» Symantec Antivirus Corporate Edition (часть 2)

PumaASB
Не, нефига. Если бы один из серверов был отключен, то симантек бы заругался. И оставил отключенный сервер в старой группе. Да и группы были бы не одинаковые. Я пробовал. Косяк какой то. На тестовом домене так и не смог такого добиться. Сколько не старался. ( Правда он на два порядка меньше.

alx19


Цитата:

SAV 9.0.5.1100 и SAV 10.1.4.4010 с самыми новыми базами
пропускают вирусы при запуске следующего файла зараженного
трояном Downloader-AWA

Скачайте файл с файлом в архиве rar.

Сегодняшними обновлениями находит и удаляет, а вот еще в пятницу - нифига. Две недели назад я тоже получил удовольствие вылавливания этой дряни руками и задумался о симантеке. Например DrWeb на тот момент и ловил его и описание эго действий имел, как и первой версии, так и этой модификации, вышедшей в августе/сентябре. Кстати симантек эту заразу обозвал еще одним способом -W32.Areses.Q@mm

askuzmin

Цитата:

W32.Areses.Q@mm

Угу. Тоже несколько машин упали.

Ребята кто использует 64bit-ные сервера?
Интересуют два вопроса:
1. Установиться ли SAV 64bit (тот который лежит в папке SAVWin64 полного исошника) как сервер?
2. Установиться ли консоль управления Symantec System Center на 64bit-ную систему?

PS просто к сожалению нет под рукой 64битных машин
А вопрос идет о покупке и успешной работе в т.ч. и SAV сервера и консоли именно на 64битных системах.

askuzmin
mkolesov

Об этом имеете возможность почитать здесь ( 3 страницы ) :

http://www.anti-malware.ru/phpbb/viewtopic.php?t=1228

Вывод из прочитанного: Пропуск SAV - W32.Areses.Q@mm - не криминал.

Развернул сервер Antivirus на сервере netware, с помощью SSC.
Процедура прошла успешно, и как положено, в SSC "появился" новелловский сервер.Я "сделал" его первичным.
Затем проделал еще раз эту процедуру, но уже на другом netware сервере, находящимся в одном дереве и контексте с первым.
Сервер "встал" успешно, но вот из SSC его не видно. И соответственно, управлять им нет никакой возможности.
Процедура установки была выполнена так, как описано в прилагаемой документации.
Пробовал устанавливать как английскую, так и русскую версии.результат тот же.
Помогите разобраться ! Заранее благодарен !

Приветствую.

Надыбал тут в соседней теме. Может кому надо, а то инфа в шапке уже не совсем актуальна:

Symantec AntiVirus Corporate Edition 10.1.4 Maintenance Patch (10.1.4.4020) Russian
Release Date: September 22, 2006
OS: Windows all versions
File: SAVCE_10.1.4.4020_AllWin_RU.zip (2,050,572 bytes)
_http://rapidshare.de/files/35213874/SAVCE_10.1.4.4020_AllWin_RU.zip.html

alx19

Цитата:

Вывод из прочитанного: Пропуск SAV - W32.Areses.Q@mm - не криминал.

Не понял. Т.е. ты считаешь, что так и должно быть, потому что это нормально? Или что это нормально только для симантека?

all
У всех при экспорте угроз в цсв он по дефолту разделяет поля запятыми или только мне такое счастье?

[/b]2all:

У меня заразились W32.Areses.Q@mm только пара машин, да и то с версией 10.0.0.359. Имхо, дело в этом.

Как у кого? Какие версии были?

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2006050314483048

Кажется вышел (или на грани выхода)

SAV 10.1.5.5000

Добавлено:
Dostoevsky
Пока официального подтверждения от Symantec, что патч 10.1.4.4020 RuS был им выпущен я не нашел. Соотвественно ставить не буду - вдруг это чья-то шутка. Поставишь - через неделю формат всех дисков на всех компьютерах

У меня W32.Areses.Q@mm пропускал SAV 10.1.4.4010 + самые новые базы.

mkolesov
Это ненормально что SAV пропускал. В то же время данный штам этого вируса 2-го октября распространялся только по России. А Symantec не раз говорила о том что не желает поддерживать Россию.
(по скорости выхода патчей к русским версиям это также видно)
Только после того как я отправил в Symantec зараженные файлы этим вирусом - они выпустили необходимое обновление антивирусной базы.

