» Корпоративные продукты McAfee / Networks Associates (NAI)

to Silencer62
похоже выход только один, мне помогло.
отсылать на сайт https://www.webimmune.net/default.asp само тело вируса и ждать. через пару дней в новой базе появится описание на него и автоматом удалиться.
можно конечно запустить cureit, но при твоих сотнях компов это будет не айс.

koteysky
Увы, не все так лучезарно. Отослать конечно можно. Но насчет двух дней увы не так, я ждал добавление одной из угроз 4-5 месяцев.

Первоначально был ePO v4.0 Patch 1, CMA v3.6.0
После установки ePO Patch 2 и разброса по кампутерам нового McAfee Agent v4.00 перестали слаться на сервер отчёты о деятельности VirusScan 8.5i Patch 5. То есть, локально на компах в журнале событий антивирусная борьба показана, а на сервере ePO абсолютная тишина. При этом агенты нормально связываются с сервером, забирают обновления и политики, в логах агентов никаких ошибок не зарегистрировано. Events перестали писаться на сервер прямо день-в-день, как разбросались новые агенты. Других изменений в конфигурации не было. Установил в политиках агентов писать до уровня Minor Severity, но и это не помогло - на сервере ePO события с компьютеров не отображаются. Насильное повторное внедрение VSE-8.5i Patch 5 также не помогло. Снести четвёртых агентов?

В 4.0ом агенте многое изменилось. На ум приходит следующие "виновные": алгоритм поиска сервера (теперь используются не только IP адреса, но и DNS в первую очередь), расширено использования сертификатов для связи с сервером (подпись и шифрования трафика обмена), возможно что-то с сертификатами

koteysky
Да, cureit в моем случае не выход... Будем ждать, что скажет McAfee Пока что метод лечения (получено опытным путем) такой: в процессах убивается wmplayer, в "Program Files" ищем папку "Windows Media Player Agent" и тоже отправляем в ад, удаляем папку =ПОРНО ВИДЕО=. В свойствах McAfee включаем (если не включено) запрет на исполнение "autorun", т.к. эта гадость часто появляется при втыкании чужой флешки. Вот вроде и все. Сорри, если оффтоп

Еще дополнение, нарыто на просторах инета:

"вирус который размножает себя в папках типа "= ПОРНО - ВИДЕО ="
Сам червяк сидит в файле C:\Program Files\Windows Media Player\Agent\wmplayer.exe, размер 249344 байт

Инструкции по лечению:
В диспетчере задач убить процесс wmplayer.exe

Удалить папки:
C:\Program Files\Windows Media Player\Agent\
C:\Program Files\Common Files\Net Shared\IPC\

из инкаминга у себя удалить папку "= ПОРНО - ЗАПРЕЩЕННОЕ ВИДЕО ="

Из папки "C:\Documents and Settings\All Users\Документы\" удалить папку с названием "= ПОРНО - ЗАПРЕЩЕННОЕ ВИДЕО ="


из ветки реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
удалить запись с именем
"Windows Media Player Agent"
и значением
"C:\Program Files\Windows Media Player\Agent\wmplayer.exe /service"

из ветки реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
удалить запись с именем
"C:\Program Files\Windows Media Player\Agent\wmplayer.exe"

вот и все... теперь главное не запускать опять эти екзешки в порнушных папках " (с) Не мое...

Да, в последнюю неделю третий раз выгребаю дерьмо за McAfee. Что-то непозволительно много за те деньги, которые платятся за обслуживание. Стоит EPO 4.0, vse 8.5 ~200 компьютеров, все обновляется вовремя, McShield, сволочь, жрет немеряно ресурсов на клиентах, однако простецкие руткиты проламываются все чаще. CureIt их отлавливает нараз. Я просто в шоке! Как же так, не отслеживать запись в System32 и запуск сервисов?... No comments... Кстати, утилита типа CureIt от McAfee есть? А то стыдоба, приходится бесплатной утилитой разгребать после хваленой дорогущей системы

Подскажите пожалуйста. Пользовались Active VirusScan (ePO 4.0 + CMA 3.6 + VSE 8.5i + SAE 1.5). Теперь купили апгрейд до Total Protection for Endpoint Adv. Появилась возможность установить новые продукты - HIP 7.0, ASE 8.5 и др.
Не понятно к каким продуктам относятся следующие DAT файлы, которые можно выбрать для обновления master repository :

PUP DAT, SCM DAT, SCM Engine ?

Понятно, что SCM это Secure Content Manager, но не понятно это отдельный продукт или часть какого продукта, входящего в Total Protection for Endpoint Adv.
Какими продуктами используется PUP DAT ?

Еще - допустим у меня в репозитории лежит System System Compliance Profiler 2.0, наверное ему нужны System Compliance Profiler Templates 2.0, а System Compliance Profiler Templates ему нужны?

Поставил VirusScan 8.5i+patch 6 из шапки темы. все встало, пропатчилось, одного не пойму,
как активировать постоянную защиту???
после установки перезапустился. открываю консоль, делаю везде "включить", в постоянной защите ставлю галку "включать постоянную защиту при запуске системы"
перезагружаюсь. все равно защита отключена. галка стоит.
подскажите пожалуйста как быть?

Цитата:

перезагружаюсь. все равно защита отключена. галка стоит.
подскажите пожалуйста как быть?

Что пишет в журнале приложений?

Кто знает - поделитесь секретом... На некоторые компы с VSE8.5patch5 не могу зайти по ссылке _http://имя_компа:8081, выдает сообщение "You are not authorized to view this page" хотя агент установлен, обновления получаются регулярно и в логах пусто...
Дополнено
Разобрался... Проблема была в агенте v.4 Накатил агент v. 3.6.0.603 - все заработало.

Цитата:

Что пишет в журнале приложений?

16.07.2008    11:27:20    Настройки постоянной защиты (Общие параметры):
16.07.2008    11:27:20        bDontScanBootSectors =    1
16.07.2008    11:27:20        bScanFloppyOnShutdown =    1
16.07.2008    11:27:20        bStartDisabled =    1
16.07.2008    11:27:20        ScannerThreadTimeout =    60000
16.07.2008    11:27:20        ScanArchiveTimeout =    59
16.07.2008    11:27:20    Настройки постоянной защиты (Все процессы):
16.07.2008    11:27:20        bScanOutgoing =    1
16.07.2008    11:27:20        bScanIncoming =    1
16.07.2008    11:27:20        bNetworkScanEnabled =    1
16.07.2008    11:27:20        LocalExtensionMode =    1
16.07.2008    11:27:20        NumExcludeItems =    0
16.07.2008    11:27:20        dwProgramHeuristicsLevel =    1
16.07.2008    11:27:20        dwMacroHeuristicsLevel =    1
16.07.2008    11:27:20        ScanArchives =    1
16.07.2008    11:27:20        ScanMime =    1
16.07.2008    11:27:20        ApplyNVP =    1
16.07.2008    11:27:20        uAction =    5
16.07.2008    11:27:20        uSecAction =    4
16.07.2008    11:27:20        uAction_Program =    5
16.07.2008    11:27:20        uSecAction_Program =    4
16.07.2008    11:27:52    Настройки постоянной защиты (Общие параметры):
16.07.2008    11:27:52        bDontScanBootSectors =    1
16.07.2008    11:27:52        bScanFloppyOnShutdown =    1
16.07.2008    11:27:52        bStartDisabled =    1
16.07.2008    11:27:52        ScannerThreadTimeout =    60000
16.07.2008    11:27:52        ScanArchiveTimeout =    59
16.07.2008    11:27:52    Настройки постоянной защиты (Все процессы):
16.07.2008    11:27:52        bScanOutgoing =    1
16.07.2008    11:27:52        bScanIncoming =    1
16.07.2008    11:27:52        bNetworkScanEnabled =    1
16.07.2008    11:27:52        LocalExtensionMode =    1
16.07.2008    11:27:52        NumExcludeItems =    0
16.07.2008    11:27:52        dwProgramHeuristicsLevel =    1
16.07.2008    11:27:52        dwMacroHeuristicsLevel =    1
16.07.2008    11:27:52        ScanArchives =    1
16.07.2008    11:27:52        ScanMime =    1
16.07.2008    11:27:52        ApplyNVP =    1
16.07.2008    11:27:52        uAction =    5
16.07.2008    11:27:52        uSecAction =    4
16.07.2008    11:27:52        uAction_Program =    5
16.07.2008    11:27:52        uSecAction_Program =    4
16.07.2008    11:27:54    Настройки постоянной защиты (Общие параметры):
16.07.2008    11:27:54        bDontScanBootSectors =    1
16.07.2008    11:27:54        bScanFloppyOnShutdown =    1
16.07.2008    11:27:54        bStartDisabled =    1
16.07.2008    11:27:54        ScannerThreadTimeout =    60000
16.07.2008    11:27:54        ScanArchiveTimeout =    59
16.07.2008    11:27:54    Настройки постоянной защиты (Все процессы):
16.07.2008    11:27:54        bScanOutgoing =    1
16.07.2008    11:27:54        bScanIncoming =    1
16.07.2008    11:27:54        bNetworkScanEnabled =    1
16.07.2008    11:27:54        LocalExtensionMode =    1
16.07.2008    11:27:54        NumExcludeItems =    0
16.07.2008    11:27:54        dwProgramHeuristicsLevel =    1
16.07.2008    11:27:54        dwMacroHeuristicsLevel =    1
16.07.2008    11:27:54        ScanArchives =    1
16.07.2008    11:27:54        ScanMime =    1
16.07.2008    11:27:54        ApplyNVP =    1
16.07.2008    11:27:54        uAction =    5
16.07.2008    11:27:54        uSecAction =    4
16.07.2008    11:27:54        uAction_Program =    5
16.07.2008    11:27:54        uSecAction_Program =    4



Добавлено:
А при попытке запустить проверку, говорит что DAT-файлы не найдены или повреждены...

Sergeant44

Цитата:

Как же так, не отслеживать запись в System32 и запуск сервисов?...

А покопаться в настройках и включить всё это - не судьба?

