в Исключения в разделе Настройки. | 812 |
Отключать компонент SpIDer Gate на время работы с «сомнительными» ресурсами. | 116 |
Отключать компонент Брандмауэр на время работы с «сомнительными» ресурсами. | 76 |
Всем известны файловые «маски», которые применяются, к примеру, для поиска определенных строк в различных программа и файлов через Проводник Windows. Есть возможность использовать маски и для настройки исключений в Dr.Web.
Когда для настройки исключений могут применяться маски (например, C:\folder\*)?
Верны оба варианта. | 622 |
Чтобы добавить в исключение сразу несколько взаимосвязанных объектов. | 200 |
Когда нужно более точно настроить файлы и папки для исключений. | 165 |
Бывает ситуация: программа вполне легальная, всё работает как надо, но антивирус ее постоянно проверяет, отчего возникает очень высокая нагрузка на систему.
Как поступить в таком случае?
Убедившись, что загрузка ПК вызвана проверкой именно этой программы, добавить в исключение SpIDer Guard исполняемый файл программы. Если это не поможет — обратиться за консультацией в службу технической поддержки «Доктор Веб». | 643 |
Сразу обратиться за консультацией в службу технической поддержки «Доктор Веб». | 229 |
Убедившись, что загрузка ПК вызвана проверкой именно этой программы, добавить в исключение SpIDer Guard папку программы. | 104 |
Когда возникает конфликт какого-либо приложения и антивируса, а также в случае блокировки антивирусом запуска какой-либо программы или создания помех в ее работе — важно понимать, что именно стало причиной проблемы. Добавляя в исключения даже легальную программу, вы рискуете создать брешь в безопасности, если настроите исключение неправильно.
Как поступить в таком случае?
Посмотреть в статистике Dr.Web информацию о том, какой именно компонент мешает работе программы, и добавить исключение только для этого компонента. | 554 |
Сразу обратиться за советом в службу технической поддержки «Доктор Веб» | 346 |
Добавить приложение в исключения для всех компонентов антивируса. | 60 |
Допустим, источник получения файла действительно надежный, но антивирус Dr.Web все равно «не доволен».
Как поступить в таком случае?
Посмотреть информацию о найденной угрозе на сайте «Доктор Веб», посмотреть документацию к программе и убедиться, что в разделе Возможные неполадки отсутствует информация по взаимодействию с антивирусом, после чего разрешить или запретить запуск. В случае невозможности принять решение самостоятельно — обратиться в службу технической поддержки. | 731 |
Посмотреть информацию о найденной угрозе на сайте «Доктор Веб» и на основании этого разрешить или запретить запуск. | 147 |
Сразу обратиться за советом в службу технической поддержки «Доктор Веб». | 72 |
Наличие не только общих настроек исключений, но и собственных параметров некоторых компонентов антивируса может привести к тому, что невнимательный пользователь может создать два взаимоисключающих правила — разрешительное (добавить исключение) в одном месте и запретительное (добавить в черный список) в другом.
Если сайт добавлен одновременно и в черный список Родительского контроля, и в список Исключений в Настройках антивируса — что будет с доступом к нему?
Доступ будет заблокирован. | 604 |
Доступ будет определяться тем правилом, которое создано позднее. | 272 |
Доступ будет разрешен. | 65 |
Когда антивирус Dr.Web блокирует программу или доступ к веб-ресурсу, то сразу видно, какой из компонентов это сделал.
Как узнать, какой компонент обнаружил угрозу, если окно уведомления было закрыто, а запомнить не удалось?
Посмотреть информацию о действиях антивируса можно, щелкнув по знаку Dr.Web в трее и выбрав Статистика → Подробный отчет. | 866 |
Посмотреть информацию о действиях антивируса можно в личном кабинете «Мой Dr. Web» на сайте. | 39 |
Эта информация сохраняется только в «дебажном» логе антивируса, доступном для техподдержки. | 27 |
Когда принято решение о необходимости добавить в исключение ту или иную программу, процесс или сайт, это нужно настроить в антивирусе.
Где находятся настройки, отвечающие за исключения файлов и сайтов из проверки?
Исключения задаются для каждого компонента отдельно, в разделе Настройка → Исключения. Также часть настроек задается напрямую в параметрах компонентов. | 767 |
Исключения задаются в целом для антивирусной системы в разделе Настройка → Основные. | 106 |
Исключения задаются для каждого компонента отдельно, в меню этого компонента. | 49 |
Чем меньше исключений, тем надежнее защита — это очевидно, но одно дело добавить в исключения один-два нерекомендуемых, но любимых сайта, совсем другое — убрать из проверки важные системные папки.
Какие приложения, папки и сайты ни в коем случае нельзя добавлять в исключения?
Все наиболее «популярные» точки поражения: системные папки Windows, папки временных файлов, торрент-сайты, различные «файловые помойки», ресурсы с пиратским софтом и видео. | 487 |
В постоянные исключения добавлять не стоит ничего, лучше временно отключать компонент, мешающий использованию нужного файла или ресурса. | 250 |
Только системные папки Windows. | 174 |
Бывают ситуации, когда работа какого-то специфического приложения может сопровождаться выполнением действий, которые антивирус признает как опасные и блокирует. В таких случаях нужно правильно выбрать алгоритм настройки исключений и прав для этого приложения.
