» Symantec Antivirus Corporate Edition (часть 2)

kostya_rlw

Цитата:

кнопки Undo Delete Clean (действия над обнаруженными угрозами) НЕАКТИВНЫ ! ! (затенены серым цветом)

Цитата:

решение нашел тут

Спасиб, у самого руки не доходили найти эту бяку

globus_ussr


Цитата:

ЗЫ а могет это ты сам написал прогу ? )))))

более того, кто-то видимо офигенно решил насолить мне и моему сотруднику (я сам начальник бюро)!
Сегодня обнаружили, что файло не только копирует себя само в реестр и в авторан пользователю, но еще и создает в профиле файлик текстовый, где так скромно написано "авторы: моя фамилия и фамилия моего сотрудника"
Вот это уже было не смешно!
А прога оказывается распространялась банальным способом. Где то в шаре лежала эта программа, только переименованная в "игрушка.ехе"
Ну и юзеры велись на это дело.
Короче вышли на след одного гада. Сейчас натравили на него спец службы.
Разбираемся.
Скорее всего исходников не найдем, и причастность его к данной программке не докажем.
Но нашли за что наказать и лишить прав и без этого.
Всем спасибо за помощь.
Ну а на будующее надо думать как спасать себя в таких ситуациях. Что-то ставить на тачки клиентов, запрещающее тот или иной файл, процесс, программу и т.п.

OTOPBA
собственно и ставить ничего не надо ...
виндавс через политики может разрешать на запуск только определенные приложения ... вот и все.

OTOPBA
globus_ussr

Можно и политиками, можно и спец. софтом, взять, хотя бы серевой Anfibia Desktop Orbiter, который у нас некоторые небольшие филиалы юзают у которых нет AD, а рулить хотят централизовано. Но вообще антивирусная защита - комплекс административных и технических мероприятий, распределение ответственности, регулировка прав доступа ко всему, ответственность самих юзерей - нужно, к тому же, все описать, утвердить, внедрить и жестко контролировать их соблюдение.

Добавлено:
У меня юзери, например расписываются, каждый - лично, в ИНСТРУКЦИИ ПОЛЬЗОВАТЕЛЯ СРЕДСТВ АНТИВИРУСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ и ОБЯЗАНЫ знать инструкцию по клиентскому ПО (понятно, адаптированную по не заблокированным от изменений параметрам).

Добавлено:
А тем админам АВЗИ, что жалились в кадры на меня, что я мол к ним предъявляю непомерные требования по освоению симантека (у меня русская версия) и имею наглость требовать, чтоб доки курили кадровики пригрозили, что протестируют их на знание русского языка со словарем. Ведь для особо одаренных все разъяснено и разжевано в Типовом положении АВЗИ (общее руководство по построению антивирусной сетки в филиале).

Добавлено:
У меня были огромные трудности с раскаткой симантека по всей системе. Но когда легли, почти на 3 дня 2 филиала с общей численностью работающих в 700 челов - убытки начальство торкнули. Мне, конечно, пришлось потом попотеть составляя и утверждая антивирусную документацию, пробивая постоянное авторизованное обучение админов, проверки филиалов опять же... Зато сплошная симантезация в сочетании с административными мерами дала отличный результат. Теперь и безопам филиальским могу ввалить как коням.

Добавлено:
OTOPBA
А кине мине на мыло, что у меня в профила это файло в архиве с паролем.

gmrnsk
Не это я знаю
Речь идёт о том что SSC в режиме Удаленная установка клиента
в обзоре ЛВС НЕ видит компы с ISA сервером

вот я и спрашиваю уваж ALL по каким портам идёт обнаружение хостов
для SSC


И еще по ходу такой вопрос
Есть тачки 2*Xeon 3Ггц 32bit 3Гб ОЗУ под Vista
На сервере стоит Sym 10.1.5.5000
Удаленная установка клиента не проходит
А запуск setup из VPHOME\Win32Vista сервера на этих тачках говорит что данный продукт не поддерживает
этот тип процессора????
Может нужен какой-то patch для установки Sym Antivir на таком пк ????

Сорри со второй частью разбрался
Внимательно почитал варезник нашел клиента EN для Vista
Установил managed клиента -> OK

привет всем! на днях запустил полный скан компа одной знакомой посредством SAV. он нарыл кучу вирей и троев.коечто он успешно изолировал а часть просто удалил(могу слить "журнал угроз").сразу после этого запускаю "мыша", жму F2, а он мне выдает "проверьте настройки блаблабла". ессесно лезу в свойства а там пи***ц все девственно.ну я прописал смтп поп3 блаблабла.а еще в настройках было "оставлять письма на сервере, удалять при удалении из корзины ".в общем заработал.......но остальные папки пустые-исходящие и отправленные.ну и визг начался - "бл* мне как раз срочно нужны все эти письма" и т.д. и т.п. ПОМОГИТЕ плиз что делать, как можно восстановить и можно ли ???!!!
OS: WinXP SP2
TheBat!: PRO v.3.80.06

mitiay1

По идее SAV перемещает всё это в карантин, который сам по себе является папкой... Т.е. можно попытаться это оттуда достать и водрузить на место.

Файл почты The BAT - один файл большой, в нём вся почта. Если SAV не может его вылечить, он его удаляет... либо помещает в карантин.. Это как душа ляжет (в смысле, настройки какие админ прописал).

Надо смотреть... Я так категорически (типа "сразу фтопку"!) не ставлю, обычно мой балбес интересуется, что и как делать... Кроме того, по идее, настройка должна быть на проверку pop3 и smtp, а не на проверку баз. К слову сказать, иногда он вирусы пропускает.. пока ты их не трогаешь (имеются ввиду черви). Один раз попробовал запустить - ничего не произошло с Symantec.. Потому как The BAT по пальцам дал.

А такую ерунду вроде "игрушка.exe" он чуть ли не на лету удаляет сразу... причём с общих папок, подключённых как сетевые диски... Этот балбес их мониторит и отлавливает сразу... причём почему-то в два-три раза чаще, чем "Касперские" с такой же "натравкой" на сетевые папки...

Цитата:

Файл почты The BAT - один файл большой, в нём вся почта. Если SAV не может его вылечить, он его удаляет... либо помещает в карантин.. Это как душа ляжет (в смысле, настройки какие админ прописал).

Он их удалил за неимением возможности вылечить или изолировать!

У меня другая проблема, поставил Symantec Antivirus 10.1.0.394 на домашнюю тачку, только клиент, без сервера, так вот при обновлении, файлы definitions по началу скачивались и после автоматической установки, отображалась новая версия, но по истечении недели остановилось на "06.01.2007 rev. 22". Хотя ежедневные файлы обновления скачиваются и "устанавливаются" - дата все равно не меняется. И вот сейчас при загрузке компа, стало попапится оконо типа "ваш клиент давно не обновлялся". Шо це таке, и как лечить?

Проблема - взял клиент у знакомого - у него сервер стоит и раздает клиентам базы.. вот я взял клиента и поставил себе - но теперь у меня неактивна LiveUpdate - тоесть стоит замочек и указан сервер тот который у знакомого... как бы прописать чтобы оно забыло про тот сервер и обновляло мне с инета?

Сразу же извиняюсь. Прочел все что написано в этой ветке. Но проблема все-равно остается.
Вобщем суть в следующем. Купили Symantec Antivirus Corp Ed WS & Server 10.1. Купили, потому что я (админом на одной фирме) потестил "альтернативную" 10 версию, и мне он понравился. Одна интересная заметка, серверная часть стояла на WinXP Home и прекрасно справлялась со своими задачами. После покупки я удалил все "альтетрнативное".
1. На машину с Win Xp Home сервер Симантека просто не захотел ставится (не видит он такую машину).
2. Решил поставить на свою с XP SP2 Pro. Все поставилось - вначале SCC, потом серверную часть а-вируса.
3. Запускаю SSC и получаю
"Snap-in failed to initialize.
Name:<unknown>
CLSID:{103363F4-69F9-11D2-B34C-00104B22D5DF}" Но так как версия русская то соответственно "извещение" на русском.
4. Пытаюсь исправить эту ошибку так как описано на сайте symantec.com. почитав об этом на 2 и 3 странице этой темы.
5. SCC запускается, но "группу серверов" не видит. При попытке создать в ней группу с тем же названием что уже существует, создается, но на этом всё. Манипуляции затем с SCC приводят к ее "вылету".
6. Вот нашел сообщение в системе "Не удалось инициализировать уровень связи Symantec AntiVirus. Функции удаленного управления выключены. Сертификат сервера не существует." Что это значит?
Помогите, а то возникает интересный вопрос - почему "альтернативная" версия установилась и сконфигурилась за примерно 0,5 часа и работала на 100%, а лицензионный пакет я не могу настроить. (насчет кривых рук и драйверов мозга прошу не писать) Спасибо.

сам нашел - удалил Grc.dat из каталога установки и все ))

OTOPBA
в ПМ загляни

Может быть мой вопрос уже обсуждался не знаю, заранее прошу прощения не откажите подскажите.
Установил SAV CE v10.1.5.5001 Russian. Запускаю LiveUpdate с сервера каждый день он хочет скачивать по 25 метров. Дома установил неуправляемого клиента так LiveUpdate берет всего примерно 250 Кб. Не подскажете почему такая большая разница.
И еще один вопрос.
Проверка почтовых сообщений происходит через порты 25 и 110 клиенты ходят в интернет через прокси UserGate настроенные через назначение портов ну например 9025 и 9110, 9026 и 9111 не подскажите что и как нужно настроить в SAV, что бы он проверял почту. Т.е. у меня не появляется окошко о проверке почты. В домашних условия где почта настроена через порты 25 и 110 такое окошко появляется.
Спасибо

OTOPBA

Спасибо за посылку!

Очень я тебе сочувствую - хоть не вирус в классическом его понимании, но при определенных условиях геморррррра...........
Отослал симантекам - Tracking #8484017
если отпишешь мне на то мыло как у тебя организована защита как комплекс мер - может помогу документацией (имеется ввиду правила защиты в корпорации нашей).

Хороший юзерь - мертвый юзерь.

ikar2006

Цитата:

с сервера каждый день он хочет скачивать по 25 метров

Сервер может обслуживать разных клиентов, поэтому качается полный пакет обновлений.
Он же не знает, что там у клиента может быть и когда он последний раз обновлялся?
А при обновлении только клиентской части LU знает сколько и чего надо снимать.

mitiay1
Мне вообще непонятна последнее время работа symantec'a... Если он установлен и auto-protec включен, то откуда берутся вирусы после полного сканирования ? Столкнулся уже с этим не раз, а полное сканирование жрет столько ресурсов, что пользователи ничего делать немогут в это время, хотя станции все современные.

AndrewASB
а можно мне тоже документацию на "комплекс мер антивирусной защиты"?

golkanavt

Можно.

Почищу от ДСП (фамилии, должности и т.д) и положу куда нибудь типа рапидшары.
Только не обольщайтесь - нужно чтобы все утвердило начальство. А оно к соалению чего то и поправить вечно любит.

Добавлено:
Зато, можно обсудить будет и как то все и всем улучшить.

Добавлено:
В идеале вообще перевести бы всех на Citrix и с загрузкои клиентов, типа wtware - полный бы рулез был по вирям.

Народ, а кто-нибудь уже потестил SAV 9.0.6.1000 ?
В смысле стоит ли на него переходить с SAV 9.0.5.1100 или не стоит ?

ant_firefly

Цитата:

Мне вообще непонятна последнее время работа symantec'a... Если он установлен и auto-protec включен, то откуда берутся вирусы после полного сканирования ?

На форуме сайта www.anti-malware.ru, я это уже спрашивал.

Оказывается у всех антивирусов, сканирование Real-Time не такое глубокое, как сканирование
по требованию всей системы. По этой причине нужно обязательно например раз в неделю проводить полное
сканирование системы на вирусы (лучше по ночам). Кстати Symantec позволяет выставить в настройках приоритет скана
по требованию и соотвественно тормозит, когда он идет не так сильно.
Хотя если памяти 256мб и менее в компьютере - тормоза будут все равно существенные.

Вирусы могут браться еще из-за того что нужных сигнатур еще не было в базах во время проведения полного скана на вирусы.

Как думаешь, если ты не хочешь урезать права пользователей по максимуму, не будет ли полезно с помощью средств
администирирования заблокировать возможность записи в папки windows и windows/system32 и этим самым помочь
SAV защищать от вирусов ?

Интересно, выглядит ли логичным, что зараженный файл сначала появляется в папке windows или windows/system32
и только после этого ловится с помощью SAV, а не в памяти, еще до попадения в эти папки ?

**************************
А кто-нибудь уже разобрался как под SAV защищаться от вирусов типа Pinch реально ворующих
пароли и много чего еще:

http://www.anti-malware.ru/phpbb/viewtopic.php?t=1287&start=75

при условии что Symantec их ловит очень плохо или это не так ?

взял с Sym ftp файл
SAVCE_10.1.5.5001_AllWin_RU.msp

начинаю обновление сервака до 5001, а установка просит типа укажи установочный MSI файл для сервера (папка SAV\Setup\Symantec Antivirus.msi)
???? В progr files...\SAV\Setup - нет такого файла

хрен ли ей нада если у меня нормально стоит 10.1.5.5000
не понял подскажите плз

SAV 9.0.6.1000 точно на win98 ставится?
меня посылает на www.windowsupdate.com

Y Sobolev
У меня такого не спрашивала, но у меня файл Symantec Antivirus.msi находится в папке
\Program Files\Symantec AntiVirus\Clt-inst\Win32 и судя по папке это для установки клиента, но вдруг поможет

Всё понятно

В клиенте "О программе" версия 10.1.5.5002
те 5001 поверх более новой не поставить

Странно но в окне клиента показывает 10.1.5.5000

Может я не прав но этот MSI говорит не от той инсталляции откуда
ставил прогу - хотя 100% оттуда ставил

Valik
Под Win98 требуется Root Certificate Update - выкачивается с www.microsoft.com

Valik

Поделюсь своим опытом установки SAV 9.0.6.1000 Unmanaged на 98se
1. поставил, но базы не обновлял
- после перезапуска - полный клин системы -> восстановление из образа

2. поставил - и когда открылся liveupdate до перезапуска обновил базы через symantec.com - все после перезапуска -ок

3. поставил - попробовал обновить базы exe файлом обновления баз скачанным с сайта symantec.com - не сработало - сказали перейти на более новую версию.
Обновил liveupdate до самого нового - без проблем стал обновляться exe файлом базы.

Работа антивируса пока нравится.

Корневые сертификаты обновлял.

Утерян логин и пароль на группу серверов в SSC 10. Метод из шапки не помогает,
как и вот это:

Цитата:

Reset the Symantec System Center admin user password
You can use the Password Reset Utility to reset any user's password. You must have Administrator access to the primary server of the server group.

To reset the Symantec System Center admin user password
On the computer running Symantec System Center, start Windows Explorer.
Go to \Program Files\Symantec\Symantec System Center\Tools.
In the right pane, double-click the IFORGOT.exe file.
In the Primary server field, type the name of the server group's primary server.
In the user field, type admin
In the New Password and Confirm New Password fields, type the new password.
Click Reset Password.
You may be prompted for a Windows user name and password if you specify a remote server.

IFORGOT ругается на то, что нет такого пользователя admin. Как быть в такой ситуации? В группе висит порядка 100 клиентов

fedmun
а прямую ссылку что тянуть можно? я там ничё найти не могу

alx19
спасибо!
как думаете вариант 3 пройдет с клиентом managed?
комп и сервер к инету не подключен, обновляю сервер всегда файлом.

Valik
Ну народ ленивый стал, лень строку в гугл загнать
download the patch directly from the Microsoft Web site.

Здравствуйте, не подскажите пожалуйста как заставить установиться Reporting Server c MS SQL 2005 EE

(Используемое ПО: 2003 SP1 R2 VL Rus 32bit, IIS 6.0 (только службы дефолт)

Делаю все по оф. талмудам только в конце установки репорт-сервера в момент "Настройка базы...", сетап прекращается, идет откат, сообщает про неустранимую ошибку

В логе установки пишется нечто вроде

GeDatabaseShemaVersion running 0
HResult: 0x80040e14



И еще смутило вот что. В доке (стр. 100, savinst.pdf) указано что нельзя использовать смешанную идентификацию (типа сбой будет), и тут же через 3 строки "Задайте режим "Mixed Mode", может тут грабли?