» Symantec Antivirus Corporate Edition (часть 2)

AndrewASB

Цитата:

А может и в SSC проблема

SSC тоже поставил 10.1.5.5000, все равно не помогает. Ладно буду дальше копать. Если что накопаю, напишу... Если кто еще че подскажет, буду рад.

FreemanRU
Ага! Вообще то и симантек - 1583. Я запамятовал, что сначала у меня опция стояла (я ее откл. и продолжил далее сканить) кидать в карантин и два файла съелись.

AndrewASB, FreemanRU не мой файл, в моем 1640 было. Но это уже мало кому интересно. Вам моих ежедневных паков мало? Просканьте оба моих пака.

mkolesov
Нам хватает - разве мы говорили, что мало? Все равно макака и симантек примерно одинаково сканят.

mkolesov

Цитата:

не мой файл, в моем 1640 было

Дай линк.

PS
pack2.rar содержит в себе какую-то фигню, 1 ехе и 1 php, но не 123 вируса.

AndrewASB

Цитата:

Все равно макака и симантек примерно одинаково сканят

Все антивирусы сейчас примерно одинаково сканят. Вопрос в другом - КАК они это делают и насколько удобно ими управлять, на сколько много съедается ресурсов, на сколько глючный, что еще можно сделать для защиты, кроме как просканить файлы и т.д.

ЗЫ По поводу глючности.... Не могу не сравнивать McAfee и Symantec. Вышла позавчера 8.5, а вчера microsoft выпустила новую заплатку, после которой FEAD (упаковщик инсталяциооных файлов) не может запустить setup антивируса автоматом после распоковки. Хотя в ручную всё запускалось, через ePo (это сервер) тоже. Так вот McAfee ОТОЗВАЛА ВЕРСИЮ. И сегодня ночью выложила новую, с новым установщиком. А Symantec.... клипает версии за версиями. Даже если есть более серьезные глюки приходится ждать долго и нудно. Но это скорее оффтоп.

FreemanRU
Да. С Симантеком по многим вещам каши не сваришь. Правда у меня работает так, что и вмешиваться не нужно, но все админы нормально настраивают.
Конечно, управление там устраивает. Но мне из менеджер из макака.ру говорил, что у них есть мультивендорное решение, которое, типа, и симантеком рулит. Это так? Если да, то что это?

Добавлено:
ePo?

парни, чот нифига у меня не получилось удалить по интрукции. ещё в самом начале не нашёл в сервайсах сервисов INDEL PDS и DEfenition Watcher. Ну не было их ..
ну это ладно. Всё остальное прошло ровно по схеме до удаления symantec shared из common files. Вобщем-то один из dll задействован. Хотя всё поудалял, и перегрузил комп. Ещё такой интересный момент, когда кликаю на папку где находится symantec он у меня выдаёт окошка настройки, и начинает что-то такое подготавливать. Как это вообще происходит мне не понятно...
А вообще сумантек гавно *баное, потому что... ну незнаю, конечно наверное у меня руки кривые ... вобщем когда я пытаюсь установить вторичный сервер через консоль, на чистый комп, он мне санчала выдаёт что нет клиентской части, я её устанавливаю, он мне говорит что есть клиентская часть и её надо удалить ..... .писец ... ну ладно удаляю, после этого сервак ставится и всё, он не работает, в консоли с воскл. знаком. Дальше сумантек не удалить из установки и удаления. ТОлько ручками. И вот и ручками тоже не получается. Одна и таже фигня уже на двух компах.

поплакался в жилетку так ))

knackita


Цитата:

ещё в самом начале не нашёл в сервайсах сервисов INDEL PDS и DEfenition Watcher

А ты вообще то перед установкой сервака его чем сканил на вири? Сетка у тебя без вирей? Ей-богу - ну все нормал всегда получается. Или дистрибут нафиг битый или с вирем. Сколько ни ставил - ну все тип-топ.

Наверное, чтоб не сильно наша конфа забивалась, придется выложить материалы курса по Симантек от самих симантеков. Это 66 метров. Залью на сл. неделе. Ей-богу, много вопросов снимет. Формат pdf. Всего, наверное, более 1000 страниц пояснений и лабораторных работ. Это материалы с курса авторизованного обучения.
Курс рассчитан на работу с виртуалками, которые я, понятно, не смогу выложить.

Я юзал VMware 5.5, но можно брать и мелкософтовскую - она полегче.
Виртуалки:
•    Windows 2000 Pro - 1;
•    Windows 2000 Std server - 2 (сюда же нужно ставить и SQL server т.к. развертывается Reporting Server);
•    MS- DOS - 1;
•    Novell Netware 5.1

Компьютеры объединяются в сеть через адаптер VMNet 1 - Subnet 192.168. 200. VMNet 8 нужно отключить в сетевых соединениях. В сервисах отключить сервисы VMware DHCP и DNS.

Аппаратные требования по минимуму: компьютер от Celeron 2.4 GHz, RAM 1 Gb.
Симантек - 10 версия. Под Новелл, если у кого 4-ка, нужен NAV 7.61 Corp.

Если дос и новелл не заморачивают - в печь их.
Вот, правда, не знаю можно ли, но не худо бы все это добро куда-нить на самом ру-борде положить.

FreemanRU
http://fojob.narod.ru/VIRUSES.rar Оно тебе надо? Я же русским языком сказал -
Цитата:

Да, все это старье страшное, но сам факт.

Цитата:

pack2.rar содержит в себе какую-то фигню, 1 ехе и 1 php, но не 123 вируса.

А кто сказал что там 123 вируса? Я?! Это пароль на архив - 123. В архиве очередные два файла. Второй день симантек пропускает по два файла. Эту самую "фигню".

AndrewASB

Цитата:

Конечно, управление там устраивает.

Охренеть. Дайте два. Управление?! Ужоснах. После касперского от симантековской консоли у меня легкая тошнота. Нет, серьезно, вот у тебя 500 машин в группе, как ты переходишь на нужную тебе машину? А если в группе половина машин не включена и скл-сервак не поднят - сколько у тебя занимает получение журнала?

knackita

Цитата:

ну незнаю, конечно наверное у меня руки кривые ...

У меня тогда тоже... я со своими фантомным группами не знал, что и делать. С теми самыми, которые они каждую версию фиксят.

AndrewASB

Цитата:

Наверное, придется выложить материалы курса по Симантек от самих симантеков

Это было-бы здорово. Очень хочется...

fedmun
Поддерживаю.

mkolesov
Насчет журнала есть такое. Только я его просто файлом беру тестовым, а см. у себя на компе тем-же клиентом. Неудобно, однако. А смотреть на сервере.....уууууууууууу

У самого меня фантомных групп не было как-то. Но вообще есть такое. Однако, сильно много телодвижений, чтоб удалить....

...недостатков - море.

Однако, в эксплуатации дешевле. Хотя за "дешево" другим платишь.....

Потому и см. как, что у других вендоров. КАВ не рассматриваю, но не параметрам рулёжки. Свои заморочки есть. Хотя бы и потому, что с терминальными серваками он отвратен. И серваки новелл 4.х тормозит сильнее и много чего другого.


Цитата:

вот у тебя 500 машин в группе, как ты переходишь на нужную тебе машину?

В серверной группе у меня порядка 1100 компов. Вернее, сейчас, на 2-х с балансировкой. Но как то проблем найти нету. Или отсортируй или используй локальный поиск. А на филиалах в др. городах если см. так там их просто меньше.

Но о том, что заморочек и кривизны есть у SAV - спорить не буду. Что есть, то есть.

Вот, пока, интригует меня макака. Даже при том, что тысячи компов, если что, переводить придется.

Добавлено:
fedmun
Выложу обязательно после выходных. Не хотел бы - молчал бы в тряпочку.
Я просто помню и знаю как что добывать из знаний нужно. Иногда на ерунду, которую просто знать нужно столько времени тратишь.......


Я вообще то не фанат SAV. Просто, когда нас жареный вирус клюнул, он у меня и был развернут. Ну а дальше - понятно.

Залить сегодня, что обещал, не смогу - браузером тяну Symantec IM Manager (радость безопов). Еще долго.

AndrewASB

Цитата:

Насчет журнала есть такое.

Там дохрена таких косяков. Я поначалу было стал их в файлик собирать, чтобы в симантек послать, потом плюнул - не до кастомеров им, они фантомные группы фиксят от версии к версии. Я так понимаю, что они не разбираются в причинах - затыкают дыры, а когда они вылазят снова - затыкают снова. Неприятно.

Я говорю, после касперской консоли, на симантековскую смотришь как на недоразумение.


Цитата:

Но как то проблем найти нету

Знаешь, для меня, симантек - аналог одинэски. Первое, что многие пытаются делать в одинэсе, это отсортировать по столбцу, счелкнув по заголовку. Получают болт. Тут та же история. Заходишь в каспер, набираешь первые буквы компа - вуаля. В симантеке болт. Проблемы с компом? Контекстное меню - подключиться к рабочему столу... и таких плюшек - море. Работать приятно. Дохрена мелочей разных, хоть тот же хелп взять. У симантека русский хелп - я плакалъ. Прилепили хрен знает от какой версии и не чешутся. Или локализаторы мышей не ловят. Я уж не помню, в каком месте, но пришлось поставить английскую версию, чтобы понять - чего они такого подразумевали при переводе.

Кстати, файлик мой проскань - есть подозрение, что товарищ нагнал. Я проверил сто файлов из пака - по процентам не получается.

globus_ussr
AlexSystem


Цитата:

подскажите как отправлять вири в симантек ?

https://submit.symantec.com/retail/

AndrewASB


Цитата:

Вон макаки говорят, мол ихний EPO - мультивендорный и симантеком могет рулить.

McAfee EPO рулить SAV 10.x не умеет. Symantec сам с трудом его рулит
Но SAV 9.x (про 7.x/8.x не знаю) - умеет.


Цитата:

Ну, я вообще не знаю, как и что у вас там настроено в SAV и как вы его юзаете.

Сверхдолгая (например 60 секунд на файл) обработка каждого зараженного файла не в режиме защиты от сбоев наблюдается у SAV 10.x.
У SAV 9.x и других вендров - намного быстрее.


Цитата:

Файло на какой сайт залить?

На rapidshare, но это не всех устроит. Зато потом можно будет перезалить.


Цитата:

Вот, пока, интригует меня макака. Даже при том, что тысячи компов, если что, переводить придется.

В отчете за август 2006 года мировое агенство Gartner в обзоре ведущих корпоративных антивирусов присудило первое место Mcafee.
У McAfee VSE8 - лучшая консоль управления среди всех. EPO. Кстати например 8000 хостов в одной консоли.
VSE8 работает под 2k/xp/2k3 (как и SAV 10.x) То есть если на компьютере (даже P1/2 с достаточным кол-вом памяти) будет работать 2k, то значит и McAfee VSE8 там работает без глюков. В то же время тот же SAV 10.1.5.5001 явно глючит на старых машинах (полностью удовлетворяющих его системным требованиям). Как например - не стартует частенько RtvScan при загрузке ОС, а при завершении работы ОС, SAV сообщает о зависании собственных сервисов...
Последний McAfee VirusScan 8i Enterprise + patch 14 + AntiSpyware Module 8.0 + Engine 5100 доделывают уже 2 года.
Приемлемо (IMHO незначительно) нагружает даже очень старые компьютеры на которых достаточно памяти.
На днях вышел VSE 8.5 + AntiSpyware Module 8.5.

А вообще складывается впечатление что когда выходит новая линейка SAV, глюков с централизованным управлением слишком много. Обновления очень часты и в большинстве случаев перед их установкой требуют полной геморойной деинсталяции текущей установки (особенно когда компов сотни и более). Многие глюки (как и тормоза) ближе к последнему релизу линейки исправляются, но все равно в последнем релизе 10.0 линейки 10.0.2.2021 их хватает, а больше уже 10.0 линейку править вряд ли будут. С другой стороны, у каждого антивирусного вендора, скелеты в шкафу. Слишком сложны их продукты.


mkolesov


Цитата:

Кстати, о девочках, какого ху... чего он там делает столько времени?!

Я истратил очень много времени чтобы это узнать. Даже думал что у меня просто SAV 10 глючит (в смысле что настраивать не умею).
Только один администратор сказал мне, что когда SAV 10/10.1 находит вирус - тщательно ищет все следы вредоносной деятельности вируса, а не просто удаляет/лечит зараженный файл (сканирует реестр, все возможные точки входа и т.д.)
А это например 30 секунд 100% загрузки CPU современного ПК на обработку каждого обнаруженного зараженного файла.

Человек, который занимается его продажей (директор по продажам продуктов Symantec и TrendMicro самой крупной в России фирмы), который вроде как многое знает по поддержке, говорит что по его мнению тот же TrendMicro OfficeScan 7.X, делая проверку зараженного файла очень быстро, также удаляют следы вредоносной деятельности вирусов из системы.

Напрашивается вывод, что Symantec просто пудрит пользователям SAV мозги. Чтобы они думали, что несмотря на не достаточно качественную работу, SAV лучше всех удаляет следы вредоносной активности вируса в системе, раз так долго это делает.

А вообще по идее тщательное удаление следов деятельности вируса из системы должно требовать много времени если делать это как следует и возможно что SAV 10.х это в какой-то степени делает на самом деле, а остальные антивирусные вендоры возможно только лишь говорят о том что они это делают.

На Западе, SAV - самый продаваемый корпоративный антивирус. А там никогда не бросают деньги на ветер.
То есть SAV 10.x возможно, что для Запада самый добротный (самый неочковтирательный) антивирус из всех. Но даже его лучше усиливать антивирусом на интернет и почтовом шлюзе - а если это сделать отечественным антивирусом - то и в России он может придтись по сердцу (если не заставлять SAV 10.x пытаться защищать устаревшие компьютеры - которых в западных фирмах, у которых есть деньги на SAV 10.х скорее всего просто не используют, а если и используют, то ставят SAV 8.x/9.x).


Цитата:

мое руководство сидело на наве

Мне тоже не нравится NAV. Но все же интересно узнать на сколько новая версия NAV у них стояла (например с сентября 2002 года новой версией считался NAV2003), на сколько часто они обновляли базы (все ли было в порядке с лицензией - может лицензия кончилась и базы перестали обновляться) и на сколько часто сами нажимали на кнопку Liveupdate с целью обновить программники NAV. И наконец, проводили ли они систематическую полную проверку системы на вирусы? (Symantec для вирусов стартующих из России выпускает сигнатуры только когда они доходят до станций их отлова на Западе)


Цитата:

мимо симантека fojob.narod.ru/pack2.rar , 123.

Проверил 2 декомпрессированных файла с помощью SAV 10.1.5.5001 базы 01.12.06
Ничего не видит.
Зашел на сайт
www.virustotal.com
Отправил им через правое верхнее окно.
Многие, в том числе McAfee - считают, что файл заражен.

Было бы очень интересно знать каково происхождение вируса. Если российское - так Symantec уже говорила, что болт забила на Россию. То есть надо ставить KAV на почтовик и на http unix шлюз по хорошему, если пользоваться SAV в России для компьютеров имеющих полный доступ в инет.


Цитата:

alx19

Цитата:при завершении работы Windows 2000/XP, иногда появляется сообщение о том, что
модуль RtvScan.exe завершился с ошибкой.

Да, есть такая беда. Руки не дошли заняться. В чем дело - не знаю. А теперь уже и не интересно.

+ к этому на части машин (даже самых опять же современных) с SAV 10.1.5.5001 иногда при завершении работы ОС появляется сообщение - Missing Virus Definitions - в качестве ошибки.

alarun
Kanev75
knackita


Цитата:

Есть проблема...

Ответ можно попробовать поискать здесь:

http://service1.symantec.com/SUPPORT/ent-security.nsf/97ea10cbb1d58e658825712600424e15?Open&prod=Symantec%20AntiVirus%20Corporate%20Edition&pcode=sav_ce&ver=10.1&miniver=sav_ce_10.1&dtype=corp&tpre=&tdir=&src=ent


Запароленный rar с зараженными com и exe файлами com_exe.rar
Пароль: 1
выслал на
sav10_mail@mail.ru

Пароль на ящик - sav10.

нашёл интересную фитчу в базе знаний.
можно вот таким ключом создать лог инсталяции:

msiexec /i "<CD drive>\ROLLOUT\AVSERVER\SERVER\WINNT\Symantec AntiVirus.msi" /l*v! C:\log.txt


А как создать лог деинстала (msiexec /uninstall)? А то он у меня при удалении останавливается на ~70% сбора сведений.

AndrewASB
Сетка сейчас полностью под симантеком, сервер работает только на одном сервере, и вся заморочка у меня как раз и началась при попытке создания вторичного сервера и в итоге перемещения туда пользователей, чтобы реинсталлировать текущий сервак, полностью.

НАсчт материалов - было бы супер. Ждём.

knackita у меня анинстал останавливался когда не было доступа до моего профиля и профиля all users (appdata, мои документы)

alx19
Признаюсь честно. Не было у меня каких то особых глюков с SAVю И с сортировкой все нормал. И с вторым сервером. Правда, я левыми версиями не пользовался. А может, просто потому, что так бывает. Вот пошло все сразу и все на том - темная электрическая сила.
А вообще, как я понимаю, симантеки слишком много хотели сразу в SAV закинуть и рулеж, типа на SESA. Только это все у них как то через ж........алко не получилось.

