» Symantec Antivirus Corporate Edition (часть 3)

MAKAPOB

Цитата:

Похоже победил csrcs.exe

SAV с новыми базами теперь отлавливает вирус, который плодится по сети.
В symantec идет под названием W32.Harakit. Обнаружен в октябре прошлого года. Возможно это была его модификация, либо новый вирус и по действию отнесли к этому. Отловил csrcs в system32 и файлы, созданные в основном в корне дисков на сервере и рабочих станциях.
Надеюсь, отправленные мной зараженные файлы в SAV upload тоже помогли в борьбе со злом

служба LiveUpdate стартует по шедуллеру. Настройка коего производится средствами самого симантека через меню "файл" - "планирование обновлений". Не смотрите на постоянно работающую Windows Update, это плохой пример, как должна работать служба обновления.

Приветствую всех. Приношу извинения, быть может данная проблема уже обсуждалась, но уж больно здоровенная тема, потребуется несколько суток, чтоб всё просмотреть, а тут у нас эпидемия, Conficker (Downadup) свирепствует. Суть проблемы: в корпоративной сети развёрнуты 2 версии симантековского антивиря: 9-я и 11-я (поскольку обе куплены). А также на ряд серверов установлен NOD32. И по ошибке коллега установил NOD32 и на сервер 9-го симантека. И с серваком случилась беда. В конечном итоге с сервера был удалён и NOD и клиент симантека. После удаления клиента оказалось невозможным разблокировать группу серверов. Клиент был установлен заново, после чего начались проблемы. Иногда при разблокировке группы серверов подходит стандартный симантековский пароль, иногда не подходит (???); клиенты перестали получать обновления, а заново устанавливаемые не видят сервера. Восстановление с резервной копии проблему не решило (почему-то никакие пароли, ни стандартный, ни те, что применялись у нас, не подходят в консоли сервера). Для полного счастья выяснилось что документации по 9-ке не осталось. И мне непонятно, каким образом удаление клиента так повлияло на серверную часть. Не подскажет ли кто, можно ли решить данную проблему, и если да - то в каком направлении копать.

Моя проблема:
Апдейт от 5.02.09 посчитал файл icqCorp.dll, как вирус, после чего удалил. Результ у клиентов отвались ася. Как быть с этим "экстримом" семантека. В файловой защите SSC & Server SAV10.1.6000 нет птичек на контроль прог шпионов - удаленного контроля. Вообще все по умолчанию. В добавлении исключений вижу лишь название троянов и самих вирусов, как их понимает семантек.
Как исключить из контроля отдельные файлы? Например, это *.длл работает без малого 15 лет. Вдруг такая засада от семантека!
Словом буду рад советам, а то юзы выкинут даже без захода в рециклед, все упоминания о семантеке.

SergejFk

Цитата:

Апдейт от 5.02.09 посчитал файл icqCorp.dll, как вирус, после чего удалил.

Добавь папку с этим файлом в исключения.

Цитата:

а то юзы выкинут даже без захода в рециклед, все упоминания о семантеке.

Если все правильно настроишь, то удалять и выгружать Symantec юзеры не смогут.

Hello!
Вопрос по файлу лицензии - стоит сервер с клиентами. Соот-но где симантик хранит (если вообще хранит) файл лицензию?

greenfox

Цитата:

где симантик хранит (если вообще хранит) файл лицензию?

Вроде у него вместо лицензии используется файл сертификат C:\Program Files\SAV\pki\roots\xxx.x.servergroupca.cer

SergeyMark
а ка он проверяет лицензию при обновлении? М что этот сертификат даёт? (у меня задача определить на чьё имя дистрибутив выписывался в фирме например - пытаюсь вот по файлу лицензии найти)

Цитата:

а ка он проверяет лицензию при обновлении?

Ни как.

Ребята, возникла проблема! Обнаружил вирусняк, который Symantec с легкостью пропускает. Файл - drive13.exe Антивирусная база от 11 февраля 2009. Уже несколько лет пользуюсь корпоративной версией, и был уверен, что это надёжный антивирус, блин чё с этим делать, не знаю. Вот гляньте на результаты online сканирования. _http://virscan.org/report/c013d9087f9fd507672319270f5aca2b.html Может кто уже столкнулся с этим, выручайте!

SergeyMark

Цитата:

Добавь папку с этим файлом в исключения.

