CJM для ложного срабатывания антивируса DrWeb

    Глава, в которой Doctor Web удаляет DLL сервиса Samsung Magician, объявив его трояном, а для того, чтобы оставить запрос в службе техподдержки, нужно не просто зарегистрироваться на портале, а указать серийный номер. Коего, разумеется нет, потому что DrWeb высылает при регистрации ключ, а серийник генерируется в процессе регистрации по ключу — и не хранится НИГДЕ. В процессе, помимо серийника, необходимо ввести ДВЕ самописных капчи: при логине и при отправке запроса в службу техподдержки.

    Ситуация сказочная: на море на океане есть остров, на том острове дуб стоит, под дубом сундук зарыт, в сундуке — заяц, в зайце — утка, в утке — яйцо, в яйце — игла, а в игле — смерть Кощеева. Я знаю, что спрятанная подобным образом возможность связаться с техподдержкой – это тренд. Но не до такой же степени.

    Я расскажу, как это исправить.

    картинка для привлечения внимания

    Я исследователь, и, решая UX-задачи, я обычно даю пользователям задания на выполнение сценариев в приложениях. Но жизнь гораздо богаче и подкидывает неожиданные сценарии самим исследователям.

    Я пользуюсь антивирусом DrWeb довольно давно, еще с нулевых, и неоднократно сталкивался с ложными срабатываниями. DrWeb уже удалял у меня FastStone image viewer, приняв пакетную обработку картинок за работу «шифровальщика». А еще раньше DrWeb удалял у меня Steam.exe. В общем, никогда такого не было, и вот опять.

    Антивирус попросил перезагрузку. Ничто не предвещало. Я перезагрузился и увидел сообщение о том, что DrWeb обнаружил и удалил следующие вредоносные объекты: bcom.dll из директории Samsung Magician, в Program Files. Причиной была угроза Trojan.MonsterInstall.8

    image

    Что я делал дальше, отражено на этой карте пользовательского опыта:
    image
    Большая карта

    Несколько скриншотов, чтобы вы понимали масштаб проблемы:

    image

    Для того, чтобы воспользоваться «Поддержкой», нужно знать, что она осуществляется через сайт DrWEB. Помню, мне стоило больших трудов найти это в прошлый раз. А что должен делать пользователь, у которого нет такого опыта?

    image

    По сути, все эти ограничения на то, чтобы связаться с техподдержкой, направлены на минимизацию обращений. Видите, сколько действий вам, как пользователю, надо сделать, чтобы решить проблему?

    image

    Операторы сотовой связи поступают точно так же, вводя голосовое меню (IVR) при обращении в службу поддержки. Это минимизирует нагрузку на контактный центр, так как многие абоненты не дожидаются ответа или не справляются с голосовым меню, и решают свою проблему как-то еще, например, через сайт.

    Но у DrWEB это ЕДИНСТВЕННЫЙ канал поддержки. Я не могу решить свою проблему с ложным срабатыванием по другим каналам.

    Что можно было бы улучшить?

    image
    Большая карта

    Я понимаю, что улучшение пользовательского опыта при обращении в техподдержку может быть затратным. Но по крайней мере можно убрать капчи, автоматизировать отправку отчетов и файлов на анализ и сделать бесшовную авторизацию на портале из приложения. Помощь пользователям в сложной ситуации влияет на лояльность.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 56

      +2
      Коего, разумеется нет, потому что DrWeb высылает при регистрации ключ, а серийник генерируется в процессе регистрации по ключу

      Все остальное — верю, а вот здесь неверно. Сначала генерится серийник, он вводится на сайт для генерации ключа, по итогу высылается письмом ключ. Письма соответственно три — с серийником, на подтверждение генерации и с ключем. Только вчера эту процедуру проходил. Восстановить серийник по ключу проще простого — он записан в ключе, который простой текстовый файл. Ну и через сайт тоже можно. Но тут я уже не проверял где конкретно

      Но у DrWEB это ЕДИНСТВЕННЫЙ канал поддержки

      Техподдержка
      Бесплатно, только по России: 8-800-333-7932
      В Москве: +7 (495) 789-45-86 (оба круглосуточные)

      Отсюда

        0
        Возможно, есть несколько путей получения ключа/серийника. В моем случае, при продлении лицензии через allsoft я получаю именно ключ в виде файла на почту. Серийного номера у меня в почте нет, это было первое что я начал искать при попытке обращения.
          0
          Там гдет в продукте было окно с инфой о лицензии. Там тож нет серийника?
          ps: вроде этот файл который вы получили — обычный текстовик который можно блокнотиком ковырнуть.
            0
            Там я тоже смотрел :) В менеджере лицензий указаны первые восемь знаков, все остальное сокрыто, видимо в целях заботы о безопасности пользователя.
          0
          А, действительно, не единственный канал поддержки. Спасибо. Но на сайте его нет в шапке и он не виден по клику на пункт меню «Поддержка» (см картинку). imageА в приложении нет НИКАКИХ упоминаний о способах поддержки.
            +1
            Раскрою секрет. Мы стараемся работать через почту и сайт по причине того, что в подавляющем числе случаев нам требуется для анализа дополнительные сведения (да хоть тот же упомянутый вами архив). Если же мы укажем первым телефон, то будут звонить на него, но
            — в случае эпидемии, как ни крути может быть задержка на ожидание
            — в вашем случае все равно нужно будет отправить файл с данными — а значит опять же быстрее обратиться на сайт
            Ну и по программе. Мы не можем отправлять данные автоматически. Персданных мы не собираем (нам и так их присылают постоянно), но попробуй отправь — вою будет…
            И да, раньше у нас была автоматическая отправка. Убрали по причине того, что отправляли тот же архив, не описав ситуацию никак, а потом возмущались, что мы не помогаем
            Печаль опыта. Когда хочется сделать лучше, но все предложенное мы уже пробовали
              0
              teecat, я понимаю, что хлеб поддержки очень горек, действительно там приходится сталкиваться с разными негативными сторонами человеческой натуры. Но даже в случае работы с поддержкой через сайт, можно сделать это общение для пользователя менее болезненным. Например, введя ту же бесшовную авторизацию, дать понятную инструкцию в приложении, куда посылать отчет, и не просить капчу на каждый чих.
                +1
                Напишу писателям сегодня. Это я могу
              0
              Существует почта для отправки файлов, для которой не нужно покупать лицензию. Да и для форм указывать ключ не обязательно.
          +2
          www.drweb.ru, ищем текст на главной «Сообщить о ложном срабатывании», выбираем файл, категорию «ложное срабатывание», вводим капчу и готово!
            +1
            Спасибо! Но я-то и так нашел, для меня это не самая большая проблема. Просто рядовой пользователь редко использует Ctrl+F, когда на сайте что-то ищет, а ссылка эта — в подвале.
              –4
              А она и не должна быть на самом видном месте, ложных срабатываний мало.
                +1
                у меня, к сожалению, нет данных по поводу ложных срабатываний и количеству обращений в ТП DrWeb. Но я пишу не о том, мало или много ложных срабатываний, а о том, что конкретно этот сценарий реализован очень плохо для пользовательского опыта.
                  –1
                  Ссылка с описанием прямо конкретной проблемы на главной странице сайта — очень плохо?
                    +1
                    Не плохо. Неэффективно. Если смотреть пути, которыми пользователи ищут решение проблемы с ложным срабатыванием, то я предполагаю, что меньшинство из них найдет эту ссылку в подвале. Потому что нужно Ctrl+F использовать, чтобы ее найти, а этот паттерн не распространен.
                      –1
                      Окей, в шапке наводим на «поддержка» и там видим то же самое — сообщить о ложном срабатывании.
                        +1
                        Да, действительно, она там есть, но я ее почему-то не нашел месяц назад. Видимо сразу пошел писать запрос наученный горьким опытом. Не могу с вами спорить по поводу эффективности верхнего меню, так как тут имеет смысл посмотреть данные веб-аналитики, и провести несколько UX тестов. Но если вы перейдете по ссылке vms.drweb.ru/sendvirus которая на этих кнопках, то на той странице ничего не написано про ложное срабатывание. А предлагается вирус прислать или подозрительный файл.
                  +1

                  Ложных срабатываний мало… Однажды один программист пришел к лиду с проблемой отображения сайта в edge — сайтом невозможно было пользоваться. Лид ответил, что это не проблема, поскольку пользователи edge почти не пользуются сайтом...

              +1
              1. Ну фолс дело ну такое… Прям я бы не паниковал и всё таки связался с саппортом. Так вы написали или нет? На крайний случай там ещё форум был.

              2. У Доктора Веба весьма сговорчивый саппорт, прям точно говорю. Хотя я согласен, что как-то не понятно для чего нужно окно «Поддержка» кроме как сбора отчёта и не написано куда с этим отчётом дальше идти. Но чтот мне подсказывает, что надо им об этом написать и подождать ответа;

              3. Картинка «Что можно было бы улучшить» сильно преежата и я ничего не разобрал;

              4. Оффтопом — капча какая-то прям совсем простая, чтот мне подсказывает, что защиты она даёт чуть менее чем совсем никакой и добавляет только неудобств.
                0
                2. У Доктора Веба сговорчивый саппорт, прям точно говорю.

                Попробуйте вернуть деньги за продукт, и будете посланы далеко и надолго, что-то вроде такого: «мы не продаём продукт, этим занимаются наши партнёры, а у нас обязательств перед вами нет никаких, в том числе и в поддержке». (Была у меня одна история когда файлы были зшифрованы, а они предлагали попытаться расшифровать, типа — присылайте, но купите лицензию. Лицензю купил, спрашиваю — куда прислать, они — типа, уже не занимаемся этим. Деньги вернуть не удалось.)
                  –1
                  Я не пользуюсь виндой — мне сложно представить зачем мне может понадобиться антивирь. И какое вообще отношение возврат средств имеет отношение к проблемам описанным в статье и в моем комменте? К слову энкодеры ловить дело не тривиальное — антивирус не может дать 100% гарантии, что будет отлавливать все корректно по поведению. Это все равно, что пытаться вернуть шипованную резину после того как вас занесло в гололед, хотя конечно немного натянутый пример, но в моей голове приблизительно так.
                    0
                    типа — присылайте, но купите лицензию

                    Неправда ваша. Прислать может любой и попытка расшифровать бесплатна. Если пользователь наш, то расшифровываем бесплатно. А вот если пользователь не наш, то да — просим купить лицензию
                    Если вам ответили именно так, как вы описали — просьба прислать номер тикета. Разберемся
                      0
                      Тикет меня уже не интересует, это было несколько лет назад. Зато мне достаточно того, что вы, под одной вывеской собрали несколько фирм, а когда дело доходит до конкретики, то оказывается, что те кто продаёт, никакой поддержки не оказывают, а те кто оказывает, не состоят ни в каких отношених с теми кто купил и ничего им не должны, а поддержку окзывают из широты душевной. Нет: прекрасная бизнес-модель!
                        0
                        Ну тут совсем неправда. Фирма у нас одна. Если с кем мы и работаем плотно, то с интернет магазином. Все остальное действительно партнеры, ссылки на которых у нас могут быть размещены. Если у вас иные данные, пруфы на стол
                        Поддержку мы оказываем, как вендор. Партнеры тоже правда могут оказывать поддержку, но нем все
                        Поддержка для наших пользователей бесплатная (есть исключение — за рубеж есть продажи без техподдержки. Но не помню в какие страны, не интересовался особо). Не наши пользователи за расшифровку должны платить, но за простой анализ — нет. Я сам анализировал подобные запросы, их много поступает, поэтому тут я за свои слова отвечаю
                        Наездов на нас много поступает. Вот скажем претензия недавно была, что мы не поймали троян. Анализ показал, что антивирус был удален несколько дней назад. Как вариант — c:, d, e были поставлены в исключения. Мы тоже не сработали естественно. Реальные случаи. Кто виноват? мы?
                          –1
                          Вендор всегда виноват! :-D
                    0
                    Капча по причине ботов и пиратов. Скажем есть у нас такой аукцион подарков — так приходят штук пять пользователей с одним серийником. Ну и попытки автоматизировать участие в аукционе тоже были естественно

                    По картинке — поддерживаю, тоже не смог разобрать
                      0
                      Да понятно зачем капча. Я про то, что она на вскидку простая как палка — и выглядит как что-то ископаемое из доисторических эпох.
                        0
                        Там под каждой картинкой есть ссылка на большую версию.
                        Дублирую тут:
                        CJM: 42sltn.com/images_drweb/CJM-for-doctor-web2.png
                        Что можно улучшить: 42sltn.com/images_drweb/improve_big-2.png
                          0
                          Сенкс, перешлем по назначению
                            0
                            Пожалуйста. Надеюсь, это поможет.
                              0
                              Онлайн справку и документацию обещали уже поправить
                              +1
                              А по уму — надо опрашивать юзверей как им будет лучше, удобнее. Проверять на них различные варианты и вот это вот все. Зачем, например, с главной пяток (если не больше) ссылок на вирлаб и техподдержку? Зачем пользователю вообще знать отличия одного от другого? Ну и так далее…
                                0
                                Сложный вопрос. Простому пользователю может и нет нужды знать. И я уверен, что он выберет простой вариант. Но вот опытный при ложняке использует нужный пункт, что уменьшит время на обработку ложняка, так как не потребуется ожидать пока сотрудник техподдержки во время эпидемии, когда телефонные трубки нагреваются, доберется до тикета

                                Понимаете — мы живем всегда в ожидании эпидемии, когда будет шквал запросов. И на этот случай должны иметь возможность для пользователя обойти бутылочное горлышко
                                  0
                                  Понимаете, если не будет разделения «техподдержка»-«вирлаб», но останется пункт про ложное срабатывание — юзверям будет проще.
                                    0
                                    А пользователи будут знать, что есть ложное срабатывание? По опыту — сомневаюсь сильно

                                    На всякий случай — я вам совершенно не возражаю. И уверен, что вы правы. Просто показываю, что не все так просто. Мы (айтишники) вращаясь в своем кругу зачастую не представляем, насколько мало в тех же антивирусах понимают скажем обычные люди

                                    Я боюсь, что получится ситуация типа «согласно интернет-опросу и интернетом пользуются все»
                            0
                            teecat На мой взгляд, проблема ботов не должна мешать простым пользователям. Я тестировал различные личные кабинеты, и везде старались сделать удобно пользователю, не перекладывая на его плечи борьбу с ботами. Думаю, эту проблему можно решить не заставляя человека вводит капчу на каждый чих. У вас ведь есть история моих обращений, видно, что я ваш пользователь более 10 лет и у меня лицензия на пять рабочих станций. Почему я должен вводить капчу?
                              0
                              Лично я — полностью вас поддерживаю и понимаю, но как узнать, что это именно вы, а не бот?
                              Вот скажем мы требуем не только серийный номер, но и адрес, на кого зарегистрировано. Появилось это не от хорошей жизни тоже. Предприятия стали раздавать ключи сотрудникам. Дело их личное собственно, хоть и нарушение. Но пользователи при истечении ключа стали обращаться не на свое предприятие, а к нам и возмущаться, когда мы отказывали в продлении на основании, что ключи не их
                                0
                                Я бы проблему с тем, что ключи раздают, решал через анализ аккаунтов и репутацию: если ключ выдан на большое количество рабочих станций, то вероятность того, что ключ уйдет на сторону — велика, и стоит спросить адрес регистрации, если обращение не идет из той сети, в которой все эти рабочие станции находятся. А если у пользователя хорошая репутация, долгий стаж и он ключ не шарил до этого, то возможно, должен быть какой-то кредит доверия?
                                  0
                                  А потом этот юзер присылает 1845 заявок с откровенным трэшем, ага.
                                    0
                                    Я верю в силу интеллекта разработчиков и поведенческий анализ. Конечно, всего не рассчитаешь. Но облегчить жизнь пользователя, обратившегося в техподдержку — можно.
                                    +1
                                    Не буду врать, не знаю, возможно ли так сделать. Но сходу могу сказать, что мы не отслеживаем пользователей и тем более их сети. Придется это собирать, это станет персданными (у нас же есть ваши данные с регистрации, а айпишник это тоже часть персданных), их придется защищать по закону…
                              0
                              Спасибо!
                              1. Конечно написал, там дальше половина CJM про общение с ТП.
                              2. К саппорту DrWeb у меня претензий нет, но туда попасть довольно сложно даже мне. А что говорить про рядовых пользователей?
                              3. Там под каждой картинкой с CJM ссылки на большие версии.
                              CJM: 42sltn.com/images_drweb/CJM-for-doctor-web2.png
                              Что можно улучшить: 42sltn.com/images_drweb/improve_big-2.png
                              4. Капча на этапе, когда ты уже попотел и думаешь что уже всё, теперь-то я напишу — ужасно бесит.
                              0
                              Я расскажу, как это исправить.

