» Symantec Antivirus Corporate Edition (часть 3)

2 SergeyMark
Как определить или правильнее какой интервал актуальнее? При условии, что вся сеть и клиенты в локалке 100ТХ.
У меня по-моему этот интервал стоит 30 мин.

SergejFk

Цитата:

Как определить или правильнее какой интервал актуальнее?

В инструкции написано так:"В Symantec System Center предусмотрено несколько параметров для настройки
процедуры передачи описаний и изменений конфигурации с серверов на клиенты.
Попробуйте поработать с разными значениями этих параметров и выбрать те из
них, которые оптимально подходят для вашей среды.". У меня такое случалось только один раз. Оказалось достаточным нажать поочередно кнопки "очистить кеш" и "начать обнаружение". У меня в этой настройке 240 минут.
Посмотри еще одну настройку: в консоли раскрыть группу>все задачи>Symantec Antivirus>Диспетчер описаний вирусов> - здесь должен стоять чекбокс "Обновлять описания с родительского сервера" и справа от нее кнопка "параметры". В "параметрах" я ставлю 30 минут.

SergeyMark
Спасибо!
Появилась ещё одна задачка из проблемных.
Ситуация как
http://www.u-antona.vrn.ru/forum/showthread.php?t=366849
http://forum.windowsfaq.ru/showthread.php?t=75767
"system_v.exe - вирус, его не ловят антивири."
Но у меня выявил пока на пяти компах.
В %%\System32\Sysuser\System.exe - Userinit.exe. Блокировали печать ( принтера не видно, не устанавливается ), не работает по некоторым прогам инсталлер.
Виден четко в Процесс эксплорер от Марка Руссиновича. Диспетчер M$ задач молчит.
Ничего не нашел лучшего, как загрузить с флэшки или ливсд, на более старом компе - удалить System.exe и саму \\Sysuser. Локально хоть с админскими правами, хоть в сейф моде удалить не выходит.
Вирь пропустил Symantec, Nod32. Все обновлениями за эту неделю ( 20.04 ).
Вопрос! Как отловить, определить ету штука на остальных компах в сети. Количество под 400 - 500.
Есть сервера Symantec10.1.6000 & Nod32
Есть ли такая утила, что можно было через GPO ...js запустить. Что вообще её лечит?
Кстати, поиск по "System.exe" на сайте Symantec, ничего не дал. А вирусу уже почти пол-года, если не больше.
Просьба откликнуться.

SergejFk

Цитата:

System.exe

Довольно известный вирус, распространяется в основном на флешках и других носителях информации. Symantec Antivirus Corporate Edition с ним не справляется. Symantec Endpoint Protection (SEP) его видит и удаляет на лету. Я уже начал переводить свои офисы на SEP. Пока перевел один, самый большой.
Из утилит с этим вирусом хорошо справляется бесплатная лечащая утилита Dr.Web CureIt!®. Можно ли ее запустить через GPO не знаю. Еще утилита AVZ говорят с ней справляется, сам использовал только CureIt!®.
Везде где можно поотключал USB порт. Где отключать нельзя поставил USB Disk Security, программа платная, проверяет сменные носители на наличие загрузочного вируса. Есть и другие похожие программы.
Чужие советы скрыл под
#
нажми
Цитата:

Редактировать

Цитата:

Чужие советы скрыл под
#
нажми

Не понял, о чем это?
Я занимался пятью компами, на трех AVZ показал красным, что есть подозрение не понятно на что. Даже не тронул. При повторе особо не оригинальничал, снова показал это самое.
Др.Веб не пробовал, хотя есть портейбл версия.
Нашел возможно более действенный способ.
Сделал *.рег файлик на удаление старта этой малвари.
Не знаю как приатачить его на форум, поэтому в цитате:

Цитата:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]

"C:\\WINDOWS\\system32\\sysuser\\sys.dll"=-
"C:\\WINDOWS\\system32\\sysuser\\system.exe"=-
"C:\\WINDOWS\\system32\\sysuser\\SetUWRights.exe"=-
"C:\\WINDOWS\\system32\\sysuser\\svchost.exe"=-
"C:\\WINDOWS\\system32\\sysuser\\Sys2.dll"=-
"C:\\WINDOWS\\system32\\sysuser\\sys_v.dll"=-
"C:\\WINDOWS\\system32\\sysuser\\Logs\\SetRights.exe"=-
"C:\\WINDOWS\\system32\\sysuser\\wssfcmai.exe"=-
"C:\\WINDOWS\\Temp\\rights.exe"=-

Все работает. Потом надо поправить права на дир C:\WINDOWS\system32\sysuser\ - далее удалить. Все.
На как сделать, что *.рег запускался без вопроса "чего делать?" - "Нажмите Ок!" ???
Так бы сделал батник и в политики.
С одним компом было б не вопрос, а вот сотнями, надо покупать тока для этого кроссовки .
Буду рад, если подскажете как запускать в батнике файлик на удаление DWORD в реестре.
Понятно, на выходных потестю на виртуалке.

SergejFk

Цитата:

На как сделать, что *.рег запускался без вопроса "чего делать?" - "Нажмите Ок!" ???
Так бы сделал батник и в политики.

REGEDIT /S "D:\path\filename.reg"
(при отсутствии пробелов в пути кавычки можно опустить). Ключ /S (сокр.
silent) подавляет запрос на подтверждение внесения изменений в реестр и
появление сообщения о внесении изменений.

2 monsoon
ПАСИБОЧКИ!

SergejFk

Цитата:

Не понял, о чем это?

Если нажать надпись "редактировать" то можно увидеть скрытый текст. Там чужой совет:"Скачать утилиту AVZ, в меню файл/Выполнить скрипт/В окно копируем скрипт/Выполнить/Перегрузка.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Gadjy\Local Settings\Temp\~DFA223.tmp',' ');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\ssHelios.scr','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Или:
Flashcontrol v.2.5
Программа предназначена для удаления вирусов с Флеш-накопителей и жестких дисков. В отличие от anti_autorun удаляет не только файлы autorun.*, но и сами вирусы и следит за их появлением в реальном времени. В версии 2.5 кардинально пересмотрен интерфейс программы, при нахождении вируса в памяти он автоматически выгружается из памяти, задействованы все варианты очистки автозагрузки, теперь есть возможность безопасно извлечь флэшку при загруженной программе, а также новая версия программы проверяет все доступные диски сразу (а не только флэш-носитель)

Или:
Anti-autorun 2.0
Программа-антивирус для борьбы с вирусом Win32.Small.k, который заражает диски, флэшки, mp3-плееры и т.п., прописывая в них 13 файлов AUTORUN.* В обновленной версии можно уберечь хорошие файлы AUTORUN.* от беспощадного удаления, очистить только флэшку, посмотреть статистику (сколько файлов AUTORUN.* у вас на компьютере). Файл можно запустить с флэшки и очистить зараженный компьютер."

Добавлено:

Цитата:

Др.Веб не пробовал, хотя есть портейбл версия.

Попробуй на одном компьютере. Но не портейбл, а CureIt!®. Загрузи компьютер в режиме от сбоев (F8) и запусти. Результат тебя наверняка порадует. После этого обязательно удали все временные файлы и кукисы интернета, а за тем почисти реестр.

Цитата:

Нашел возможно более действенный способ.

На мой вгляд это решение только половины проблемы. Этот "зверь" оставляет в разных папках свою копию с расширением *.tmp и регулярно подгружает "себя любимого" из интернета.

Помогите суперчайнику!
1. На контр.дом. был установлен SAV версия 8... Обновления кладу еженедельно. стал казать что автоматическая защита типа отключена. такой желтый прямойгольник выползает. удалила. хочу поставить 10 версию не дает. виснет при проверке на ошипки. 8 версию ставит. вопрос? как поставить 10?
2. если поставлена 8 на сервере, ставлю 8 на клиенте. но нетуверенн. что нормально работает. не пишет дату обновл. вопрос? точно обновляеться?
3. если ставить 10 на клиента с 8 на сервере пишет либо -не найден сервер либо - "при наличии брэндм убедитесь втомчто не блок. вход. имена NetBIOS." брэнд отклбючен. вопрос? как с этим бороца?
4. поставила еще сервер на не конр.дом. 10. хочу подкл. клиента к нему - пишет что этотсервер управляемый\. а надо первичный неуправляемый. вопрос? что вобще делать?

larkusik

Цитата:

2. если поставлена 8 на сервере

Цитата:

что вобще делать?

1. Удали консоль от восмерки.
2. Обнови сервер до 10-ки.
3. Поставь консоль для 10-ки.
4. Сделай в консоли настройку, в 10-ке появились новые пункты меню.
5. Из консоли обнови всех клиентов.

1. консоль -это клиент?
2. сервер не обновляться до 10. виснет на процентах проверки.

SergeyMark

Цитата:

Если нажать надпись...

Странно, на ру-борде есть возможность редактировать чужой пост?.. Вот так новость!!!
НО о моих делах. Я столкнулся с вирусом, который не сечёт Nod32 (2.27, говорят вышла 4-ка, может там это работает?), как Sav 10.1.6000. По-моему нашел его тело, "хвост" проявлялся косвенно в блокировке принтера и инсталлера от M$.
Если не ошибаюсь в 12:23 25-04-2009 описан хвост Conficer или одну из его разновидностей. Его хвост имхо на на флешке в файле autorun.inf & RECYCLED\\\...jwx. Сейчас проверяю предложение от ][ 03.2009. Там говорится, надо создать каталог с защитой записи на флехе autorun.inf и конфикеру кэрдык.
У меня вопрос,
SergeyMark описал в 12:23 25-04-2009 Conficer, не так ли? Но мой вариант происходит от

Цитата:

svchost.exe & wssfcmai.exe

- это и есть тело вируса Conficer? Или эта другая малварь?
ЗЫ. Неплох вариант по устранению Conficer на Решение проблемы AutoRun-вирусов (отключение autorun.inf)
ЗЗЫ. Скоко стоит SEP11 ( Server + 200 пользователей ) и где узнать? Кроме SoftKey пока ничего путного не нашел, но там нет четкого ответа.

larkusik

Цитата:

консоль -это клиент?

Symantec Antivirus Corporate Edition состоит из трех компанент, консоль+сервер+клиент. Предлагаю скачать и прочесть инструкцию по установке, на Русском. _http://rapidshare.com/files/226196080/savinst.zip.html
MD5: BB903F41E1274543A3822CEC6BCD0304


SergejFk

Цитата:

Скоко стоит SEP11 ( Server + 200 пользователей ) и где узнать?

Узнать можно на _www.softline.ru , они и каталоги бесплатно рассылают.

Цитата:

это и есть тело вируса Conficer?

Тел вируса может быть несколько и в разных местах. Испытай на одной из машин CureIt!®, утилита бесплатная, обновляется каждый час. После "быстрой проверки" обязательно запусти "полную проверку", утилита покажет кто и где прячется.

2 SergeyMark
Дело приняло для меня неожиданный поворот.
Удалив на пяти компах строки в реестре C:\WINDOWS\system32\sysuser\ и одноименную папку из системного диска, восстановил работу печати.
Но т.к. нет сообщения на вирус тотал, что это именно вирус моёёё начальство говорит, что это не вирус, а результ какого-то сканирования типа LanAgent или взлома - крэка. Т.е. вполне знакомая вещь. Хоть для меня результат удаления этих вещей более чем очевиден, но как откуда доказать, что наличие в C:\WINDOWS\system32\sysuser\ файлов svchost.exe & system.exe & wssfcmai.exe есть НЕХОРОШО, даже если это конкретно не описано ни на одном антивируснике?
Вот такой пародокс! Чего делать?
Так все-таки Conficer сидит в C:\WINDOWS\system32\sysuser\ или в autoruns.inf + RECYCLED флешки? Это как-то связанные вещи?

SergejFk

Цитата:

Так все-таки Conficer сидит в C:\WINDOWS\system32\sysuser\ или в autoruns.inf + RECYCLED флешки? Это как-то связанные вещи?

По моему ты сильно зациклился на одном вирусе. Как правило в систему проникает "букет" троянов. Если в поисковике напишешь autoruns.inf, получишь огромное колличество ссылок. Обычно autoruns.inf копирует себя в корни всех дисков, а его модификация сидит во всех папках RECYCLED, не только на флешке а на всех дисках и корзина при этом отображается как пустая.

Согласен по зацикливанию, есть тоффарищи способствующие. Но чего такое "C:\WINDOWS\system32\sysuser\" имеет "право быть под солнцем"? или малварь какая-то? Перечень файлов в файле *.рег на удаление.

SergejFk
google

SergejFk
Попалась на глаза статья "как избавиться от malware" _http://www.hwp.ru/articles/Nezvannie__ABgosti_BB_kak_izbavitsya_ot_malware_64860/?CODE=Nezvannie__ABgosti_BB_kak_izbavitsya_ot_malware_64860&other=&SHOWALL_1=1
Прочти, может найдешь в ней что ни будь для себя.

СПАСИБО Verwolk & SergeyMark!!!
Погуглить наши просторы конечно пытался, но прямым копипастэм С:\\\\...
Но LanAgent я не ставил, а юзы, где это было - знают об одной кн. ПОвер. Этого им достаточно. Про чего-то скан по сети едва ли вариант, другие там не ходют и не садятся за клаву. Стал быть чего-то просочилось извне. Кстати, сеть в инет не смотрит.
Единственное что часто упоминается среди штатных режимов - это работа клиента MySQL Server. В этом случае, как и задумано самой M$ там прописывается дир C:\WINDOWS\system32\sysuser\. Но никто не разворачивал у нас в сети этот сервак - это 100%. Скорее малварь как-то маскируется под это дело.
По гугломобилю пока видны либо шуточки, либо эксперементы с AVZ. Последняя прога интересная и любопытная, но как правило тогда когда точно знаешь чего-то надо искать.
Как говорится в сериалах:"Продолжение следует..."

Привет всем, понимаю что на ленте все есть но как всегда нехватка времени, помогите, у меня стоит(только поставил) Symatec CE 10.0.2.200, на на XPSERV2003, плюс консоль управления, в сети дето 200 машин, на серваке обновлеятся с update, но клиенти не обновляются, плюс все горят красним крестом, помогите, очень прошу обясните как для чайника, спасибо

jaroxa

Цитата:

как всегда нехватка времени

Цитата:

в сети дето 200 машин

Если в сети 200 машин, то перед тем как устанавливать новый сервер следовало внимательно прочитать инструкцию и хоть немного подготовиться к возможным проблемам.

Цитата:

XPSERV2003

Это что за зверь такой? Или опечатка?

Цитата:

клиенти не обновляются, плюс все горят красним крестом

А клиентов как ставил? Консоль перед установкой клиентов настраивал? Какие операционки на клиентах? Файрволы на клиентах включены? В сети есть ISA Server ?

Спасите-помогите, знаю что ето есть на ленте но очень надо срочно и как для чайника, поставил Symantec CE 10.0.2.2000 на Winserv2003 все удачно он обновляется с LiveUpdate, но клиенти необновляются с него, как их обновить автоматом, и к всему етому клиенти горят красним цветом, помогите, только плиз как чайнику.Спасибо зарание

Добавлено:
Опечатка, ISA сервера нет, клиентов ставил с сетевой папки VPHOME, консоль настроена на серваке, файерволи какие???Symanteca или вообще, на клиентах ХР SP2

Вопрос по серверу репортинга. Никак не удается поставить новый сервер репортинга, какая ошибка с MS SQL, на старом сервере база работает. Но нужно мигрировать сервер на новую железку. При установке проходят все этапы установки на IIS, потом после надписи configuring database, все откатывается обратно(Rolling back) и выдает что установка Failed.

В Евентах следующие ошибки:
Event Type:    Information
Event Source:    MsiInstaller
Event Category:    None
Event ID:    11708
Date:        29.04.2009
Time:        15:52:50
User:        
Computer:    
Description:
Product: Reporting Server (Symantec Corporation) -- Installation operation failed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Сайт EventID говорит, что " Product: Symantec AntiVirus - See the link to "Symantec Support Document ID: 2004112515491748". "
Но документа с таким ИД не нахожу в базе знаний Симантека.

Подскажите в чем грабли.

jaroxa
В консоли разблокируй группу сереров, правый клик по новому серверу "Сделать сервер первичным". Далее настраивай диспетчер описаний вирусов например как на картинке _http://rapidshare.com/files/227380254/1_.jpg.html

Цитата:

файерволи какие???Symanteca или вообще, на клиентах ХР SP2

Файрвол на сервере с Symantec Antivirus Corporate Editio может мешать обновлениям клиентов. Файрвол на клиентских компьютерах может мешать обновлению, для тестирования можно отключить на паре компьютеров, а потом настроишь.

А сам Symantec Client Firewall нужно включить????

Добавлено:
Да ето все я сделал, но на клаентах пишет что последнии обновления били 13,04,2009 после етой дати некаких манипуляций непроисходило ни с сервером ни с клиентами, в чем бок может бить???

Добавлено:
А что такое Live Update Administrator? ей тоже можно обновлятся или лутше с самого Symanteca, я так понял она создает архив с обновлениями или как, подскажите, может ето из ней нехотят клиенти обновлятся?? Еси можно скинте какуюто инфу или инструкцию

Ребят, помогите с вопросами:

1. Установку и настройку сервера проводил не я. В настоящий момент, служба symantec сконфигурирована на отправку отчетов при обнаружении угроз средствами net send, что пугает и вводит в смятение пользователей и системных администраторов. Как сконфигуровать посылку сообщений по e-mail и только администраторам.

2. Где можно настроить исключения SAV, чтобы он не "съедал" действительно нужные файлы (н-р, патчи)? Где искать такие файлы потом (в изоляторе их нет - ни на клиенте, ни на сервере)?

jaroxa

Цитата:

А сам Symantec Client Firewall нужно включить????

нет

Цитата:

Да ето все я сделал, но на клаентах пишет что последнии обновления били 13,04,2009 после етой дати некаких манипуляций непроисходило ни с сервером ни с клиентами, в чем бок может бить?

Сделай перезагрузку сервера, еще раз проверь файрвол, попробуй сделать обновление вручную (запусти LiveUpdate). А ты вобще настроил "диспетчер описаний вирусов"?

Цитата:

А что такое Live Update Administrator?

Если у тебя все клиенты x32, то он тебе не нужен. Если есть клиенты x64, или еще другие продукты от Symantec, то он понадобится.
Вот инструкция по инсталяции SAV :
http://rapidshare.com/files/229281264/savinst.zip.html
MD5: BB903F41E1274543A3822CEC6BCD0304
Вот инструкция по администрированию SAV :
http://rapidshare.com/files/229280599/savcadmn.zip.html
MD5: BF11DA7BE26D01988D13C9F88D8FB049


Добавлено:
cluster

Цитата:

2. Где можно настроить исключения SAV, чтобы он не "съедал" действительно нужные файлы

Добавить в глобальные исключения в консоли ( смотри на картинке http://rapidshare.com/files/229282940/3_.jpg.html ), или добавить в исключения на локальной машине.

SergeyMark

Цитата:

Добавить в глобальные исключения в консоли

Там только типы угроз, а хотелось бы указать конкретные файлы

По моему прошлому сообщению, так никто ничего и не подсказал, но я сам нашел ответ. оказываеться некорректно был установлен Сервер Симантека, в чем неккоректность сложно сказать, потому что ставился как и 3 предыдущие раза...


Цитата:

Там только типы угроз, а хотелось бы указать конкретные файлы

В консоли в нужной группе symantec antivirus->client auto protect options->exclusions и выбрать папки какие исключаются или расширения.

Всем привет!
Когда-то стоял семантек 10.2 на 2003 сервере!
Больше всего нравилось, что Allert менеджер мог отсылать сообщения о вирусной атаке по почте!
Недавно переставили сервер. настроили семантек сервер и клиенты, поставили Allert менеджер! Но сообщения о вирусной атаке по почте приходят только если атака на са мом сервере, а с клиентов никак.
Можа кто знает где поставить галочку, что б при атаке на клиентов отсылались сообщения на мейл.
Спасите кто может, Очень нужно!!!