Перейти к содержанию
named

Trend Micro заблокировал почту

Recommended Posts

named

Приветствую, подскажите. Тренд микро нистого ниссего, заблокировал 70 % почты на Эксчэндж. при этом опнятно что это всё была нормальная почта. настроек не менял. подскажите как вернуть почту. вместосообщений надпись

The original message content contained a virus or was blocked due to blocking rules and has been removed.

даже на те сообщения которые были давно присланы.

при этом если есть вложения то они в порядке.

размер базы соответствует действительному.

помогите, иначе меня просто растреляют.

спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

named, а заблокировались письма с атачем только или все подряд?

Вообще какая-то логика наблюдается, какое заблокировано, а какое нет?

Судя по сообщению, письма содержат вирус и были заблокированы. Возможно это произошло после обновления антвииурсных баз. Может попробовать откатить базы, посмотреть не уйдет ли ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

А какой продукт стоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

named

Я так понимаю используете ScanMail for Exchange?

Какая версия?

Включен ли антиспам?

Данная надпись в логах?

Написано ли название вируса?

Не создавали новых контентных фильтров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
named

Блин ребята извнинте не видел сообщений.

:oops:

принцип какой. заблокированно тело писем, тоесть вместо "привет милый как дела.. и тд и тп"

The original message content contained a virus or was blocked due to blocking rules and has been removed.

но вложения остались, и нормально открываются. только нет тел писем.

НО !!! создается впечатление что тела заблокированны так как размер писем вроде тот же. база порядка 24 гигов писем много.

с такой базой трудно работать, просто даж делать бекап, тепболее хранить несколько копий. но отсавил бекап на следующее утро после катострофы.

ScanMail for Exchange (не мопню в голове уже пару книжек по МТА)

Exchange 2003 (6,5,777....)

как откатить обновления ??? очень жду.

если кто может отвечайцте пожалуста по раньше.

начну работы с 7 утра, так как ранее просто не дотянусь.

всем спасибо

Добавлено спустя 3 минуты 13 секунд:

Включен ли антиспам?

-- был включен

Данная надпись в логах?

Написано ли название вируса?

-- внятно ответить не смогу, ничгео адекватного своей логике не нашел :oops:

Не создавали новых контентных фильтров?

нет ничего не делал.

Добавлено спустя 26 минут 7 секунд:

правльно ли следующее ??

Rolling Back a Component Update

If ScanMail has downloaded the current components, but you want to use a previous

component, you can manually roll back the component update.

To manually roll back to a previous component:

1. Stop the following ScanMail services:

• ScanMail for Microsoft Exchange Remote Configuration Server

(scanmail_RemoteConfig)

• ScanMail for Microsoft Exchange Master Service

(scanmail_Master)

2. Delete all the files in:

• "<Install folder>AU_Cache"

• "<Install folder>AU_Temp"

• "<Install folder>webactiveupdate"

3. Roll back the Virus pattern file and the Additional Threats pattern file.

a. Remove the most recently downloaded pattern files from this location:

"<Install folder>enginevsapi"

b. Remove the following files. Verify that ScanMail has already downloaded

an older version of these files to which you can roll back.

• The Virus pattern file:

ex:lpt$vpn.xxx

• The Additional Threats pattern file:

tmaptn.xxx

Where "xxx" refers to the latest pattern file download.

For example: If you have recently downloaded Virus pattern file

ex:lpt$vpn.345 and you want to roll back to a previous download pattern,

ex:lpt$vpn.344, then delete ex:lpt$vpn.345 and ScanMail will begin to

use ex:lpt$vpn.344.

c. Delete all files in:

• "<Install folderenginevsapiprimarypattern"

• "<Install folderenginevsapisecondarypattern"

Trend Micro™ ScanMail™ for Microsoft™ Exchange Administrator’s Guide

3-12

4. To roll back Anti-spam pattern file:

a. Remove the latest pattern in:

• "<Install folder>engineTMASElatestrule"

• ex:tmxxxxxx.*

"xxxxxx" means the latest version.

b. Delete all files in:

• "<Install folder>engineTMASEprimaryrule"

• "<Install folder>engineTMASEsecondaryrule"

5. Start the following ScanMail services again:

• ScanMail for Microsoft Exchange Remote Configuration Server

(scanmail_RemoteConfig)

• ScanMail for Microsoft Exchange Master Service

(scanmail_Master)

и пропадёт ли почта ? которая была помеченна странным образом ?

если можно дайти ответ на русском )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
named

Ребята, это похоже конец. всем пока

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ребята, это похоже конец. всем пока

Так удалось решить проблему, если да, из-за чего возникла такая ситуация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
named

ничего не удалось, начальник точит нож, сказал в 19.00 часов или почта или вперёд ногами из офиса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Я в этом совсем незнающий.(Да и в остальном тоже).А если попробовать отключить АВ-защиту,раз она держит,и открыть письма?Безопаснее наверно будет перекопировать почту на другой комп и открыть её там,что бы всё не заражать.Пока не разберёшся так можно и делать.После тот комп переинсталлировать.Ещё можно почту перекопировать и прозвонить на чистой и актуальной системе,не запуская ничего из неё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
named

отключались все проверки. всё пробовалось. ничего не помогает щас базу перетягиваю на другой комп. может там что получится.

а тренд микро блин готов убить разработчиков.... ладнно.

всеравно я виноват что бекапов не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Inkogn

Кто знает,целевые атаки тоже бывают,смотря,кому надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andywer

А по моему Вы дествительно словили какую то почтовую гадость, а после обновления антивирусных баз она была обнаружена.

Интерестно ваши исходящие письма доходили до своих адресатов, как там местный антивирь реагировал, вот что хотелось бы узнать, а после этого можно сделать вывод "кто виноват ?".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прибочий Михаил

to named: Официальными путями за техподдержкой обращались? Срок действия техподдержки актуален? Напишите мне, постараемся решить все максимально быстро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
    • demkd
      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
×