Настроить взаимодействие программы с операционной системой и задать границы ее прав и возможностей можно с помощью.
Верны оба варианта. | 471 |
Раздела Настройки → Исключения в Dr.Web, добавив приложение в качестве исключения для всех компонентов антивируса. | 267 |
Задав параметры приложения в настройках Превентивной защиты Dr.Web. | 165 |
И в качестве резюме к нашему тесту о настройках исключений поучительный пример. Недавно один из пользователей Dr.Web обратился в службу технической поддержки с жалобой: «Ваш антивирус пропустил майнер мне на ПК, а у друга — поймал!». Анализ логов пользователя специалистами техподдержки показал: Dr.Web в заражении не виноват.
Какая из перечисленных причин наиболее вероятно привела к описанному исходу?
Защита компьютера
Для чего может понадобиться отключение антивируса Dr.Web? В первую очередь, это ,конечно, ситуации, когда не лицензионная программа (файл) конфликтует с вашим антивирусником. Он,в свою очередь, расценивает это как вирусную угрозу и блокирует её, а то и вовсе удаляет. Так происходит из-за онлаин-защиты Dr.Web, которая рассматривает даже маловероятные угрозы и часто отправляет в карантин не зараженные файлы или папки. Хоть решить эту проблему достаточно просто и быстро не все знают, что нужно делать в такой ситуации. В данной же статье будет рассказано и показано, как отключить антивирус Dr. Web полностью на определенное время.
Как добавить файл в исключения антивируса Dr. Web
Прежде чем сразу отключать Доктор Веб, тем самым лишая компьютер защиты от внешних угроз, можно попробовать безопасный способ — внести файл, папку, сайт или программу в «исключения» антивируса. А так как исключенные объекты не блокируются и не проверяются, то это отличный вариант решения проблемы.
Для этого открываем антивирус с ярлыка на рабочем столе или кликнув по его иконке в области уведомлений.
В появившемся меню программы нажимаем на значок «Замка» и следом на пиктограмму настроек.
В новом открывшемся окне переходим в раздел «Исключения».
Далее, выбираем соответствующий пункт меню открытого раздела, указываем путь к добавляемому в исключения объекту – папка, файл, адрес сайта и выставляем соответствующие галочки, после чего нажимаем «OK».
Отключаем Dr. Web на время установки или закачки программ
Когда нет возможности внести нужные файлы в исключения антивируса, к примеру, при скачивании их из сети интернет, то в таком случае необходимо временно приостановить защиту компьютера, препятствующую нашим действиям. Сразу же возникает вопрос: как отключить антивирус Dr. Web? Для этого проделайте следующие действия.
Снова открываем меню антивирусной программы в области уведомлений, нажатием на иконку «Замка» снимаем блокировку и далее переходим в раздел «Компоненты защиты».
Далее, чтобы на время полностью отключить антивирусник, выставляем ползунки его компонентов в состояние «Выключено».
После закачки и установки нужных вам файлов и программ не забудьте выполнить обратные действия, активировав работу защиты компьютера.
Отключаем самозащиту самого антивируса Dr. Web
С недавнего времени в Dr. Web ввели один специальный модуль самозащиты, который блокирует все важные системные файлы, никому не предоставляя доступ. Несомненно, это хорошо сказалось на защите Windows, но опытным пользователям это только мешает работать. Для выключения этого модуля необходимо снова разблокировать доступ к разделам антивируса и перейти в его настройки, как это описано в самом начале статьи. После в разделе «Основные», выбираем пункт «Самозащита» и отключаем интересующий нас модуль.
На этом дискуссию о том, как отключить антивирус Dr. Web можно считать закрытой.
Некоторые файлы могут вызывать ложное срабатывание антивируса Dr.Web и могут быть по ошибке удалёны. Если вы уверены в безопасности определённого файла и он получен из надёжного источника, его можно добавить в исключения антивирусной программы.
Добавление файла или папки в исключение антивируса Dr.Web версии 10 и 11
Щелкните по значку антивируса возле часов. В появившемся окне, щелкните по значку с замком и затем, щёлкните по появившемуся значку в виде шестерёнки:
В окне настроек переключитесь на вкладку "Исключения":
Выберите слева, что именно вы хотите добавить в исключения антивируса: веб-сайт, файлы или папки или программу. Нажмите "+" для добавления нового объекта:
Укажите путь к файлу или папке:
Выбранные вами объекты будут добавлены в список и будут игнорироваться антивирусом при их запуске или сканировании компьютера.
Аналагичным образом, на вкладке "Программы и процессы" можно добавить в исключения исполняемый файл программы или игры.
Добавление файла или папки в исключение антивируса Dr.Web версии 9 и ниже
Щелкните по заначку антивируса возле часов и в пункте "Инструменты" выберите "Настройки":
В настройках Доктор Веб переключитесь на вкладку "SpIDer Guard". Слева, выберите пункт "Исключаемые файлы" и нажмите кнопку "Обзор":
Нажмите "Обзор" и укажите путь к файлу или папке, которые вы желаете добавить в исключения. Затем, нажмите "Добавить". Указанные файлы будут отображаться в нижнем списке и будут игнорироваться антивирусом.
Читайте также: