» Trend Micro Security Software

Odarchuk

Цитата:

иногда чето вырубаеться HTTP Traffic

а в систем евентах и тренд логах что пишет?

В System Event Logs есть только такие записи. Там их много ноони повторяються.

6/19/2007 17:49:20 S002 Master Service started

6/19/2007 8:59:19 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/18/2007 9:00:10 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/15/2007 9:00:08 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/14/2007 15:40:53 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/14/2007 15:27:43 S002 Master Service started

6/14/2007 8:59:10 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/13/2007 9:06:51 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/11/2007 9:01:23 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/8/2007 10:24:48 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/8/2007 10:11:10 S002 Master Service started

6/7/2007 9:00:31 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/6/2007 9:01:42 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

6/5/2007 9:09:04 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/31/2007 16:36:56 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/31/2007 16:23:19 S002 Master Service started

5/31/2007 9:04:52 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/30/2007 18:20:07 S002 Master Service started

5/30/2007 18:13:46 S002 Master Service started

5/24/2007 9:06:43 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/24/2007 9:03:17 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/23/2007 16:42:56 S002 Master Service started

5/23/2007 9:07:33 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/22/2007 9:12:04 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/22/2007 9:08:23 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/11/2007 9:02:43 S002 Virus Outbreak Monitor Alert. OfficeScan detected more than 10 new network sessions within 3 minutes.

5/10/2007 14:03:51 S002 Master Service started

Odarchuk
В Virus Outbreak Monitor попробуй увеличить количество сетевых сессий ....

Народ сорри - я немного протупил
На самом деле то вырубаеться прокси а не антивирь (HTTP Traffic: Off)

Так что трабл еще актуален

Odarchuk

Цитата:

На самом деле то вырубаеться прокси а не антивирь

Поподробней, где прокси, что за прокси, где антивирь стоит и т.д.
здесь телепатов не так уж и много

Есть прокси Trend Micro InterScan Web Security стоит на линуксе.
И вот он (прокси) иногда падает в оффлайн точне не сам поркси а просто вырубаеться HTTP Traffic при етом ФТП трафик ведет себя нормально (напостой включен)
Приходиться через вебморду заходить в ПУ и вручную его запускать.

Odarchuk
ооххх, версия ? какие хотфихы стоят ?

Virus pattern 4.717.00
PhishTrap pattern 407
Spyware pattern 0.533.00
Scan engine 8.500-1001
IWSS 2.2-Build_Linux_1057

HotFix-ы к IWSS какие-нибудь стоят ?

Добавлено:
обновлямеся direct link path 4 Aug 29, 2007, и ReadMe :
"When IWSS has large concurrent, keep-alive connections, the number of the socket in use could be over the 1024 limit. This will corrupt data at the address which it is written. This could cause HTTP daemon to crash"

Привет всем !
Пользую IMSS 5.7 - всё нормально вопросов нет

Качнул на тестирование IMSS 7.0 и вот возникла проблема

Сервер POP3 Proxy НЕ ПОДДЕРЖИВАЕТ команду TOP (чтение заголовка письма) !!
Вот логи
=============================================
+OK TrendMicro IMSS 5.7 POP3 Proxy at imss_01
user test@test.com#mail.test.ru
+OK please send the PASS
pass XXX
+OK 1 messages (1976 bytes)
list
+OK 1 messages
1 1976
.
help
+OK Valid commands: QUIT, NOOP, STAT, LIST, UIDL, DELE, RSET, RETR, TOP, LAST, XTND XMIT, HELP
top
-ERR no such message
top 1
+OK message follows
Return-Path: <test@test.com>


body of message (не привожу)



.
quit
+OK CommuniGate Pro POP3 Server connection closed





+OK TrendMicro IMSS 7.0 POP3 Proxy at imss_02
user test@test.com#mail.test.ru
+OK please send the PASS
pass XXX
+OK 1 messages (2112 bytes)
list
+OK 1 messages
1 2112
.
help
+OK Valid commands: QUIT, NOOP, STAT, LIST, UIDL, DELE, RSET, RETR, TOP, LAST, XTND XMIT, HELP
top
-ERR No more than 0 lines can be retrieved with TOP command
top 1 0
-ERR No more than 0 lines can be retrieved with TOP command
quit
+OK CommuniGate Pro POP3 Server connection closed


Connection to host lost.

=============================================
В инете пишут что ком TOP не всегда поддерж POP серверами
но ведь вер 5.7 поддерж ????

Кто-нить сталкивался или это уже вопрос к разарботчикам ???
Help очень нужно !!!!!!!!!!!!!

Y Sobolev

Цитата:

Кто-нить сталкивался или это уже вопрос к разарботчикам ???

Hot fix - build 16460 ensures that you can use mail clients to get the header with the TOP command without any issues.
imss_70_lx_en_hfb16460.tar.gz

slavpa
Спасибо
На сайте Trend я увидел этот hotfix

НО у меня IMSS 7.0 для WINDOWS ????

поищем далее !!

Похоже что для windows такого hotfix еще НЕТ

Y Sobolev

Цитата:

НО у меня IMSS 7.0 для WINDOWS ????

ну не телепат я , для винды по-ходу нет фикса, пиши в support.

Ребята, как сказать 8 офискану что бы он не рубил кейгены ???
а конкретно он находит в файлах вот таких вирусов: TROJ_Generic, WORM_Generic, PAK_Generic.001.
причем то что это кейгены я уверен. копировать все кейгены в одну папку и исключать ее, не выход. Со Spyware так все просто - добавил в исключение и все. А вот с вирусами так нельзя.
Надоело доставать файлы из карантина.

in4227
Как это нельзя? В настройках manual scan, scheduled scan, realtime scan можешь указать исключения по папкам, конкретным файлам, расширениям. Вот и укажи там конкретные файлы твоих кейгенов ...

ecolesnicov
Это конечно как вариант.
Но лично у меня, когда я воткнул на сутки винтик с дистрибутивами, то как вы думаете что произошло? правильно. OS убедил меня в использовании лицензионного ПО, либо опять покорять просторы интернета в целях поиска ключей и патчей
А дистрибов там что-то порядка 120 гигов было И назывались они(кряки, патчи) далеко не однозначно. И не однотипно.
Но это конечно не главное. Главное что он работает на 5.

Но все равно было бы приятно отключать определения кряков антивирусников. Но такой функциональности я так и не нашел.

Извините за оффтоп.

astashov
in4227
Да ...в такой ситуации конечно дело тяжкое ...
Еще можно попробывать изменить дефолтную реакцию в случае найденного вируса/трояна ... Как вариант - там например имеется "Deny Access" ... По крайней мере ничего удаляться не будет ...

ecolesnicov
С технической стороны да. Правильно. Но вот если реально посмотреть, то полная фигня получается. Т.е. создаем рассадник вирусов
Как говориться: Заходите гости дорогие, я Вас чаем угощу
А если учесть, что у меня на 30 компах трендмикро ОС7.х в течении полугода выловил порядка(не меньше по крайней мере) 1500 вирусов(разновидностей) с инета Тогда вообще класно будет
Остается продать за пачку сигарет любой винтик из конторы врагу и наслаждаться
И опять: извините за оффтоп

slavpa

Support пока молчит
Если не трудно кинь в ПМ ссылку на

Hot fix - build 16460 ensures that you can use mail clients to get the header with the TOP command without any issues.
imss_70_lx_en_hfb16460.tar.gz

Спасибо

Цитата:

Да ...в такой ситуации конечно дело тяжкое ...
Еще можно попробывать изменить дефолтную реакцию в случае найденного вируса/трояна ... Как вариант - там например имеется "Deny Access" ... По крайней мере ничего удаляться не будет ...

прописать все кейгены то можно, но тогда с новыми придеться возиться: прописывать их, доставать из карантина.
запрет доступа как вариант, но лучше пусть в карантин кидает. фиг этих писателей знает, чего они туда насували.

Кто переходил с версии 7.3 на 8.0, подскажите:
Как переходить что-б все настройки остались прежними?
Клиенты подхватывают новую версию, или прийдется всех клиентов ручками перезаводить?
Может есть какие-то другие нюансы?
Контроль Мэнэджер с 8 версией работает?

ncuxu
а) настройки сохраняются. как-то специально переходить не нужно. при инстале выбираешь update и все.
б) Клиенты подхватывают новую версию и обновляются сами тоже "без шума и пыли". Кроме 98-х, т.к. 8-ка эту платформу уже не поддерживает.
в) нюансов - вроде нет ... правда добавилось несколько новых сервисов - в зависиомсти от того какой у тебя был ключик - могут и не активироваться. у меня - активировались сами. Также чуть поменяли фейс админ консоли - то что касается руления клиентами - но все очень элементарно.
г) Control Manager - и со старой и с новой - не юзал, так что сказать ничего определенного не могу.

ncuxu

Цитата:

Кто переходил с версии 7.3 на 8.0

У меня были проблемы с переходом (Win2k3 eng), веб сервак был апачи с нестандартными портами, обновление до 8-ки заклинивалось на обновлении апачи конф. файла. В итоге пришлось откатываться, в другом случае, на другой сетке снес 7-ку и поставил 8-ку с нуля (там клиентов было мало). Разбираться времени не было, но подозрения на нестандартные порты апачи. С IIS , по-ходу таких трабл нет ...

Народ! Имеется OfficeScan 8.0. Все было хорошо, как вдруг с неделю назад все х64 компьютеры (Windows server 2003 x64 и XP x64) начали дамповать с различной интенсивностью. Сначала грешил на драйверы сетевых карт и RAID адаптеров, но все пролечилось удалением клиента офисскана. (Кстати синий экран "жаловался" на vsapint.sys). На оф сайте - тишь. Есть у кого инфо на этот счет?

micapanin
Может дело именно в каких-то настройках OfficeScan (поменяных как раз в то время) или обновлениях винды? У меня тоже среди прочего имеется Win2003 Enterprise x64 (автообновление выключено) - и все ок, ни каких проблем вплоть до сегодняшней минуты. И кстати, а кто у тебя сервер OfficeScan? именно эта x64 винда? У меня - обычный сервак с win2000 server.

В общем обновил я с 7.3 до 8.0 практически без проблем.
Появились следующие вопросы:
Почему-то в Вистовском клиенте нет сканирования почты, или может я что-то не так сделал?
С какой версией Control Manager коректно работает 8-ка?
У кого-нить есть ссылка на русскую документацию на 8-ку?

ncuxu

по поводу висты см. readme идущий в комплекте инсталяции OSCE 8.0:
Computers running Windows Vista will have most OfficeScan programs and features, EXCEPT for the following:
Outlook Mail Scan
Check Point SecureClient
Cisco NAC 2
Watchdog DLL injection function
Image Setup utility (ImgSetup.exe)
Infection source notification (The Alerter Service is removed)
так что проверка почты для висты просто не поддерживается ...

По поводу русской доки к 8-ке - попробуй скачать русскую же инсталяшку, с английской шел достаточно неплохой AdministratorGuide и InstallationDeploymentGuide на аглицком может с русской эти же документы будут на русском?

А администраторская консоль в русской восьмерке также английская?

Всем добрый день!
Может кто поможет.....

Установлена 8 версия, работала в начале как надо.... все тип-топ.... Но вот пришло время и кончились хорошие деньки....!
Начну с того, что этот гад не видит все машины в сетке (а их 300).... то есть увидел домейн.... но машины не все.... приходилось для удаленной установки каждую машинку вписывать ручками.... но и это ничего.... Времени не так уж и много.... я по частям устанавливаю..... и из 300 имеющихся 180 машин прошли нормально... Буквально недавно ставлю клиентскую часть на очередную парочку машин.... прошло успешно! Захожу в Client Management и на тебе..... нет этих машин..... Даю поиск - не находит. Подключаюсь к одной из них и оказывается что антивир не сел толком - хотя сервак бился лбом и твердил что установил без проблем. Удалить с серверной части не удается так как не находит такой машины. Установить поверх тоже не получается так как пишет АНТИВИР УЖЕ УСТАНОВЛЕН...))) Короче дурдом..... Вот теперь и не знаю ЧТО ДЕЛАТЬ....

SysLog

Цитата:

Может кто поможет.....

имя компьютера ,где сабж стоит, не менялся? У клиентов стенка включена? Клиенты в домейне или группе?