воткнул на сервак Orchestrator 4.0 поставил патч 2 к нему.
внутрь зашел, посмотрел приложения в нем. агент версии 3.6. инсталил агент 4.0.
захожу, смотрю в software - все равно версия агента 3.6
что я не так делаю?
и подскажите пожалуйста, где можно почитать, как оркестратором пользоваться?

FlintWP

Я не понял что это за лог.
Я спрашивал, если ли ошибки в журнале приложений ОС (пуск - выполнить - eventvwr.msc) от МкАфи и привести их содержание.

Друзья, помогайте!!!

VirusScan 8.5i блокирует 25-й порт telnet и почта встает! Где и как отключить?? Все перерыл - не найду никак!!!!

Russian_watson

Цитата:

VirusScan 8.5i блокирует 25-й порт telnet и почта встает! Где и как отключить?? Все перерыл - не найду никак!!!!

25 порт - это SMTP.
Отключается в Access Protection - Antivirus Standart Protection - Prevent mass mailing worms from sending mail.
Но правильнее было бы все-таки настроить исключения.

FlintWP
ты имееш в виду не видно изображение щита рядом с часами то что оно отсутсвует
или с красным кружком ?

denisio

его вообще нет. открываю консоль, там все выкл. постоянную защиту включить пытаюсь - не реагирует. виндовс чистый, тока поставил. xp sp3 corporate
вобщем снес я его кое как, поотключав сначала службы, потом анинсталл запустил.
буду пользоваться оригинальным дистрибутивом потом ставить руками антишпион и ставить шестой патч...

p.s.
Подскажите про Orchestrator кто-нибудь...

Цитата:

Подскажите про Orchestrator кто-нибудь...

Что конкретно?

что на сервак ставить помимо самого оркестратора 4.0?
я поставил его. патч №1 к нему. внутри в software версия агента 3.6
как ставить на клиентские машины virusscan? самому или через оркестратор?

FlintWP
Ничего спецом ставить не нужно, все поставит сам, если только есть уже SQL и есть желание юзать его для базы, ну тогда просто при инсталляции оркестратора указать ему куда и учетные данные.
Весь софт можно ставить как с оркестратора, и это правильное решение, так и ручками.

FlintWP
Надо читать документацию в первую очередь. Это не "наезд", а адекватный ответ. Прежде чем начать крутить продукт сначала надо ознакомиться с хелпом по нему. А то вы просите людей тупо вам ее переписать сюда.

спасибо за ответы.
я слышал что дока есть, но только на англицком. я в нем не очень силен, поэтому спрашиваю здесь.
мне кажется форму для того и существует, чтобы помогать друг другу

brassnet
Вот собсно вопрос интересует. Стоит SQL Express 2005 ePO встанет на него?

AlexRNeos
RTFM - системные требования...

djkatso

Цитата:

25 порт - это SMTP.
Отключается в Access Protection - Antivirus Standart Protection - Prevent mass mailing worms from sending mail.
Но правильнее было бы все-таки настроить исключения.

Спасибо!!! Сам додумкал)))

снес я Epolicy Orchestrator, поставил Protection Pilot 1.5, у клиентов VirusScan Enterprise уже стоял, поставил агент у каждого, и клиенты появились в базе на серваке.
В Protection Pilot отображаются настройки для VirusScan Enterprise и для Epolicy Agent
Есть несколько компьютеров, на которых нужна защита от спама.
Подскажите пожалуйста, как добавить компонент в Protection Pilot и какой компонент?

Друзья, еще один вопрос:

Есть сервер, на котором стоит McAfee GroupShield for Exchange 7.0.555.107 без сервиспаков и хотфиксов. Поставил в пару к нему (на тот же сервер) McAfee Quarantine Manager 5.0.950.100 без сервиспаков но с хотфиксом Patch1. Quarantine Manager нормально увидел первый продукт и все было чики-пуки...
Но через несколько часов Карантин Манагер "потерял" GroupShield, а в журнале событий Windows появилась следующая регулярная ошибка от первого продукта (GroupShiled) - Failed to connect to the MQM server with error 80040236.

Кто виноват и как исправить?!

Всем привет. Такой вопрос. Нужно вручную обновлять компы. Стоит VSE 8.5i. Есть файлы:
clean.dat
internet.dat
names.dat
packing.lst
pkgdesc.ini
scan.dat
validate.exe

Что с ними нужно сделать-то, чтоб получить инсталлятор, *.exe, с которого все компы вручную обновить?

Всем привет ! Столкнулся с не совсем понятной ситуацией : на одном из компов не могу установить FrameworkService. Испробовал разные варианты, но результата нет - сервис не запускается. Советы от "knowledge.mcafee.com" тоже не помогли: по кодам ошибок, выдаваемым в процессе инсталляции, их решения не пригодилисью Вроде все есть, а сервис не работает. Если есть способы - поделитесь !
Дополнено
Все-таки разобрался и победил... Пришлось руками удалять все, что относилось к МкАфе, устанавливать агента руками и после этого инсталить VSE. Помогла "knowledge.mcafee.com", хотя совсем не в разделе ошибок при установке . Вопрос снят