Перейти к содержанию
AB

заражен сам Trend Micro ?

Recommended Posts

AB

У нас стоит клиент Trend Micro версия 7.3, модуль 8.320.1003,

При запуске в папке winnttemp создается файлы со значком собаки, как у OfcDog.exe, но с другим именем, например GYFF64.EXE, процесс с таким же именем висит в диспетчере задач, при этом то не работает мышь, то клава.

Как только выгрузишь OfficeScan Client и удалишь этот процесс, все нормально, как загрузишь опять создается файл под новым именем, процесс с таким же именем висит в диспетчере задач и те же проблемы.

Появляется при запуске службы RealTimeNtOfficeScan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Это нормально. Это процесс "Watch Dog", который контролирует запущенность резидентных модулей антивируса и перезапускает их, если они падают. Случайное переименование можно отключить в глобальных настройках в центрильной консоли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AB

Дурнее не придумаешь, ну и разработчики, ну и поддержка.

А чем сервис под WIN не устраивает?

Глобальные настройки не доступны, в OFCSCAN.INI такой параметр не нашел, что только на сервере можно отключить это переименование?

Добавлено спустя 20 минут 50 секунд:

Я извиняюсь, нашел параметр WatchDogUseRandomName=1, ставил 0,

комментировал, все равно меняет имя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

AB

настройку надо менять на OfficeScan сервере, так как OFCSCAN.INI

на клиенте постоянно обновляется.

Чтобы отключить на сервере через web-консоль Global Client Setting->Reserved Disk Space and Watchdog Settings-> [ ] Enable anti-hacking mode.

Михаил Кондрашин

я бы как минимум прописал в EXE файл структуру Version Info.

чтобы можно было увидеть вендора - Trend Micro. Иначе для незнающих это выглядит как подозрительный процесс (вирус, троян,...). Есть ли смысл сообщить об этой идее вендору?

плюс вся эта защита сносится если сделать pskill.exe -t tmlisten.exe

так как процесс ватчдога наследник от tmlisten. Естественно сработает только под админом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
    • demkd
      гляну, но это дыра с wpad все равно закрывается лишь отключением автонастройки прокси в браузере, больше никак.
    • SQx
      В качестве решения, необходимо зайти на роутер и поменять домена имя с domain.name на my.router (в качестве примера или другое несуществующее имя домена).
      Но было бы не плохо в uVS логах идентифицировать такие случае.
    • SQx
      Приветствую,

      Мне тут попалась интересная тема, которая может затронуть тысячи роутеров.
      https://forum.kasperskyclub.ru/topic/84677-postojanno-vylazit-uvedomlenie-chto-ostanovlen-perehod-na-vredonosnuju-ssylku/page/3/ Как оказалось у многих роутеров указавается доменое имя по умолчанию domain.name
      Получается, что это доменное имя реальное, и оно содержит вренодоносные настройки которые Windows 7/10 автоматически подхвытывают,
      http://185.38.111.1/wpad.dat или http://wpad.domain.name/wpad.dat

      Можно ли добавить в uVS сетевое доменное имя получаемое от dhcp клиента?
×