Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Symantec Antivirus Corporate Edition (часть 2)

Автор: ffc
Дата сообщения: 03.10.2006 14:09
А можно поставить клиента SAV 10 на 98 винду? Если да, то чего нужно? Из VPHOME на 98 не ставится - только 2к и хр...
Автор: Bugriy
Дата сообщения: 03.10.2006 14:25
Как обновить описания в Центральном изоляторе? У меня почему-то базы от 27го числа, хотя проверка стоит каждые 10 минут. Вообще реально заставить симантек обновляться каждый день или надо батник писать?

И второй вопрос. Что надо делать с файлом лицензии? Как его скормить серверу? У нас корпоративка на 100 компов.
Автор: Arakcheev
Дата сообщения: 03.10.2006 19:21
ffc
Никак. Для 98-x максимум 9-ка
Автор: alx19
Дата сообщения: 03.10.2006 21:33
SAV 9.0.5.1100 и SAV 10.1.4.4010 с самыми новыми базами
пропускают вирусы при запуске следующего файла зараженного
трояном Downloader-AWA

Скачайте файл с файлом в архиве rar.

Распакуйте с паролем ww
Ваш SAV ничего не скажет.

Если Вы запустите этот файл на исполение, после перезагрузки уже не сможете
запустить свою ОС.

Например McAfee VSE8 его детектит с мая 2006 года не раскрывая.

http://vil.nai.com/vil/content/v_139435.htm

http://secunia.com/virus_information/29253/downloader-awa/


Кстати сам файл похоже представляет из себя самораскрывающийся архив, который SAV распаковывать для проверки не умеет. В то же при запуске происходит иницилизация трояна, скачивания с удаленного ресурса зараженных файлов, которые просто еще не научились лечить и т.д.

Почему Symantec допускает это?

Возможные варианты:

1. возможно что троян распространен в основном только в России (мы его получили через mail.ru)- а Россию толком Symantec поддерживать не хочет

2. Symantec не достаточно денег выделяет на поиск вирусов к которым надо делать противоядие

3. сканирующий движок SAV недостаточно совершенен.

С целью получить файл для проверки зайдите на сайт

www.mail.ru через браузер
sav10_mail@mail.ru
пароль
sav10
и скачайте файл
с_подругой.rar

далее проведите тесты.
Спасибо.

У нас сегодня из-за этого пришлось переустанавливать 2 ОС.
Автор: Accessor
Дата сообщения: 03.10.2006 23:13
alx19
ты сильно сгущаешь краски, на самом деле, вирус называется Trojan-Downloader.Win32.Delf.awg и имеет дату происхождения август-сентябрь, поэтому ссылки на то, что кто-то там детектит его с мая, просто нерассматриваются в силу того, что они ошибочны.

Цитата:
Кстати сам файл похоже представляет из себя самораскрывающийся архив, который SAV распаковывать для проверки не умеет.

нет, к нему применён не архиватор, а EXE-пакер.

Цитата:
Почему Symantec допускает это?

возможно просто он ещё не успел попасть к ним в руки
Автор: Suzuki kun
Дата сообщения: 04.10.2006 02:18
Как отключить файл ccSetMgr.exe из системы и за что он отвечает ?
у меня Symantec Antivirus Corporation
Program: 10.0.1.1000
Scan engine 61.2.1.10
просто получаеться так что качаю я файлы из по Win xp sp2 на nfts системе но файлы находяться на диске D\azerus вот и когда походу файл закачиваеться вот сумантек мешает ему походу качаю через прогу Azureus 2.5.0.0 на диске D стоит Fat32
Кто сможет помоч?
Автор: pridecom
Дата сообщения: 04.10.2006 06:42
Проблема:
цепляю к серверу 10.1.1000 версии русской
клиента версии 09.0.0.338 на W'ME
все идет как обчно указал сервак, установил, смотрю что обновления нормально принялись, но после перезагрузки пишет 2 раза в DOS окне и 2 раза в обчном, что не получается инициализировать антивирусную базу данных!
Кто сталкивался, помогите!?
Автор: Asker80
Дата сообщения: 04.10.2006 08:16

Цитата:
Как отключить  файл ccSetMgr.exe из системы и за что он отвечает ?

Symantec Settings Manager Service, отключать так же, как и любой другой сервис.


Цитата:
просто получаеться так что качаю я файлы из по Win xp sp2 на nfts системе но файлы находяться на диске D\azerus вот и когда походу файл закачиваеться вот сумантек мешает ему походу  качаю через прогу Azureus 2.5.0.0 на диске D стоит Fat32

Кто-то понял, что здесь написано (включая автора)?..
Автор: ffc
Дата сообщения: 04.10.2006 08:37
Arakcheev
Понял. Спасибо. А то я уже пол-инета облазил. Жаль...
Автор: Netgnom
Дата сообщения: 04.10.2006 09:37
Есть еще один интересный вопрос по Symantec. У меня установлена и настроена группа из трех серверов, которая обслуживает около 300 клиентов. Версия антивируса 10.0.2.2002. У клиентов версии разные начиная с 9.
Вообщем суть проблемы такая если я запускаю Symantec System Center на первичном сервере, он мне показывает что все клиенты выключены, за редким исключением (2,3 клиента) но известно что большинство из них работает.
Если Symantec System Center запускаю на вторичном, то он показывает более-менее правдоподобную картину. В чем может быть такая проблема? Может нужно переставить SSC на первичном сервере?

Добавлено:
Вообщем-то сам себе и отвечу! ЦЭЖ ВИНДА!!!! ХОТЬ И СЕРВЕР, А ПЕРЕЗАГРУЖАТЬСЯ ТРЕБУЕТ!!! Все появилось после перезагрузки первичного сервера.
Автор: mkolesov
Дата сообщения: 04.10.2006 14:10
Цирк уехал, клоуны остались. Черти меня дернули переименовать группу серверов. Порядок решил навести. ) Теперь в консоли их две. Совершенно одинаковые. Только одна работает как надо, а вторая не очень. Я валяюсь. )

Кто-нибудь знает - как лечить?
Автор: Bugriy
Дата сообщения: 04.10.2006 14:39
Как пропатчить клиентов????

Что должно быть в файле VPREMOTE.DAT?

Пробовал писать так:
msiexec /fvamus "c:\temp\clt-inst\symantec antivirus.msi" PATCH="c:\temp\clt-inst\savpatch.msp" /qn /l*v install.log
перестаёт ставиться клиент. Пишет что нужно в параметрах указать ADDLOCAL=SAVMain.

Пробовал такой вариант:
msiexec /i "c:\temp\clt-inst\Symantec AntiVirus.msi" ADDLOCAL=SAVMain,SAVUI,SAVHelp,EMailTools,OutlookSnapin,Pop3Smtp,QClient NETWORKTYPE=1 SERVERNAME=SONAR ENABLEAUTOPROTECT=1 RUNLIVEUPDATE=0 REBOOT=ReallySuppress /qn /l*v c:\temp\install.log

Клиент ставится, но не ставится патч (его и в ключах-то нету) .
Автор: wwwital
Дата сообщения: 04.10.2006 16:51
Получаю сообщение
"Извините, гости не могут заходить в этот форум. Пожалуйста зарегистрируйтесь!. "
при попытке скачать. Почему?
Автор: fedmun
Дата сообщения: 04.10.2006 17:12
Bugriy

Цитата:
Как пропатчить клиентов

Например вот так Applying Symantec Client Security 3.1 and Symantec AntiVirus 10.1 Maintenance Patch 1 Point Patch 1
VPREMOTE.DAT можешь оставить от патча
Автор: AndrewASB
Дата сообщения: 04.10.2006 19:05
Вот такая байда.... Требется помощь в разборке.
Послал антивирусного админа проверить филиал. Приехал, посмотрел, погонял, помог все настроить. АВ админ - человеку можно верить - очень добросовестный, обученный. Н насчет всяких АВ оргмер он не очень как то.
Вернулся. Через неделю - заражение W32.Neshuta.
Описываю ситуацию (понятно при процессе заражения не присутствовал, но людей посылал):
Стоит на виндовых машинах клиент sav 9.0.0.338.
Сервак 9 на серверах Novell 5.1
Защита реального времени на все файлы и там и там, но проверка сетевых дисков забанена.
Базы свежие.
Юзерица заходит (ОС w98) в Мои документы, натыкается на какой то файлик и запускает его (что за он был - не знаю. пока туда - сюда - накатили образ). Появляется сообщение, что обнаружен W32.Neshuta, файл svchost.com успешно изолирован.
Юзерица пугается и выключает комп. АВ админу, понято, ничего не сказала. Дисциплинка, однако!!! За Инструкцию юзеря расписалась, но ни сном ни духом о чем там....
Через 4 минуты снова загружается и не смотря на непрерывные сообщени о том, что какие то там файлы пролечены от нешты (это уж по логам) начинает работать с бух. прогой.
Шары на серверы Novell у нее административные (Зачем??? Оторвать бы кое что админам там).
Заражение пошло на серваки. Они отбивались (по логам видно).
Заражение пошло на некоторых др. юзерей. У всех все начиналось изоляции svchost.com. Потом лечение шло.
Итог:
Сначала свалился комп юзерицы, потом еще 8 (тоже административные шары). Все это несмотря на то, что вирь детектился и, типа, лечился.
Повалились, но не сильно (быстро восстановили, все платежи ушли вовремя), Новеловские серваки.
Получается SAV лечил-лечил и надорвался.
У кого какие соображения???????
У одного из АВ админов так-же не понятно свалился комп под клиентом sav 10 (первым) - но комп, собственно не был замусорен завирусованными файлами. Нешта успел прописать себя в регистри и поэтому ОС завалилась. Почистили реестр - и все опять заработало.
Автор: alx19
Дата сообщения: 04.10.2006 21:43
AndrewASB

На Вашем месте я бы для начала задумался над тем чтобы поставить на всех компьютерах самую новую SAV 9.0.5.1100
(вместо 9.0.0.338 - версии 9 самого первого релиза) или SAV 10.1.4.4010 (если ОС начиная с 2K).
Зачем использовать антивирус, если не ставите обновления?

Интересно, а почему на всех компьютерах пользователей не заблокирован доступ в папку Windows?
По идее если бы это было сделано - не было бы проблем с svchost...
Автор: Bugriy
Дата сообщения: 05.10.2006 08:10
fedmun
Но если я поменяю VPREMOTE.DAT на тот, который с патчем идём, то клиентов нельзя будет поставить. То есть получается, опять придётся VPREMOTE.DAT менять чтоб клиентов поставить. А потом снова менять.
Автор: mkolesov
Дата сообщения: 05.10.2006 09:36
AndrewASB
Административные шары... ну и что ты хотел? Какие разборки? Вот у меня, например, все - локальные админы. Чуть не каждый день машины ложатся. А симантек только вякает вдогонку - обнаружен/изолирован, обнаружен/изолирован... Я знаю контору, где чисто под исой сидят, без анитвиря вообще, так у них проблемм в разы меньше, чем у нас. Какие разборки, на?

all
Что, ни у кого умных мыслей на счет задваивания в консоли групп серверов нет? Жаль.
Автор: alx19
Дата сообщения: 05.10.2006 10:35
mkolesov
Скажи пожалуйста а почему ты не хочешь урезать права всех пользоваталей до Пользователя на их компьютерах?

Разве не решение подобных проблем с вирусами - запрет доступа к папке Windows ?
Автор: mkolesov
Дата сообщения: 05.10.2006 10:58
alx19

Цитата:
Скажи пожалуйста а почему ты не хочешь урезать права всех пользоваталей до Пользователя на их компьютерах?

Я НЕ ХОЧУ?! Еще как хочу. Ночами вижу. И даже определенные телодвижения в этом направлении делю. Тихой сапой. Потому как есть начальство, а у начальства есть некое видение работы. И в это видение мои скромные намерения относительно локальных админов немного не вписываются. Т.к. у нас сплошь и рядом немеряно продвинутые пользователи, программисты, конструктора да разработчики и им мои намерения до ...