                              Пуск/Настройки/Программы и компоненты/Dr.Web/ Удалить!
                                0
                                Топор и кабель питания, а главное — защита от угроз станет только лучше!
                                  0
                                  От каких угроз то? Какова модель тех угроз? Я вижу только угрозу пожирания ресурсов торможения компа и безопасности в виде бекдора, который тащит к себе ваши файлы — любые которые ему понравятся.

                                  В реальных атаках шифровальщиков — когда кому эти тормозящие поделия помогали?
                                  0
                                  Ну что же вы даете неверные советы! Нету такой папки (смайл)

                                  Если серьезно, то был случай. Мужа не было дома, ремонтника встретила жена. Ну а тот попросил на минутку выключить антивирус (что-то там скачать нужно было, не помню уже). Как говорил парень после анализа логов — антивирус был выключен всего пять минут, но этого хватило для заражения

                                  Статистика она такая. На кого упадет вероятность, никому не известно
                                  0
                                  Раз уж мы тут обсуждаем антивирус. Будет ли уважаемым хабровцам интересно читать статьи про настройку антивируса? Вообще конечно там все совершенно просто, но на практике мало кто настраивает антивирус как нужно. Обращений в поддержу по причине пропусков из-за неверной настройки — очень много. Материалов вагон, просто боюсь, что для данной аудитории они слишком простые
                                  Вот скажем на eicar многие антивирусы реагируют странно. Но это тоже наверно все сталкивались
                                    0
                                    Если по результатам обсуждений будут писаться материалы на сайте, а сами статьи про настройку будут написаны без рекламного **** — может и полезно будет… Главное, что Хабр индексируется лучше сайта антивируса ;-)
                                      0
                                      Ну как сказать. Скрины и описание будут естественно от конкретного продукта. Без рекламы, чисто пошаговые инструкции и случаи из поддержки. Но насколько я помню правила — это реклама
                                        0
                                        «В отличии от других производителей», «надежно защищает» — вот это рекламное ****, его не надо.
                                          +2
                                          Я ж не самоубийца такое на хабре писать!
                                      0
                                      А про какую настройку речь? Про превентивку? Мне кажется, что на хабре бы зашло про cli инсрументы, но это не точно.
                                        0
                                        Да начать с файлового монитора (у Dr.Web это Spider Guard). По умолчанию для рискваре стоит игнорировать, поскольку к рискваре относятся всякие RDP, то есть предполагается, что после установки пользователь настроит исключения, ибо антивирус не знает, кто поставил удаленное управление и потом включит опцию на перемещать в карантин. Но этого не делают.
                                        Опять же действие по умолчанию. Ставят удалить, а надо перемещать в карантин. По понятным причинам
                                        Все конечно капитанские советы, но все из жизни
                                          0
                                          teecat, Offtopic: А можно, пользуясь случаем, попросить ваших коллег, чтобы они протестировали совместную работу TunnelBear и вашего файрволла (который в комплекте с антивирусом идет)? А то даже при добавлении в список исключений всех процессов от этого VPN, он все равно с включенным файрволлом не работает, либо одно, либо другое.
                                      –3
                                      А что такую некомпетентную, пургенную лажу уже тут можно постить !?!?!?

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое