» Symantec Antivirus Corporate Edition (часть 3)

Вопрос по апдейту решил. Причем весьма просто и неожиданно.
Перезагрузка Sav10.1.1.6000. Все обновления пошли, клиенты как миленькие коннектяться и апдейтются.
Однако вопрос не дает покоя, почему и как узнать когда нужен резет. Сервер понятно работает кругосуточно, ось Win2003Se Sp1.

Случилась неприятность - на ровном месте перестал обновляться один клиентский комп из двух десятков. Принудительное обновление проходит как бы штатно, после обновления группы версия обновления не меняется. В чем может быть проблема?

golkanavt

Цитата:

Принудительное обновление проходит как бы штатно, после обновления группы версия обновления не меняется. В чем может быть проблема?

1. Проверь файрвол на этом компьютере.
2. Скопируй с сервера файл Grc.dat и вставь, на проблемном компьютере, в папку
C:\Documents and Settings\All Users\ Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5 (папка Application Data - скрытая !!!)
Перезагрузите клиент.
После перезагрузки клиента файл Grc.dat будет удален. И клиентская машина получит настройки с сервера.

SergeyMark
1. Файрвола там нет
2. Скопировал, перезапустил службы SAV+Definition Manager - файл исчез, в SSC версия не обновилась. Там на клиенте в указанной папке куча файлов *.vdb как раз с даты зависшего обновления, т.е. с тех пор он их получает но не обрабатывает, по-видимому - может это подскажет причину?

Облазил весь этот антивирус и банально не нашёл возможности очистить журналы.
Как их всё-таки очистить?

Кстати, кто-нибудь сравнивал на одной и той же машине -- насколько сильно грузит систему Symantec Antivirus и Kaspersky Antivirus 2009 (build 506)? У меня есть подозрение, что Symantec грузит значительно сильнее.


Добавлено:
Кстати, подскажите, пожалуйста ссылку на утилиту тотального удаления этого антивируса. (Что-то я не могу у них на сайте её найти.)

ArcticCat

Цитата:

Кстати, подскажите, пожалуйста ссылку на утилиту тотального удаления этого антивируса.

_http://rapidshare.com/files/218374612/SCSClean.zip.html
MD5: 1F50BDEDC39BD20B0FE051B63DC33281

golkanavt
Полностью удалить антивирус , (Лучше использовать фирменную утилиту для чистки компа от симантека SCSClean) затем удалить папки
\Program Files\Common Files\Symantec Shared\
\Program Files\Symantec*
\Program Files\SymNetDrv\
\Documents and Settings\All Users\Aplication Data\Symantec\ (скрытая)
\Documents and Settings\<User>\Aplication Data\Symantec\ (скрытая)
\Documents and Settings\<User>\Local SettingsAplication Data\Symantec\ (скрытая)
После удаления папок обязательно перезагрузить компьютер и почистить реестр .
После этого ставить антивирус по новой.

SergeyMark
Это все конечно помогло, интересно узнать причину сбоя, во избежание. Спасибо за помощь.

golkanavt

Цитата:

интересно узнать причину сбоя

Попробуй поискать в логах "управление компьютером/просмотр событий/приложение".

Уважаемые коллеги!
У меня такая задача. Подготовил загрузочную флешка. Её задача лечить систему с внешней загрузкой. Неплохо показали дрВеб, каспер, нод32.2.7. Запуск, обновления все делается достаточно просто и понятно.
Никак не могу подружить флеху ни с нортоном, ни с неуправляемым клиентом семантека. Весь инсталл завершается на первой странице запуска .msi или setup.exe.
Есть у кого-то практика запуска этих прог с флешки? Где и какие версии, как перенести на флеху, на ней Wind BartPe, WindLiveCd или им подобные. Есть и другие варианты, но весьма похожие.

Подскажите, как посмотреть на версии 10.1.5.5000, в консоли симантека, можно посмотреть откуда взялась новая серверная группа. Какие там есть сервера и откуда у нее ноги ростут.

Цитата:

столкнулся с проблемой(уже на 2-м ПК) запуска SAV CE 10.1.5001:
картинка окна примерно такая же, как тут:
http://www.symantec.com/content/en/us/global/images/threat_writeups/2006-021717-0941-99.1.gif
но только текст немного другой:
==================================================
заголовок окна:
Microsoft Visual C++ Runtime Library
тело окна:
Runtime Error!
Program: C:\Program Files\Symantec AntiVirus\Rtvscan.exe
This application has requested the Runtime to terminate it in an unusual
way.
Please contact the application's support team for more information.
==================================================

Та же проблема, через поиск удалось найти только процитированное.

Цитата:

Уважаемые коллеги!
У меня такая задача. Подготовил загрузочную флешка. Её задача лечить систему с внешней загрузкой. Неплохо показали дрВеб, каспер, нод32.2.7. Запуск, обновления все делается достаточно просто и понятно.
Никак не могу подружить флеху ни с нортоном, ни с неуправляемым клиентом семантека. Весь инсталл завершается на первой странице запуска .msi или setup.exe.
Есть у кого-то практика запуска этих прог с флешки? Где и какие версии, как перенести на флеху, на ней Wind BartPe, WindLiveCd или им подобные. Есть и другие варианты, но весьма похожие.

Up, прошу прощения. Неужели нет мнения? Ну хоть, извини не в курсах...

SergejFk

Цитата:

Неужели нет мнения?

Не заморачиваюсь такой проблемой. В трудных случаях использую связку BartPe + Бесплатная лечащая утилита Dr.Web CureIt!® . Если есть возможность снять HDD, вставляю в USB-box и подключаю для проверки к рабочей станции с Symantec Endpoint Protection (SEP).

Этот вариант хорошо смотрится когда клиент или комп, в стационарной лаборатории и т.д. с учетом всех идеалов. А если их под четыре сотни. Да на выезде. Да на все про всё минут 20 - 10. Таскать с собой бук? То ж не всегда вариант, т.к. снимать винт и подключать или подключать сам бук также быстро не сделаешь. А вот загрузка с флехи весьма полезно. Причем хорошо показали тут CureIt, Kav2009. Ну и конечно полный контроль над C:\Winduz.
Штука в том, что лидер по отлову малвари не всегда очевиден. Поэтому и имею несколько антивирей на флехи, которые выглядят вполне нормальным инструментом. Но к сожалению сам инсталлер сильно урезан или отсутствует в WindPe ( основа оси на флехи как правила именно такая ). Поэтому простым копипастом или спец прогой можно успешно перенести все названные антивири, кроме семантека и нортона. Последние хорошо бы использовать в этом случае из-за нормальной, с моей точки зрения, поддержки по утилам удаления малвари. Да и обновленный клиент, не кокнутый вирусом, также неплохо работает.
Словом буду рад советам по экспорту - переносу на флешку любого варианта от семантека или нортона. Естественно поддерживающим обновления.

SergejFk

Возможно тебе пригодятся две ссылки:
1_http://www.usbsoft.ru/2008/clamwin-portable-karmannyj-antivirus-versii-0941/

2_http://www.easyfreeware.com/find.php?q=free+anti+virus+portable

Может кто-то что-то посоветует , как узнать благодаря какой машине появилась новая серверная группа? Просто хотелось бы вычислить, кто без спроса поднял сервер Симантека.

mudrij_p
Был такой глюк на старых дистрибутивах, появлялась новая серверная группа. На новых дистрибутивах такого не замечал. Поставь свежий релиз 10.1.8000. Во время инсталяции не оставляй дефолтное название рабочей группы, а создай свое. После установки и настройки сервера, из консоли деплой клиента на все компьютеры. Все компьютеры обновятся и подключатся к новой серверной группе.

SergeyMark
Я наверно неправильно объяснил. У меня в консоли появилась новая серверная группа, при этом я новых серверов симантека не вводил. Вот хочется выяснить, на какой машине он развернут, что бы потом по шапке надавать тому кто его без спроса развернул.
Я думал найти в репортинге, но к нашему сервера репортинга его не подключили. В ветке реестра на сервере антивируса тоже не нашел новых серверов.

2 SergeyMark
Спасибо! ClamWin забыл указать. Его опробовал одним из первых. Но результаты как-то странны. Во-первых почему так редко выходит обновление. Хоть есть daily, но едва ли отличается от предидущих. Вообщем он пока ничего не нашел. Но в линуксе говорят неплохо себя проявил. Эта новость странновата для меня, т.к. не понимаю откуда там вирусы и что вообще делают. У самого дома на компе Ubuntu8.10, ни с однго варезника ничего не цепляет.
Похоже у семантека нет версии портейбл. А инсталл требует не много ни мало, а полноценный инсталлер. Как это сделать на флешке? Надо как-то тут искать.
Опробую ещё комодо.
Но т.к. это тема семантека, то буду рад вариантам переноса полноценной версии или для именно сменного носителя. Кстати, нашел сканер от нортона2004. Вполне запускается, но надо каждый сканер конфигурировать на каждый отдельный диск. Конечно это не сложно. Недостаток этого метода, на самой флехи нельзя сделать обновления. Точнее у меня не выходит.

mudrij_p

Цитата:

Я наверно неправильно объяснил. У меня в консоли появилась новая серверная группа, при этом я новых серверов симантека не вводил.

Я про это тебе и написал, это известный глюк старых версий Symantec Antivirus Corporate Edition. Новая серверная группа создается сама и все клиенты в нее переползают.

можно ли ставить Symantec 10 в рабочую группу? или это только для домена?

LAKERS824

Цитата:

можно ли ставить Symantec 10 в рабочую группу?

Можно.

До сих пор опыта с SAV Corp. по настоящему не имел.
Вернее, стоит на PDC несколько лет сабж 9-й версии только как локальный антивирь, обновляемый вручную.(мы его сейчас не трогаем)
Взял для более основательного освоения сабжа две тачки с XPsp2.
На одной поставил серверную часть 10.1.7.7000_AllWin_RU и SSC 10.1.7001.7 на другой удаленно установил клиент той же версии.
После копирования в нужное место на клиенте файла GRC.DAT клиентский комп появился в списке сервера. На сервер в папку с файлом Rtvscan.exe скопирован свежескачанный xdb.
При обновлении баз на клиенте с консоли сервера выдается:
"Программа Symantec Antivirus начала загрузку файла обновлений на следующих клиентах ***.Для того, чтобы узнать, были ли обновлены описания на выбранных клиентах, обновите окно консоли"
Проверяю: файлы описаний не обновлены. В чём м.б. причина?
P.S.брэндмауэры на оьеих тачках отключены.
Обнаружил, что на клиенте описания можно обновлять через скачанный экзешник, но хотелось бы, конечно, через сервер.

Цитата:

На сервер в папку с файлом Rtvscan.exe скопирован свежескачанный xdb.

На
http://service1.symantec.com/support/ent-security.nsf/854fa02b4f5013678825731a007d06af/688fe96145b11ae3492574ff0021e4d6?OpenDocument

"Automatically updating definitions using the .xdb file
Symantec provides a batch file that you can schedule to update the definitions with the latest .xdb file. This batch file automatically downloads and extracts the latest .xdb file from a statically named executable (Navup8.exe), and copies the .xdb file to the appropriate location. For more information, read the document:

"Updating Symantec AntiVirus Corporate Edition virus definitions without using LiveUpdate." at:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2004061116024848"

Указано, что понимимо копировки в дир семантека надо запускать Navup8.exe. Приятно удивлен, что документировано самим семантеком.
Все это работает. Но у меня вопрос о самом этом обновление ****.xdb. Оно соответствует интернетовскому лив апдейту? Почему держится на 40-57 мегах еженедельно?

SergejFk Сенькс! После использования Navup8.exe стали обновляться клиенты!

to All:
Оба-на... Обнаружилось, что на тачке с сервером SAV (XPsp2;FAT32;брэндмауэр откл.) пропал доступ извне ко всем файловым шарам(!). Это тем более прискорбно, что есть планы установки серверной части SAV на файловый сервер с w2k3.
P.S. Вычитал, что вроде бы на серверной части SAV используется так называемый Client-Firewall, это он что-ли, перекрывает доступ по сети? Как его отключить? Попробовал в параметрах автоматич.защиты убрать галки на "Искать угрозы безопасности" и "Блокировать угрозы безопасности". Не помогает...

Камрады, я извиняюсь, но неужели на миллионах(?) компов с установленным
SAV SE 10 никому не приходило в голову делать файловые шары?
Или только мне и ещё одному бедолаге в 2005г. с SAV SE 8.1
(ответа ему так и не было, повесился, видать...надо и мне верёвку искать )

forb
на десятках серверах (W2000 srv, w2003 srv) стоит SAV 10.
Проблем доступа к шарам нет.

forb

Цитата:

Обнаружилось, что на тачке с сервером SAV (XPsp2;FAT32;брэндмауэр откл.) пропал доступ извне ко всем файловым шарам(!)

Было один раз такое на очень старом компьютере под W2K. Это была проблема операционной системы, а не SAV. А в твоем случае это может усугбляться файловой системой FAT32.

Sav 10.1.6000, SSC. Все стоит на одном сервере. Обусловлено это тем, что тока он видит все виланы.
Какие причины могут быть:
1. Пропадание обновления, после паузы входа в сеть в неделю или больше.
2. Клиенты Wind2000Sp4, WindXPSp1&2&3 периодически отваливаются. Встроенный брандмауер в откл. Все службы по дефалту. Шары семантека по умолчанию.
Куда смотреть?

SergejFk

Цитата:

Куда смотреть?

Посмотри в консоли/сервис/служба обнаружения. Там есть кнопки "очистить кеш" и "начать обнаружение". Интервал, по умолчанию, 480 минут.