Ты мне лучше скажи - что с фантомной группой делать. Эти сцуки данную проблемму вроде как еще в девятой версии пофиксили. А поди ж ты. И никакой тебе миграции, и никаких сереверов предыдущих версий. И свалить не на кого. Два сервера. Оба 10.1.4.4000. Оба более-менее работали, до момента переименования группы серверов.
Автор: Bugriy
Дата сообщения: 05.10.2006 11:58
Как автоматизировать установку клиентов с помощью AD? Пробовал ставить symantec antivirus.msi из папки \\server\VPHOME\CLT-INST\WIN32 как assigned application на OU с компьютерами - ничего не происходит. При загрузке компьютера на пару секунд выводится надписть что ставится symantec antivirus и всё.

Пробовал пользоваться тем скриптом, что в папке VPLOGON. Симантек предлагает его вешать на логон скрипт пользователей с повышенными правами. Я его прицепил как стартап скрипт на компьютеры - никакой реакции.

Кто как эту упроблему решал?
Автор: mkolesov
Дата сообщения: 05.10.2006 12:06
Bugriy, а логи кто читать будет?
Автор: Bugriy
Дата сообщения: 05.10.2006 12:16
mkolesov
А где они?
Автор: fedmun
Дата сообщения: 05.10.2006 14:02
Bugriy

Цитата:
Но если я поменяю VPREMOTE.DAT на тот, который с патчем идём, то клиентов нельзя будет поставить. То есть получается, опять придётся VPREMOTE.DAT менять чтоб клиентов поставить. А потом снова менять.

Патч можно положить в отдельную папку и ставить его оттуда с момощью ClientRemote.exe
Т.е. клиента ставишь из консоли, патч - из отдельной папки.
Автор: AndrewASB
Дата сообщения: 05.10.2006 14:28
alx19mkolesov

10 версию поставить не представляется возможным везде поставить. Много компов, которые и под w95|98 сдыхают.

Уверенности в том, что 9.0.5 лучше - тоже нет. Да и как поведет себя 10-ка тоже не ясно. Ясно только, что можно автоматически заблокировать вход в сеть юзерю. Файло - то на сервере юзается одновременно многими юзерями - то есть режим использования не монопольный. Думаю, что и др. антивири, например, макака или нод, тоже не лучшим образом отработают - один перец - никто не дает никому ни каких гарантий. Я имею ввиду работу серверов приложений с зараженной рабочей станцией. И никто из вендоров не тестировал свой антивири при массированных атаках. Понятно почему. Каждые 40 секунд в мире появляется вирус или что то вроде того.

Согласен, что можно обойтись и без антивиря. Это уж вопрос дисциплины.
А вариант с ISA - фигня. Во-первых, у нас почти ни у кого инета нету. Во-вторых, чтоб получить в сетку нешту - её принести нужно, файл на комп скопировать, запустить.
При этом юзерь будет с пеной у рта уверять, что деджавю - ридер (как пример зараженной нештой инсталляхи) ему нужен для чтения нормативных документов нацбанка.
Перевести всех на новую версию или патчи тоже проблематично.
Во первых в некоторых филиалах админы брались на работу по принципу "я тебя слепила из того, что было". Один - спец по народным промыслам, другой - учитель пения. Нет там других людей на местах. Домены/АД - редко где. Значит накатывать все ручками. А одних только рабочих станций под виндой по системе - около 14 000.

Пока пообещал юзерицу не наказавать и ее раскручивают тамошние админы и безопы. Нужно выяснить все последовательность действий.