TrendMicro OfficeScan еще несколько дней после 2 го октября не видел этот вирус.

McAfee VirusScan 8i Enterprise удалял его еще 2-го числа за счет более качественной чем у SAV эвристики.

Dostoevsky, нефига. 10.1.4.4000 прекрасно падает.

alx19,
Цитата:

Symantec не раз говорила о том что не желает поддерживать Россию.

- ты это серьезно? Мне тут из московского симантека все уши пропели про то, как они нас любят...

2alx19:

У них в разнобой работают программеры и технические писатели . Сам же ссылочку прислал, где 10.1.5.5000 уже есть.

Хоть я и поставил 4020 - и все работает и обновляется, но подумал-подумал, да и переставил на 4010.

Действительно, стремно как-то .

mkolesov

Любовь московского Symantec пропорциональна продажам лицензионных продуктов Symantec в Москве.
В то же время SAV разрабатывают не в Москве, а в США. А вот разрабам Россия неинтересна толком.

А можно узнать твое мнение, почему для того чтобы ОС не падали из-за пропущенных вирусов, ты не урезаешь права пользователей с админов до пользоваталей при которых возможность модификации содержимого папки Windows невозможна?

alx19, видишь ли в чем дело... может разрабатывают то его и в штатах, но вот на русский язык переводят, сердцем чувствую, объяснить не могу - в Москве. Ну, или при непосредственном участии московских перцев. Я не зря про цсв файл спрашивал. Есть такое мнение - гвоздь бы им в голову забить за их локализацию.

Так я уже отвечал - мое мнение по данному вопросу мало интересно сотрудникам компании.

mkolesov

Любая локализация - риск внести глюки в продукт. Если эти глюки будут существенными, платить неустойку будет американский Symantec, а не российский. Поэтому руссифицируют в США (возможно с помощью профессиональных переводчиков). Но делают они это недостаточно хорошо, так как прибыль от продаж в России слишком мала.

Кстати про исправление проблемы с дупликацией о которой ты спрашивал недавно, вроде написано в release notes к SAV 10.1.5.5000.

А ты никогда не задумывался о переходе на McAfee VirusScan 8i Enterpse + patch 13 + MASE + Engine 5100? Просто работа SAV 10.1 на относительно слабых и даже не очень слабых компьютерах(даже на Celeron 2000 и 512 мб. памяти) вызывает излишний дискомфорт пользователей по моему мнению. Тормоза избыточны. Это под Windows XP. Удивляет что под Windows 2000 тормоза приемлемы.
В то же время под McAfee тормоза Real-Time более чем приемлемы.
Опять же мировое агенство Gartner опубликовало отчет в августе 2006 года согласно которому корпоративный McAfee лучше Symantec SAV
http://www.anti-malware.ru/phpbb/download.php?id=381

Можно ли у тебя узнать делаешь ли ты какие-нибудь специальные настройки в ОС, перед установкой SAV 10.1 чтобы Real-Time SAV так не тормозил ПК или у тебя все компы достаточно мощные чтобы не заморачиваться об этом?

Помогите советом. SAV 10.1 с завидной периодичностью обнаруживает какой-нибудь троян (последний раз Downloader) в качестве Original location указывая следущий путь -C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp, удаляет этот троян, потом через секунду снова обнаруживает этот же троян в этой же папке и снова удаляет его и так продолжается до бесконечности, пока в службах этот процесс вручную не остановишь. Кто знает в чем дело помогите

Такое впечатление что Real-Time SAV 10.1.4.4010 тормозит больше чем
Real-Time SAV 10.1.0.401 под Windows XP.
Зато в SAV 10.1.0.401 глюков больше.
То есть не 10.1 тормозной, а 10.1.4.x релиз - тормозной .

Скорее бы вышел SAV 10.1.5.5000.

alx19

Цитата:

Любая локализация - риск внести глюки в продукт.

Поэтому я и спрашивал - как обстоят дела с цсв файлами у других. Потому как мне не известно, является ли это дело косяком локализации или оригинальной багой от симантек.


Цитата:

Кстати про исправление проблемы с дупликацией о которой ты спрашивал недавно, вроде написано в release notes к SAV 10.1.5.5000.

Сделай доброе дело - ткни пальцем.


Цитата:

А ты никогда не задумывался

Задумывался. И не один раз. Очень может быть, что этим все и кончится.


Цитата:

Можно ли

Мне проще. Машины мощные.

eesti
Это спецпапка сава для временного хранения зараженных файлов. Добавь ее в исключения.

У них была такая бага еще в восьмерке, вроде пофиксили, но им верить...

mkolesov

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2006050314483048

Maintenance Release 5 (MR5)
This section describes the fixes in Maintenance Release 5 of Symantec AntiVirus 10.1 and Symantec Client Security 3.1.

Installing Symantec AntiVirus 10.01 server to an existing server group from a command line creates a duplicate group
Fix ID: 1-4OXYCN
Symptom: Duplicate server groups are created when installing a Symantec AntiVirus 10.1 server to an existing server group from a command line installation.
Solution: The custom action ValidateServerGroup is not executed while using the qb! switch, for which the UILevel is 3. The fix is to update the settings for the custom action ValidateServerGroup to make it run at UILevel 3.


Добавлено:
Такое впечатление что у Symantec каждый раз так. Сначала выпускают релизы с большим кол-вом глюков и тормозов. В последних релизах тормоза становятся приемлемыми и глюков становится существенно меньше. Удивляет правда что даже в финальном 10.0 релизе версии 10.0.2.2021 глюков также хватает (не считая недостатков в способности ловить spyware), что хочется переходить на 10.1 или на антивирус от другого вендора так как в первых релизах 10.1 все повторяется как было в первых релизах 10.0
А по поводу тормозов - они наверное просто ориентируются на организации, которые часто обновляют свои компьютеры.

alx19
Это я читал. Но. Во-первых - не было установки из командной строки. Во-вторых - какое-то время никаких фантомных групп не было. В-третьих ValidateServerGroup - это что, как и зачем? По этому словосочетанию на симантеке только одна ссылка - эта.

Поставил на тестовой машине SAV 10.1.5.5000 Client Unmanaged
Cel 1,7; I845PE, 1024,... Win XP SP2
почему-то пошли ошибки:

Тип события:    Уведомление
Источник события:    DrWatson
Категория события:    Отсутствует
Код события:    4097
Дата:        13.10.2006
Время:        12:45:31
Пользователь:        Н/Д
Компьютер:    
Описание:
Приложение C:\Program Files\Symantec AntiVirus\DoScan.exe вызвало ошибку Ошибка в 13/10/2006 @ 12:45:31.531 Вызвано исключение c0000005 по адресу 7C918FEA (ntdll!RtlpWaitForCriticalSection)

Тип события:    Ошибка
Источник события:    Application Error
Категория события:    Отсутствует
Код события:    1000
Дата:        13.10.2006
Время:        12:45:07
Пользователь:        Н/Д
Компьютер:    
Описание:
Ошибка приложения doscan.exe, версия 10.1.5.5000, модуль ntdll.dll, версия 5.1.2600.2180, адрес 0x00018fea.

alx19
Может у тебя какие локальные нестыковки.
У меня SAV 10.1.5.5000 Client Unmanaged на тестовом зоопарке (5 машин) все ок.

Подскажите пожалуйста

Вопрос по FAQ:
Q:Сервер обновляет базы раз в неделю, а с сайта можно скачать новые ежедневно. Как заставить обновляться?
Вот ответ из FAQ:
A:Проще всего написать .BAT файл, который будет по фтп брать новый апдейт и ставить его на сервер. Зашедулить ежедневно. Ниже пример - проверьте у себя наличие wget (или поменяйте скрипт), название папки с антивирусом, временной папки и сервиса - от версий зависит
[текст файла]
ИЛИ настроить LiveUpdate Administrator

мой вопрос:
КАК именно нужно настроить LiveUpdate Administrator, чтобы он обновлялся ежедневно?
У меня настроено получать обновления каждый день, но происходит следующее:
он заходит на сервер и скачивает лист апдейтов каждый день, в указанное мною время, но в этом листе пишется что "Описания вирусов не устарели", хотя на самом деле они устарели (на сайте Symantec описания вирусов декларируются более новые).
Таким образом, он может несколько дней писать "обновления не старели", а потом взять и скачать обновление.

То есть мне нужно настроить его так, чтобы он скачивал обновления ежедневно, а не еженедельно.

Версия SAV 10.0.2.2020, управляемые клиенты.

fedmun

Как только ОС загрузилась, я начал копировать с DVD на USB-HDD 6 файлов по 1G.
проверка по wondows tasks (ctrl+alt+del) показала что процесс DoScan (проверки важнейших файлов сразу после старта ОС) на 0% грузил проц, но сидел в памяти. Пока происходило копирование, появились сообщения об этих ошибках, DoScan выгрузился из памяти, но все остальное продолжало работать нормально.

Еще меня удивляет что с любой версией SAV на любом компьютере, когда копируешь c одного места в другое например exe файлы по windows tasks (ctrl+alt+del) процесс Rtvscan.exe ест 0% CPU.
Если вместо SAV использовать корпоративный McAfee VSE8, процесс McShield ест например 20% CPU.
то есть получается, что под SAV понять, что проверка идет в этом случае можно только по большим тормозам, чем когда антивируса нет.

alx19

Цитата:

копировать с DVD на USB-HDD 6 файлов по 1G

USB-HDD у меня нет, а вот 2 DVD переписались на машину с SAV без проблем (в смысле логи чистые)

Кто тут жаловался на зацикливание при проверке собственных же временных файлов? У меня на одной машине то же самое. Ай молодца, классную софтину написали.

alx19, так все-таки, что это за параметр - ValidateServerGroup и что с ним делать?

fedmun

А можно у тебя узнать считаешь ли ты SAV 10.1.5.5000 избыточно тормозящим ПК или твои компьютеры слишком мощны чтобы думать об этом ?

Возникает ли у тебя желание перейти на McAfee или TrendMicro учитывая что глюков в SAV 10.1 слишком много или ты пока только тестишь 10.1.x.x, а в работе используешь другой АВ?

mkolesov
ответить на такой вопрос сходу не смогу

alx19
У меня стоит солянка (10.0.1.1007, 10.1.4.4010). Но все EN.
Сам SAV использую уже года 3.
По тормозам к нему у меня вопросов нет, визуально не могу сказать, что он все стопорит.
Хотя машины стоят разные. Насчет перехода - пока не думал.
На почтовом шлюзе стоит KAV - и не раз были ситуации когда Касперский вирус находит, а SAV молчит. Как и наоборот (был вирус, который Касперский стал детектить, кода я им его отослал 3-й раз за 3 дня )
McAfee ковырял пару недель - но желания перейти пока не возникло.

fedmun, сделай доброе дело - проверь импорт в ексел цсв файлов. В русской версии косяк под названием "вредоносные, не вирусы" - кто знает, тот понял. Нет ли такой беды в английской. Уже интересно - оригинальный косяк или локализаторы постарались.

Поставил на новейший ноутбук
Intel Core 2250 Dual-Core, 1024 DDR2, 100Gb 5400, Nvidia7300...
XP SP2
SAV 10.1.5.5000 ENG
Это просто кошмар. Какие же тормоза Real-Time.
Хотя думаю, что SAV 10.1.4.4010 тормозил бы еще больше,
а SAV 10.1.0.401 меньше.

