DPH: Trojan.Encoder в Reg Organizer — ложное срабатывание Dr.Web

Краткое описание проблемы

С 2017 года поведенческий анализатор антивируса Dr.Web время от времени блокирует работу официального исполняемого файла утилиты Reg Organizer с пометкой DPH: Trojan.Encoder (троян-шифровальщик), хотя при проверке этим же антивирусом он не находит в Reg Organizer никаких угроз. Разработчики антивируса подтверждают ложное срабатывание (см. полную историю данного вопроса) и обещают исправить проблему в будущем.

Происходит такое в те моменты, когда утилита обращается к файлам, папкам или ключам реестра, которые Dr.Web помещает под свою защиту. И вместо сообщения о блокировке доступа процесса к защищенным областям системы, у него срабатывает защита от троянов-шифровальщиков и Reg Organizer помещается в карантин. Пользователи при этом видят сообщение об успешной блокировке антивирусом опасной угрозы и ошибочно считают, что Reg Organizer заразил их компьютер вирусом.

Последний раз проблема проявилась в декабре 2022 года, когда мы выложили первую бета-версию Reg Organizer 9.10 beta 1.

Убедиться в том, что это ложное срабатывание, можно в том числе и через отчет VirusTotal (интернет-сервис, который проверяет файлы всеми ключевыми антивирусными системами сразу). Ознакомиться со свежим отчетом можно по ссылке ниже.

Отчет VirusTotal (RegOrganizer.exe)

Также вы можете самостоятельно отправить любой файл от Reg Organizer, загруженный с официального сайта (chemtable.ru, chemtable.com, files.chemtable.com), в VirusTotal для проверки и убедиться в их чистоте.

Как настроить Dr.Web, чтобы он не блокировал работу Reg Organizer

Для обхода проблемы разработчики антивируса рекомендуют повторно установить Reg Organizer и не запуская ее, добавить файлы утилиты в исключения антивируса.

Перейдите в Центр безопасности → Превентивная защита → Защита от вымогателей → Добавить приложение.

И добавьте туда исполняемый файл Reg Organizer, как показано на картинке ниже.

Также вы можете добавить туда дополнительно следующие файлы:

C:\Program Files\Reg Organizer\Updater.exe
C:\Program Files\Reg Organizer\StartupCheckingService.exe

Если срабатывание происходит на временные файлы с расширением *.tmp в процессе обновления утилиты, то рекомендуется на время обновления временно отключить защиту от программ-вымогателей.

Корректировка настроек в Reg Organizer

Начиная с версии Reg Organizer 9.11 часть функций автоматически отключаются в случае наличия в системе антивируса Dr.Web. После внесения утилиты в исключения их можно активировать снова. Для этого в самой Reg Organizer надо включить указанные ниже разделы. Каких-то может не быть в списке. Например, если у вас не установлен Яндекс.Браузер, то вы не увидите его пункт в чистке системы (соответственно и включить его будет невозможно). Если вы не пользуетесь каким-то из браузеров, то так же можно не включать.

В чистке системы:

• Кэш Edge
• Кэш нового Edge
• Кэш и БД Яндекс.Браузера
• Кэш и сжатие БД Chrome
• Врем. файлы Internet Explorer

В чистке личных данных:

• Недавние документы
• Дополнительный веб-кэш

Как отправить отчет о ложном срабатывании разработчикам Dr.Web

Если вы столкнулись с ложным срабатыванием Dr.Web, следует сообщить об этом разработчикам антивируса, приложив к сообщению журнал (лог) о работе антивирусной программы.

Журнал находится по следующему пути (можно вставить его прямо в Проводник со знаками процента):

%ProgramData%\Doctor Web\Logs\dwservice.log

Его необходимо направить в техподдержку антивируса по ссылке ниже.

https://support.drweb.ru/

Чем больше будет отчетов, тем быстрее разработчики антивируса исправят проблему с ложным срабатыванием.

История вопроса (полностью, с 2017 года)

Мы обратились с этим вопросом к разработчику Dr.Web и 18 июля 2017 года получили следующий ответ:

В ноябре 2017 года проблема в антивирусе Dr.Web так и не была решена, потому мы повторно обратились к разработчикам данного продукта за разъяснениями. В ответ 27 ноября 2017 года получили следующий ответ:

Таким образом, Dr.Web считает вирусной активностью то, что системная утилита обращается в реестр. Из-за этого некоторые возможности программ Reg Organizer, такие как удаление приложений через контекстное меню, обновление будут недоступны, если в системе установлен Dr.Web. В некоторых случаях Dr.Web может заблокировать и работу программы в целом.

В период с осени 2017 по конец 2022 особых проблем не возникало.

В Декабре 2022 года антивирус снова начал блокировать работу утилиты Reg Organizer после выхода первой бета-версии 9.10, в результате чего мы снова обратились к разработчикам Dr.Web.

Но воспроизвести срабатывание на их системах по-прежнему не удавалось.

В результате собранных за некоторый период данных от наших пользователей, мы объединили их воедино и у нас получилось частично воспроизвести ложное срабатывание антивируса во время работы утилиты. Об этом мы незамедлительно сообщили разработчикам антивируса 31 января 2023 года и предложили добавить нас в белый список антивируса. На что получили следующий ответ:

В следующем запросе мы акцентировали внимание на том, что наши общие клиенты доверяют их антивирусу и при ложном срабатывании считают свои компьютеры зараженными трояном-вымогателем, что не соответствует действительности. Попросили дать официальный ответ разработчиков антивируса на этот счет, чтобы мы могли предоставить его нашим пользователям.

В ответ разработчики предложили использовать обходной путь с добавлением в исключения антивируса, а добавлять в белый список они не намерены из-за того, что это утилита для «чистки реестра».

Мы незамедлительно отправили уточнение, что функции по очистке реестра нет в штатной поставке утилиты с 2017 года, так как этот инструмент потерял свою эффективность на современных операционных системах, о чем в том числе написано в инструкции по использованию утилиты. Попросили также пересмотреть возможность добавления в белый список.

6 марта 2023 года разработчики Dr.Web ответили, что вся информация им известна, но никаких сроков и решений у них нет, после чего прекратили диалог закрытием обращения.