Имеется ввиду "Файловая защита\ Действия\ Иключения на прогам: взлом, дозвон, шпионы, шутки... и т.д." Но там есть названия антивирей по мнению семантека и всё. Туда ничего не добавить и не убавить.
Иначе где это? Кстати, где конкретно в SSC или в ServerSAV?
По второму совету, т.е. все в доменную категорию Users и не дальше? К сожалению по положению и необходимости должны быть в Domain Users, при этом на локальном компе полные админы. Это может изменить или супер-пупер-кризиз или такое же землетрясение. В нашей фирме ни то, ни это не ожидается, как бы не уверяли в обратном по ТВ. Впрочем, в предпочтениях править софт. Чем не первый год занимаюсь.
Буду рад более подробным советам.

SergejFk

Цитата:

Иначе где это? Кстати, где конкретно в SSC или в ServerSAV?

В нескольких местах:
Консоль Symantec System Center>все задачи>Symantec Antivirus>Плановые осмотры>осмотры клиентов> здесь выделить задание >правка>настройка>параметры> здесь поставить галку в чекбокс "исключить файлы и папки" и нажав кнопку "исключения" выбрать папку с файлом icqCorp.dll .
Если файл лежит на сервере, то путь такой Консоль Symantec System Center>все задачи>Symantec Antivirus>Плановые осмотры>осмотры клиентов>
Еще в Консоль Symantec System Center>все задачи>Symantec Antivirus>параметры автоматической защиты клиента>
И так далее.

Цитата:

при этом на локальном компе полные админы

А это плохо. В Консоль Symantec System Centr, везде закрой "замочки" и запрети выгружать антивирус.

Всё понял!
Спасибо!!!

Цитата:

Если файл лежит на сервере, то путь такой Консоль Symantec System Center>все задачи>Symantec Antivirus>Плановые осмотры>осмотры клиентов>

Конечно, этот вариант более простой. Кстати, также можно добавить уменьшение конроля на самом клиенте.
Однако вопрос может не совсем устранен.
Ведь есть возможность устранить конроль на все расширения, а за каким тогда "интересом " нужен вообще антивирь??? Чего-то эта фича от семантека мне не совсем понятна. Или на конкретную папку, с точным указанием пути. Т.е если клиент эту же прогу пишет не в %%\Miranda\Pluggins, а в %%\Miranda10.1\Pluggins, то ему пипец будет уже вполне знакомый. Как грится знакомые грабли тута. К тому же ставить будет не с сервера, а со своей папки дистрибутивов, которая находится непредсказуемо где.
Неужели нет варианта отбить охоту проверять именно конкретное название файла!?

Непонятно, чего ради семантек начинает цокать нормальные составляющие старых прог. У нас стоит сервер ICQ от 1996-97г., какой-то самосборный вариант. Как он вдруг оказался в компании вирусов??? И чего он вообще может сделать?

добрый день - подскажите плиз, рылся не нашел, можно ли сделать mst файл для symantec antivirus 10 чем нибудь кроме orsa, и если можно то чем?

Завел этот файл, эту директорию через "Исключения" в разряд неприкасаемых для семантека файлов. Сделал это как на сервере, так и на консоли. Для пробы решил со своего компа, где активен клиент этого же сервера обраться к блокируемомму файлу.
По-началу обрадовался, что файл не семантек не цокает. Но через пять минут ( почему не раньше и не позже? ) вылетело сообщение, что такой-то известные мне файлик удален без помешения в изолятор. Обращался с других компов, где нет клиента, файл был на месте.
Файлы: icqCorp.dll, Keygen.exe ( из проги для дизайна ). Ни в первом, ни во втором ничего особенного нет.
Кстати, если в "Иключения" завести на сервере и консоли конкретный файл, то при переносе на другой комп. и в другую директорию, семантек его удалит?
Надо б проверить.

здравствуйте! стоит Symantec Antivirus Corporate Edition 9.0.2.1000, при осмотре каждый раз пропускается достаточно большое количество файлов, в журнале событий следующие записи: "При осмотре не удается открыть файл ....", "Не удается получить доступ при осмотре, путь:", ко всем папкам и файлам есть полные права. В чем может быть причина?

SergejFk

Удалит как только база обновится. Удаляют драйвера при запуске машины, а они на исключения ноль внимания. Уже имел и не раз подобные случаи. Причём, может удалить абсолютно безвредную программу.

Установлена 10 версия, на одном домашнем компе.
Периодически над треем вылезает Auto proteck disabled. Почитал faq в шапке, но там говорится о 8-9 версии, да и на английском все, не все понял. Проверил также 7 пункт в faq, но значения реестра правильные.
Началось все с того что один раз полностью выгрузил антивирус, чтобы посмотреть повлияет ли это на скорость игр.
В результате перестал автораниться vptray с загрузкой системы, в настройках пропадает галочка с "автоматической защиты". Может еще какие то изменения были, но я больше ничего не заметил.

Все, вроде бы разобрался, симантек сам подсказал как. При попытке проверить флешку через контекстное меню сказал что нужно загрузить службу в меню файл. Службу загрузил и vptray в автозагрузку сам влез.

подскажите с лицензированием программы.
При установке как клиента, так и сервера, никаких вопросов о вводе ключей и прочего в этом роде. Но на сайте симантека написано что этот продукт продается.
Может быть выложенный здесь дистрибутив заведомо исправлен?

klimusu
он скачан с сайта симантека. с ключами и лицензиями - это политика такая.

Verwolk
где прочитать? нарушаю ли я правила лицензирования использую образ диска из этой темы?
дайте ссылку на текст пожалуйста.

klimusu

Цитата:

где прочитать?

понятия не имею, может быть в лицензионном соглашении?

Цитата:

нарушаю ли я правила лицензирования использую образ диска из этой темы?

в этой теме по моему варезных ссылок нет. если у Вас нет лицензии, а ее у Вас нет, то Вы просто незаконно используете продукт, ибо нарушать правила лицензирования можно только согласившись с ними.

собственно в чем проблема не пойму?

Verwolk
Не понятно почему за продукт, который не требует никакой активации, нужно платить. И как это тогда контролирует симантек.
Проблема в том что используя не лицензионное ПО, я нарушаю закон.

klimusu

Цитата:

Не понятно почему за продукт, который не требует никакой активации, нужно платить.

платность продукта никак не связана с наличием/отсутствием активации. например XP VL не требует активации, но она ведь не бесплатна. у симантека есть масса продуктов, требующих активации.

Цитата:

И как это тогда контролирует симантек.

предоставляет софт для скачивания тем, кто заплатил деньги. что касается борьбы с пиратством, то симантек, как и майкрософт, и эппл и адобе, входит в BSA. SAV - корпоративный продукт, не ориентированный на домашнего юзера.

Цитата:

Проблема в том что используя не лицензионное ПО, я нарушаю закон.

ну дык, каждый выбирает для себя. не используйте SAV - не нарушите закон.

Не идет удаленное подключение клиента.
Просьба дать совет.
SSC + Sav10.1.6000 установлены, как клиенты домена на Wind2003Se Sp1.
В SSC\Сервис\Удаленная установка клиента\ жмем Next\Расположение по умолчанию\ жмем Next\ Microsoft windows network\ выбор сети - Enter. Сервак в ожидание с часиками и далее в исходную на \ выбор сети.
Служба браузера в авто и работает. Пользователь, которого хочу подцепить также клиент. Самого клиента нормально вижу в сети. Вообще сеть без тормозов.
Уже не раз подсоединял клиентов таким способом. Почему пропала такая возможность???

Как "поднять" первичный сервер?
Сейчас он отключен
Но если найти его через контроль сети то он отображается там как работчий. Жму сихронизировать. Инфа в консоле обновляется как будто все работает
Но при попытки разблокировать группу консоль безнадежно виснет
И появяется сообщение не возможно устпновить соединение с сервером
Консоль сотоит там где и сервер И вообще с сетью все ок
Кто нибудь сталкивался с таким? как решили проблему?
И грешу на сертификаты такое впечетление что нет сертификата у первичного сервера И поэтому я не могу раблокировать группу

SergejFk

Цитата:

Уже не раз подсоединял клиентов таким способом. Почему пропала такая возможность???

В настройках файрвола что-то менял? Проверь настройку файрвола.
Может установили ISA Server ? Тогда его нужно настраивать.

Добавлено:
ochkarik1

Цитата:

Кто нибудь сталкивался с таким? как решили проблему?

В консоли выбрать Сервис>Служба обнаружения>нажать кнопку "очистить кэш". Обычно это помогает.

Цитата:

такое впечетление что нет сертификата у первичного сервера

Это врят ли. Но можешь убедиться в наличии файла сертификата в C:\Program Files\Symantec AntiVirus\pki\roots , файл типа xxx.x.servergroupca.cer