В то же время на моем домашнем компьютере
3Ghz P4 FSB800 1mb; i915; 2G mem; Seagate 7200.10 320G; 7600GT PCI-E
XP SP2
тормоза SAV 10.1.5.5000 вполне приемлемы - но все равно хотелось бы меньших тормозов.

Удивляет при этом, что если ставить даже на
Celeron 850; 384mb SDRam,...
но с
Windows 2000 SP4,
даже SAV 10.1.4.4010, - работа вполне комфортна. Real-Time тормоза более чем приемлемы.
Отключение в XP SP2 всех визуальных эффектов ситуацию с тормозами не улучшило (дистрибутив XP SP2 Pro - лицензионный)

Я уже начинаю думать, что это Microsoft строит козни Symantec, за то что Symantec подала на нее в суд за какие-то Veritas-подобные нарушения патентов в Vista и чтобы стимулировать продажи антивируса от Microsoft. Чтобы это проверить надо поставить
XP SP1 и на него поставить SAV 10.1.5.5000, тогда еще Microsoft не могла мешать работе SAV 10.1.
Опять же при каждой загрузке при любых версиях Symantec 10.0(1), XP SP2 1раз сообщает о том что SAV отключено.

Это просто спасение, что можно в XP сделать настройку
Свойства: экран (правая кнопка мыши на раб. столе -> свойства) - > оформление -> эффекты -> отключить - Применить следующий эффект для меню и подсказок (верхняя галка). Тормоза под SAV интерфейса XP становятся меньше.

Хотя можно еще сидеть на SAV 10.0.2.2021 - где даже под XP тормоза вполне приемлемы, но как пишет мировое агенство Gartner в отчете за август 2006 года
http://www.anti-malware.ru/phpbb/download.php?id=381
возможности SAV 10.0.(2.2021) по защите от spyware разочаровывают.
Symantec утверждает, что подправила этот момент в версии 10.1 - но такие тормоза под XP - ни в какие ворота.

Ставил на ноутбук
Intel Core Dual-Core, 1024 DDR2,...
XP SP2
SAV 10.0.2.2021 ENG
Тормоза Real-Time все равно неприемлемы.

Также Gartner пишет в отчете за Август - 2006 что по его мнению, у McAfee сейчас лучшее корпоративное решение на рынке.

По моему мнению Real-Time новейшей версии McAfee
VirusScan 8i Enterprise + patch 13 + AntiSpyware Enterpise Module + Engine 5100 + новейшие базы (8i версию McAfee доделывает с 2004 года, а Symantec SAV 10.1 доделывает с марта 2006 года)
тормозит меньше(тормоза более чем приемлемы даже на старых компьютерах) чем Real-Time SAV 10.0, и существенно меньше чем Real-Time SAV 10.1.x.x
В то же время шпионские программы McAfee VSE8 + MASE признанно ловит лучше чем SAV 10.0, но вероятно хуже чем SAV 10.1.
Также проблем с этой поставкой McAfee меньше чем с текущими релизами SAV 10.1

Похоже McAfee VSE8 стоит того, чтобы рассмотреть его в качестве варианта для перехода с SAV10.x Это правда не мешает Symantec лидировать по продажам своих продуктов среди всех антивирусных вендоров.

Кстати попробовал только что вышедший
McAfee VSE 8.5 beta IV + AntiSpyware Module 8.5 Beta IV (а релиз McAfee VSE 8.5 ожидается в ноябре 2006) - тормоза больше чем у SAV 10.1 - любого релиза.
Так что вполне возможно что McAfee VSE 8.5 первых релизов будет также как первые релизы SAV 10.1 очень сильно тормозить - а со временем и McAfee и Symantec выпустят VSE 8.5 и SAV 10.1 релизы, которые будут приемлемо тормозить и работать достаточно безпроблемно.

Есть правда еще вариант - первые релизы SAV, Symantec оптимизирует для работы на современных компьютерах в первую очередь, а более подние релизы той же серии - под более старые компьютеры.