» Корпоративные продукты McAfee / Networks Associates (NAI) II

GnomS
У меня тоже такая беда.
Хорошо хоть не на всех машинах, но штук 5 есть.
Это происходит скорее всего из-за того что не стартует (или стартует, но очень медленно) служба McShield.
Об этом в виндовом eventlogе имеются соответствующие записи.

На нескольких компах вылечилось добавлением оперативки. Т.е. если мало памяти, а этот процес очень прожорливый, то включается свопинг, из-за чего происходят сильные тормоза.
Ну это мои измышления. На всех компах так и не победил - память кончилась.

Всем привет!
McAfee с последними обновлениями пропускает какого червя, который создает подключение z-connect и папки в корне диска С такие как Driver, Recycled
Кто как с таким зверем боролся?

shukurov
Действительно данные червяки McAfee пропускает. Мы боролись с Recycle - удаляешь из реестра в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components (там есть куча подразделов ) ссылку на папку Recycle. После этого грузишь машину и удалаешь саму папку. После этого создаешь точно такую же, но права делаешь на нее для пользователя который на этой машине вообще никогда не работает. на счет папки DATA ,(еще бывает Driver) там все запутаннее. Мы себе когда поставили на одну из машин с нуля 8.7i c интегрированным Patch 1 он этот вирус нашел, а вот когда обновился до более нового DAT файла уже не находит. Странно.

res2001
на счет памяти это не решение. у меня на многих машинах тормозит и оперативы там стоит 2-3 Гб и процы стоят 2-х или 4-х ядерники. Сейчас разворачиваем патч 1 через оркестратора, на некоторых машинах раземетные улучшения, на некоторых не значительно, а на некоторых вообще никак. Так что вопрос остается открытым.

GnomS
Спасибо но ведь папка Recycle не единственная (или с неё все начинается?)
Ведь ещё есть папки Data, System и на F диске папка Setup
Маккафи как всегда самоуверенно ещё в апреле заявил что удаляет данный вирус (как и в случае с конфикером).

shukurov
Как я понял папку Recycle создает один из разновидностей червя, а вот папки DATA, Driver это какая то другая разновидность другого червя. Как именно со второй бороться я не знаю. Мы просто в компани держим два паралельно антивиря (один стоит почти на всех, другой только на некоторых), если один не находит, другой найдет точно. Бывают ситуации что оба ничего не находят, но это очень редко.

Каспера пишет такое

c:\Driver\Files\zerX.exe Backdoor.Win32.Poison.abkb
c:\RECYCLED\BIN\ok.exe Trojan.Win32.Agent.ckeq
c:\Documents and Settings\Admin\(9значный набор символов).exe Trojan.Win32.Agent.ckeq
c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FIX.EXE Trojan.Win32.VB.jid

и благополучно удаляет. VSE 8.5.0 (P8) с версией DAT файла 5634.0000 молчит

Добавлено:
Кстати дополнительно вопрос:
При еРО 3,6 я заходил на клиентские http://ip:8081 и все ок, после перехода на еРО 4 уже облом, не заходит. В чем может быть проблема.

netstat -an пишет

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:8081 0.0.0.0:0 LISTENING
TCP xxx.xxx.xxx.xxx:139 0.0.0.0:0 LISTENING
TCP xxx.xxx.xxx.xxx:1076 172.18.80.5:445 ESTABLISHED
TCP xxx.xxx.xxx.xxx:1838 172.18.82.55:445 ESTABLISHED
TCP xxx.xxx.xxx.xxx:2590 172.18.80.4:3128 ESTABLISHED
TCP xxx.xxx.xxx.xxx:2654 172.18.80.22:8443 ESTABLISHED
TCP xxx.xxx.xxx.xxx:2655 172.18.80.4:3128 TIME_WAIT
TCP xxx.xxx.xxx.xxx:2656 172.18.80.22:8443 ESTABLISHED
TCP xxx.xxx.xxx.xxx:2659 172.18.80.4:3128 TIME_WAIT
TCP xxx.xxx.xxx.xxx:2668 172.18.80.4:3128 TIME_WAIT
TCP xxx.xxx.xxx.xxx:2670 172.18.80.4:3128 TIME_WAIT
TCP xxx.xxx.xxx.xxx:2672 172.18.80.4:3128 TIME_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:2544 *:*
UDP 0.0.0.0:2685 *:*
UDP 0.0.0.0:4500 *:*
UDP 0.0.0.0:8081 *:*

Вопрос снят. Первая проблема решилась сторонними продуктами, вторая - решилась путем пересоздания агентов. Всем спасибо!

Кто нибудь ставил VSE через еРО на линукс (Mandriva2009)? Если да, то подскажите какие компоненты необходимы для еРО или для Мандривы?

Всем здрасти! Вот и у меня слетел еРО4,0. А конкретнее пропали мои репозитарии. В Dushboard'e - DAT & Engine - Not Present. Нажимаешь на Software вылазит ошибка "An unexpected error occurred." и ОК внизу и все! Как можно решить данный трабл без переустановки ПО? У кого было такое? Вот незадача

To Rossiyanka

Try to restart services, if not helped -
https://kc.mcafee.com/corporate/index?page=content&id=KB53736

ИМХО только переустановка...

Guest88
Я тоже в базе искала, но наверно по другим критериям и не нашла. А тебе огромное спасибо, твоя ссылка мне помогла, обошлась без переустановки, теперь по-новой сижу пакеты добавляю и обновляюсь. Вопрос закрыт!

Добавлено:
Между прочим, тут на форуме я быстрее получила ответ, чем от поддержки дебильной, вот колхозники, не могут понять моей проблемы, как детям все отписала, скрины подцепила, а они нуждаются еще в моих комментах, вопросы идиотские задают. Вобщем пару раз помогли и пару раз - НЕТ!!!

Стоит нам самим оставить контакты для стран СНГ и помогать нуждающимся!

Пожалуйста Rossiyanka.

Я не из СНГ и пытаюсь помочь не только на этом форуме, восновном на forums.mcafeehelp.ком
Очень полезный ресурс знаете ли..

Добрый день!
У кого есть опыть инсталляции агента и VSE на линукс через еРО, или он как то по другому должен ставится?
Спасибо!

Доброго вечера. Знатоки нужна помощь... при попытке инсталлировать агента с Epolicy 4.0 на клиентскую машину говорит следующее "Failed to authenticate with remote system, system error: Logon failure: unknown user name or bad password."
логин и пароль использую от пользователя на данной машине.

Medvedbpg
а учеткой домен админа не пробовали?

Medvedbpg
если машина в домене то на самом деле почему не ставите от доменного админа?
если не в домене.
тут есть несколько подводных камней. во первых по умолчанию включен гостевой доступ к компьютеру из сети. поэтому его надо обязательно выключить. потом длинна пароля должна быть не менее 3х символов, либо убрать ограничения в политиках. ну и обязательно сетевой доступ к реестру и отключенный файрвол. и лучше всего ставить от встроеного админа, а не от залогинившегося пользователя, там есть куча ньюансов.

есть такая трабла:
на компах стоит Radmin, в ePO политиках прописано исключение (Unwanted Programs).
В статике все работает без проблем. Проблема при добавлении новой системы в ePO: radmin уже стоит, делаю деплой VSE, он благополучно косит Radmin. Насколько я понимаю, проблема в том, что политики не успевают еще примениться, а его уже покошено. Есть ли выход??

NickolayUA

Цитата:

политики не успевают еще примениться, а его уже покошено. Есть ли выход??

Что понимать под понятием покошено? Он его блокирует, или вообще удаляет из системы? Если просто блокирует, то это не страшно, после применения политик разлочит. А если удаляет, то х.з., вроде не наблюдал такого поведения...

NickolayUA

Цитата:

Проблема при добавлении новой системы в ePO: radmin уже стоит, делаю деплой VSE, он благополучно косит Radmin. Насколько я понимаю, проблема в том, что политики не успевают еще примениться, а его уже покошено. Есть ли выход??

Бывало такое, если сразу после деплоя VSE, но до применения политик, пробовать заходить на комп по Radmin.
Но если его в этот период не "дергать", то все ок.

NickolayUA
есть лекарство от вашей проблемы. Installation Designer называется.

[q][/q]NickolayUA
Была такая же проблема. Создал с помощью утилиты Installation Designer инсталляционный пакет VSE, в котором прописал исключения для Radmin, теперь VSE его не трогает.

Цитата:

Что понимать под понятием покошено?

удаляет

Цитата:

Бывало такое, если сразу после деплоя VSE, но до применения политик, пробовать заходить на комп по Radmin. Но если его в этот период не "дергать", то все ок.

возможно, не обращал внимания на это - надо попробовать...

Цитата:

есть лекарство от вашей проблемы. Installation Designer называется

Спасибо всем, буду осваивать Installation Designer

djkatso
+1

Medvedbpg
получилось?

Имеем VSE-8.5i, ePO-4 и накрытую ими сетку с компами.
Нужно создать в политике правило, запрещающее создание EXE файлов в каталогах типа "C:\Documents & Settings\UserName\Application Data".
Как правильно вписать путь в поле "File or folder name to block: (Wildcards are allowed)"?
Например:
%UserProfile%\%AppData%\*.exe
%UserAppData%\*.exe
или как нибудь ещё?

To Caseyjones

C:\Documents and settings\**\Application Data\*.exe

or

C:\Documents and settings\**\Application Data\**\*.exe

Доброе время суток!
Есть два вопроса:
1. Нечаянно удалил ePO Agent for Linux в Конфигуции-экстешн, как его поставить заново?
2. При инсталле агента 4,0 для линукса в соответствии с инфтрукцией на сайте маккафи скопировал файл install.sh на свой debian и при запуске выдает ошибку в строке 165 rpm не найден. Когда вручную попытался поставить эти rpm то ругнулся на зависимости на более ранние версии rpm-ок. Теперь же при ./install.sh -i выдает
ошибка: Неудовлетворенные зависимости:
/bin/sh нужен для MFErt-2.0-0.i686

Подскажите куда рыть?

Guest88
Спасибо! А никак переменные окружения нельзя здесь задействовать? А то D&S может меняться иной раз, хотелось бы брать именно значение параметра, а не фиксировать точный путь...

Всем привет!
Кто нибудь сталкивался с установкой mcafee агента на Дебиан?

To Caseyjones

Использование системных переменных в Access Protection Policies поддерживается но далеко не всех.

https://kc.mcafee.com/corporate/index?page=content&id=KB58695