Рулить же с 1 консоли много компов и в SAV не вопрос - у меня сейчас около 16 000 компов. Ну, порты, понятно, надо было подстроить. С другой стороны, я все же решил не заморачиваться на такое к-во. В конце концов, облконторы обучены на курсах. Вот пусть и рулят своими конторами.

Насчет мультивендорного решения от макак, мне манагер из макака.ру говорил:
"По идее McAfee, мультивендорным «рулением» занимается McAfee Policy Enforcer. Последняя версия - 2.0 Но рулить можно только при соответствующем построении сети (Cisco NAC или другие управляемые маршрутиризаторы, поддерживающие этот протокол). Развернуть это для тестирования – задача сама по себе Большая!"
Не понял.... Мне и в SAV порты пришлось открывать.... Что ж тут супер сложного такого. Ну время нужно....да....и что? Policy Enforcer - это наверное от ePo?
У меня, вообще, стандарт - SAV 9.0.5 - так, что все нормал.

Сегодня посм куда заливать. Если на рапидшару - на 2 части нужно бить. Мне тогда 2 дня лить туда. Может на какой filefactory...
Ну а завтра вечером уж - залью наших маленьких друзей.

А вот консоль КАВ все же хуже .... Конечно, далеко не др.веб, но.....

AndrewASB

Интересно, а с учетом того что версии Engine у SAV 9.0.5.1100 и SAV 10.1.5.5001
одни и те же, можно ли быть уверенным в том, что качество ловли обычных вирусов
(а не spyware, adware,...) у них одно и то же ?

alx19

Никаких траблов пока не замечено - все работает стабильно.

Цитата:

Добавлено:
AlexSystem
если стоит карантинный сервер с режимом отправки вирей по почте в SARC - не вопрос.

Нету никакого карантинного сервер. Есть Неуправляемый клиент.
Есть ТАНЦУЮ.EXE, который ни SAV ни NOD с последними базами не ловят.
Вот и хочу его в SAV поддержку отправить.
Как?

AlexSystem
Скинь мне на мыло (архив в пароле), что у меня в профиле. У меня карантинный сервер есть - отправлю.

Файл с вирем отправил симантекам.

Добавлено:
Это, типа, троян.даунлоадер, но не факт, что живой.

Посоветуйте. Стоит SAV 10.0.0.359. Решились обновить до более поздней версии. У меня есть диск с 10.1.5.5000, тут же в шапке указан последний релиз 10.1.4.4000. Это что, не обновили шапку, или есть какие-то подводные камни ? И, есть ли смысл накатывать 10.1.5.5000. Давно уже за этим не следил, немного от жизни отстал.

Tracking от симантеков получен. Завтра посмотрим, что там и как.

Добавлено:
RamCram
Вообще то лучшее - враг хорошего. Если пока устраивает - не обновляй.

SAV 10.0.0.359 не очень устраивает. И в старой конторе когда работал периодически вылетала SSC, приходилось переустанавливать. Мне интересно, 10.1.5.5000 это полноценный продукт ? С ним есть какие-нить траблы ?

Я 10.1 юзал только тестово - у меня компы не позволяют его юзать - много w98. Думаю нужно поставить и посмотреть. В целом 10.1 лучше 10.0.

Специалисты антивирусной компании Symantec обнаружили в Сети новый вирус - Spybot.ACYR. Червь использует уязвимость в антивирусном ПО Symantec Client Security и Symantec AntiVirus, исправленную еще 25 мая текущего года. Таким образом, вирус представляет опасность для пользователей, вовремя не установивших обновления для упомянутых пакетов и не загрузивших исправления для нескольких уязвимостей в ОС Windows, самая "свежая" из которых была устранена в августовском пакете обновлений.
Compulenta.ru 04.12.2006

Понятно.
У меня WSUS и патчи стоят.

никто не в курсе куда можно отправить вирус не обнаруживаемый symantec , дабы его добывили в базу?
PS хреново конечно что не могу удалить собственное сообщение за ненадобностью

Учебные материалы по Симантек: http://www.filefactory.com/file/f89dcd/

Всего суть более 50 метров. Материалы по SESA я выкинул. Все равно ни у кого этой дуры нет и не нужна, а весит без архива 18 метров.