А дальше.... посмотрим. Наверное нужно комплексное решение по защите с каким нить детектором вторжений и т.п. К сожалению, опыт моих знакомых, юзающих в конторах макаку и нода, говорит о том-же.
С серваками ясно еще, что в процессе борьбы они в общем-то и зависли, потому как - хиляки.
Подергал еще российский симантек. Приедут - дадут подборку софта, нужного для защиты. Спецы тоже приедут, но позже.
Хорошо бы каждому управляемый файрвол.....да компы позагибаются. И есть филиалы, где компы такие, что их только удаленно сканировать можно, чтоб совсем не подохли.
Автор: mkolesov
Дата сообщения: 05.10.2006 15:22
Bugriy, ну, например, встречается на машинах с клиентом следующий файл SYMEVENT.LOG Время создания которого соответствует времени попытки установки клиента на машину. Он содержит внутри себя разные полезные записи, навроде:

BEGIN - IDM_COPYFILE
Copying file C:\Program Files\Symantec\TEMP.^^^\SYMEVNT.GRD
END - IDM_COPYFILE

AndrewASB

Цитата:
Много компов, которые и под w95|98 сдыхают.

Вопросов нет. Чем могу. Звиняй. (
Автор: Bugriy
Дата сообщения: 05.10.2006 15:32
mkolesov
Нету у меня такого файла.
Автор: PumaASB
Дата сообщения: 05.10.2006 17:22
mkolesov
по поводу фантомных групп. есть ли во второй группе сервера? после переименования серверной группы желательно перегрузить первичный сервак. где копать точно не скажу, но как вариант посмотри в реестре первичного сервера вот эту ветку: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AddressCache
там путём перебора всех серверов посмотри у них параметр domen. вполне возможно во время переименования группы один из серверов был выключен.
Автор: mkolesov
Дата сообщения: 05.10.2006 17:54
Bugriy, уже хорошо. Правда. В принципе, подобного эффекта добиться не сложно. Достаточно того, чтобы в каталоге установки не оказалось нужных симантеку или эмсиайэкзеку файлов, или к ним нет доступа (я пробовал - примерно так и выглядит, выскочит окно и пропадет). Проверь все три пункта.

PumaASB

Цитата:
по поводу фантомных групп. есть ли во второй группе сервера?

Фантомная группа является точной копией настоящей. Только команды контекстного меню не отрабатывает.


Цитата:
где копать точно не скажу, но как вариант посмотри в реестре первичного сервера вот эту ветку: HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\AddressCache

У симантека есть некоторое количество решений этой баги для девятки. Все они, включая очистку адресного кэша были сделаны, за исключением перезагрузки серверов (не могу я их дергать за каждым надом, они в работе) - ессно, с нулевым результатом. Ведь по словам симантека - и баги такой не уже давно. Сто лет как пофиксили. А поди ж ты. Разъе... гильдяи, нет слов.

Не был никто выключен. Отвечаю. Просто изменил имя группы и малое время спустя пришел песец. И серверов других версий нет. Я говорю - в моем случае, симантеку валить вину не на кого. Два сервера, одна группа, одна версия. Только сав. Ни отчетов, ни файрвола. Единственное, что приходит в голову - раньше группа называлась по вражески, а переобозвал я ее по русски. Нуууу, извините.
Автор: psina
Дата сообщения: 08.10.2006 17:11
Приветствую

у кого работает данная приблуда. объясните, как настроить, чтобы все апдейты, включая вирусные базы, обновления клиентов и серверных частей заливались на сервер, далее раздавались клиентам?

что сделано:
для группы в конфигурации лайв апдейта выставлено Internal live update server, в качестве самого сервера указано \\server\antivirus тип соединения LAN

далее все в тех же All Task в Virus Definition Manager стоят галки :
-Update virus definition from parent server
-shedule client . . .
-do not allow to modify LiveUpdate shedule
-Download product updates using LiveUpdate

на сервере, используя LiveUpdate Administration/luadmin.exe
закачаны обновления выставленные по умолчанию после установки.
Указана папка, доступная по сети \\server\antivirus

Вобщем при нажатии на клиенте кнопки LiveUpdate все проходит без ошибок, НО почемуто дата вирусной базы остается вчерашняя, да и версия самого клиента 10.0.0.359
в чем ошибка?

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768

Предыдущая тема: Не могу вывести компьютер из домена


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.