» Symantec Antivirus Corporate Edition (часть 3)

Alex Mat

По идее должны, а вообще по SEP в программах есть специальная тема и лучше там глянуть - его любители все там сидят, а я его не жалую. Что касается настроек, то их стоит зарезервировать на всякий пожарный, хотя по идее должны сохранится.

спасибо за помощь!

Привет.
Через SEPM настроил исключение на RADMIN, добавил исключение к группе, симантек его всеравно гасит !
ао теме нашел http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/b3fe00fbaeda9f40882574cc0053784b?OpenDocumentчего делать то ? )))

Уважаемые коллеги, прошу прощения за копипаст на разных форумах, но вопрос как насущ, так актуален.
Обнавляю сервер SAV 10.1.6000 через nav8 + vd2c****.xdb. Далее по сети на 150 клиентов.
Все это работает около двух - трех лет.
Последнее обновление успешно было 10.01.2009. После этого любые vd2c****.xdb не обновляют сам Sav 10.1.6000 и его SSC. Обновление не идет также на клиенты.
Где смотреть? Какие логи нужно поднимать? Конечно, лог посмотрел, но там все в норме, в смысле нет замечаний.
Просьба помочь.

Такая проблемка возникла, сервер стоял без работы около месяца теперь когда включился не хочет разблокировать серверную группу , пишет "Error Can/t communicate with the Server Group . Verify network connectivity, and That machines are operating within the Group! If problem persists,try clearning the server Group cache and re-discovering all Server Groups."
Может кто сталкивался с такими симптомами?)

Доброго времени суток.
Нагородил следующее:
север - вин срв 2003 энтерп - SAV CE 10.1.7
клиентские машинки - все виста энтерприс.

Проблема такая, через консоль ставлю клиента(заблаговременно скачаный (10,2 для висты),
показываю где лежит, копирование и установка проходит на ура, а в консоли компы так и не появляются. нетбиос включен, брэндмауэр виндовый вырублен.

Подскажите кто что может!

globus_ussr
Я тоже смеялся над ссылкой в никуда наверное должно быть так ?
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005051215400948?Open&src=tranus_con_sl&seg=hm&lg=en&ct=uk

NegoroX
ссылку я поправил. Речь идет о SEP.

lamobot1

Цитата:

Проблема такая, через консоль ставлю клиента(заблаговременно скачаный (10,2 для висты),
показываю где лежит, копирование и установка проходит на ура, а в консоли компы так и не появляются. нетбиос включен, брэндмауэр виндовый вырублен.

Зачем показываешь где лежит? Положи в папку CLT-INST , рядом с остальными папками, должен получиться такой список папок: IA64, WEBINST, WIN32, WIN32SCS, WIN32VISTA, WIN64, WIN64VISTA. Убедись, что во всех папках есть файл GRC.DAT, это файл настройки, если нет, скопируй из папки WIN32. Так же проверь наличие файла сертификата pki\roots\xxx.x.servergroupca.cer, если нет скопируй из папки WIN32.
Теперь можно ставить из консоли, поставив галку "расположение файлов по умолчанию".

P/S Если в сети работает ISA Server 2004 (2006), то в ней нужно сделать соответствующие настройки.

Проблема, тот же Symantec Reporting Server.
Все настроил, из того, что нашел. Но страница не может заполнится данными из SQL.
В журнале с интервалом 10 минут регистрируется ошибка:

Источник: LogReaderEvents
Категория: Отсутсвует
Код: 1

Не найдено описание для события с кодом ( 1 ) в источнике ( LogReaderEvents ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: Wide character in subroutine entry at /PerlApp/Encode.pm line 166, <VLOG> line 1.

Как я понян, это что-то связанно с кодировкой используемой на странице.


При входе на страницу (admin и passw) в журнале появляются следующии записи:

Источник: PHP-5.2.1
Категория: (6)
Код: 2

Не найдено описание для события с кодом ( 2 ) в источнике ( PHP-5.2.1 ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: php[6280]; PHP Warning: session_destroy() [<a href='function.session-destroy'>function.session-destroy</a>]: Session object destruction failed in C:\Program Files\Symantec\Reporting Server\Web\Login\Login_verify.php on line 176.

Не найдено описание для события с кодом ( 2 ) в источнике ( PHP-5.2.1 ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: php[7036]; PHP Warning: fsockopen() [<a href='function.fsockopen'>function.fsockopen</a>]: php_network_getaddresses: getaddrinfo failed: Этот хост неизвестен. in C:\Program Files\Symantec\Reporting Server\Web\Dashboard\getThreatCon.php on line 15.

Не найдено описание для события с кодом ( 2 ) в источнике ( PHP-5.2.1 ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: php[7036]; PHP Warning: fsockopen() [<a href='function.fsockopen'>function.fsockopen</a>]: unable to connect to securityresponse.symantec.com:80 (Unknown error) in C:\Program Files\Symantec\Reporting Server\Web\Dashboard\getThreatCon.php on line 15.

Не найдено описание для события с кодом ( 2 ) в источнике ( PHP-5.2.1 ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: php[7036]; PHP Warning: stream_set_blocking(): supplied argument is not a valid stream resource in C:\Program Files\Symantec\Reporting Server\Web\Dashboard\getThreatCon.php on line 17.

Поиском нашел только это https://forums.symantec.com/syment/board/message?board.id=endpointcust&message.id=572&query.id=6302297#M572 и то без ответа.

avimurom
Какая система на компьтере ? обновления от МС установлены?

Здравствуйте!
Стоит версия 10.1.7.7000 и сервер и клиенты.
В сети резвиться вирус, который пишет на расшареные ресурсы в сети экзешники, а сам живет в system32
Подробнее о нем известно -

роянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.

Инсталляция

После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":

%System%\csrcs.exe

Далее файлу присваиваются атрибуты "скрытый" и "только чтение".

Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.

Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"

Деструктивная активность

Троянец изменяет значения параметров следующих ключей системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"

Таким образом, троянец отключает отображение скрытых файлов и папок.

Троянец производит загрузку файлов со следующих URL:

http://www.whatismyip.com/automation/*****945.asp
http://sousi.extasix.com/*****st.htm
http://lemox.myhome.cx/*****om.htm

Загруженные файлы сохраняются в кеш Internet Explorer.

Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.

По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat

В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.

Далее файл "%Temp%\suicide.bat" запускается на выполнение.

как сделать, чтобы symantec его убивал?

добрый день. столкнулся с проблемой, Symantec Endpoint Protection в логах ругается на ms virtual-pc:
SYMANTEC TAMPER PROTECTION ALERT

Target: C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
Event Info: Set Information Process
Action Taken: Logged
Actor Process: D:\wsus\msvpc\vmh.exe (PID 1124)
добавил vmh.exe в исключение не помогает. может кто скажет как это побороть?

Цитата:

может кто скажет как это побороть?

я пытался бороть (недолго), а потом взял и поставил virtualbox.

Цитата:

я пытался бороть (недолго), а потом взял и поставил virtualbox.

во нашел решени на web консоли управления установил Install Virtual Machine Additions
и в логах пропали алерты. ура

Доброго времени суток всем форумчанам!

У меня установлен Синатек 10.1.7.7000 (как сервер, так и клиенты).
Заметил, что Клиент на системах, имеющих 256 Мб оперативки тормозит систему настолько , что практически невозможно работать.
Посоветуйте, пожалуйста, возможно-ли настроить антивирус таким образом, чтобы он давал пользователям нормально работать, или все-таки придется установить на машины послабее какой-нибудь другой антивирус?

*Возможно данный вопрос обсуждался, но поиск по форуму ничего не дал, а всю ветвь перечитывать - много времени уйдет...

Adm10
на слабых машинах я провел разъяснительную работу среди юзеров что б они не трогали комп в течении 5-10мин после включения-перезагрузки - пошумели естественно потом привыкли (антивирус в основном в старте проверяет


Цитата:

все-таки придется установить на машины послабее какой-нибудь другой антивирус?

таких антивирусов не бывает пусть привыкают если наотключаешь упростишь тебя же и будут дрючить если что.

NegoroX

Просто дело в том, что после установки антивируса на систему идет резкое падение производительности (я понимаю, что у него идет предварительное сканирование, но даже после его завершения производительность улучшается не на много).
Причем если устанавливать НОД или Аваст, подобных нагрузок нету.
Потому-то и интересуюсь - можно-ли Симантек настроить на слабых тачках на наиболее оптимальное соотношение производительность/эффективность.
Я уже и так снизил Эвристиеский анализ на минимум, отключил неипользуемые службы, увеличил файлы подкачки на раб. машинах и оптимизировал все возможные настройки реестра/интерфейса. Но эфект "тяжести" при работе не пропадает

Может еще что-то можно сделать?
Я видел рекомендации снижения приоритета процесса монитора, но не смог этого сделать ввиду того, что Монитор - служба, работает с правами системы и изменению приоритета не поддается.

MAKAPOB

Цитата:

как сделать, чтобы symantec его убивал?

таже история...базы обновляются каждый день, но эта вирусня Симантеком не видится...
присоединяюсь к просьбе....как сделать, чтобы symantec его убивал?

Цитата:

MAKAPOB

Цитата:как сделать, чтобы symantec его убивал?


таже история...базы обновляются каждый день, но эта вирусня Симантеком не видится...
присоединяюсь к просьбе....как сделать, чтобы symantec его убивал?

Дело в том, что такого уровня вирусы появились сравнительно недавно - с пол-года (честно говоря - душа поёт и радуется, т.к. в этом напровалении развития был поный застой, начиная с 1998-2000г) и именно с ними SAV, в отличие от SEP, бороться не умеет. У меня SEP 11.0.4000.2295 успешно зачищает именно csrcs, но только при полном сканировании - монитор обходится. Кроме того этот вирус отлично "зажимается" вручную обычными администраторскими методами (без лечения ну живет он на пк, а размножаться и вредить не может)

Цитата:

Кроме того этот вирус отлично "зажимается" вручную обычными администраторскими методами (без лечения ну живет он на пк, а размножаться и вредить не может)

Очень прошу рассказать как, если офтоп то в почту.

Цитата:

Очень прошу рассказать как, если офтоп то в почту.

...и я весь во внимании

Похоже победил csrcs.exe
Надо в настройках ставить эвристику по максимуму, и убрать галку с "Доверять файлам с других компьютеров с включенной защитой".
Сделал это в настройках и сервера и клиента. Потом провел 2 сплошных сканирования, обязательно надо перегрузить все компы-сервера, т.к. может сразу не удалить.
Ну и ручками пробежался по зараженным компам, поудалял процесс и все левые файлы.

Как сбросить забытый пароль от групи серверов?

kolapap

Цитата:

Как сбросить забытый пароль от групи серверов?

Смотри в шапке
Цитата:

Q:Как сбросить забытый пароль от антивируса в консоли (SSC)?

Цитата:

15:52 23-01-2009

Похоже нашел отчего пропали обновления.
Решилось довольно-таки просто.
1.Serveices.msc /s
2.LiveUpdate - Restart service
3.Symantec Antivirus - Restart service
4. navup8.exe vd2c7803.xdb
И все пошло.
Настораживает отстанов службы апдейта, как бы сам по себе. От чего?
В январьской компьтерре описывался Kido, у которого похожие проявления.
В поиске на сементеке нашел лишь это:W32.Downadup
Там также мог нахимичить с службами.
Кто как считает, мог он тут засветиться? У кого-то были подобные "вещи"?

служба LiveUpdate не должна быть постоянно запущеной. Она ,находясь в мануальном режиме запускается по шедуллеру командой с сервера. Это напрягать не должно.

У меня тоже возникли проблемы с обновлением, но связаны они были со сменой у симантека алиасов серверов обновлений. Пришлось вносить коррективы в разрешающие правила на файерволе.

Подскажите, идет ошибка с Reporting Agents.
В журнале формируется запись

Приложение: LogReaderEvents
Источник: Отсутствует
Код(ID): 1
Описание: Не найдено описание для события с кодом ( 1 ) в источнике ( LogReaderEvents ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: Wide character in subroutine entry at /PerlApp/Encode.pm line 166, <VLOG> line 1.

Это ошибка библиотеки C:\Program Files\Common Files\Symantec Shared\Reporting Agents\Win32\perl58.dll

Почему? Переустанавливал не один раз и папки чистил.

Цитата:

служба LiveUpdate не должна быть постоянно запущеной.

Как это скажется?
Т.е. либо в ручную, либо внешней командой по шедуллеру, что почти тоже самое?

Но может надо было её просто запустить в ручную?

а чо ваще, Симантек когда вирусы то начнёт ловить?! Мы вот никак недопрём. О_о
ЗЫ купили Каспер Ибо поняли, что симантек в полной заднице уже 1.5 года как минимум... абидна - хороший был продукт..