Перейти к содержанию
AB

заражен сам Trend Micro ?

Recommended Posts

AB

У нас стоит клиент Trend Micro версия 7.3, модуль 8.320.1003,

При запуске в папке winnttemp создается файлы со значком собаки, как у OfcDog.exe, но с другим именем, например GYFF64.EXE, процесс с таким же именем висит в диспетчере задач, при этом то не работает мышь, то клава.

Как только выгрузишь OfficeScan Client и удалишь этот процесс, все нормально, как загрузишь опять создается файл под новым именем, процесс с таким же именем висит в диспетчере задач и те же проблемы.

Появляется при запуске службы RealTimeNtOfficeScan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Это нормально. Это процесс "Watch Dog", который контролирует запущенность резидентных модулей антивируса и перезапускает их, если они падают. Случайное переименование можно отключить в глобальных настройках в центрильной консоли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AB

Дурнее не придумаешь, ну и разработчики, ну и поддержка.

А чем сервис под WIN не устраивает?

Глобальные настройки не доступны, в OFCSCAN.INI такой параметр не нашел, что только на сервере можно отключить это переименование?

Добавлено спустя 20 минут 50 секунд:

Я извиняюсь, нашел параметр WatchDogUseRandomName=1, ставил 0,

комментировал, все равно меняет имя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

AB

настройку надо менять на OfficeScan сервере, так как OFCSCAN.INI

на клиенте постоянно обновляется.

Чтобы отключить на сервере через web-консоль Global Client Setting->Reserved Disk Space and Watchdog Settings-> [ ] Enable anti-hacking mode.

Михаил Кондрашин

я бы как минимум прописал в EXE файл структуру Version Info.

чтобы можно было увидеть вендора - Trend Micro. Иначе для незнающих это выглядит как подозрительный процесс (вирус, троян,...). Есть ли смысл сообщить об этой идее вендору?

плюс вся эта защита сносится если сделать pskill.exe -t tmlisten.exe

так как процесс ватчдога наследник от tmlisten. Естественно сработает только под админом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
    • PR55.RP55
      В Инфо. указывать не только время создания\изменения файла но и время создания... Пример:  Система Установлена 2018  > Каталог создан в 2020, а файл в каталоге  2021  
    • santy
      как только заработает функция "выполнить запрос по критерию" - все отфильтрованные объекты будут на виду у оператора, и скорее всего, помещены в отдельную категорию. Кстати, всех участников данного форума (помимо проходящих мимо спамеров) поздравляю с Новым 2021 годом!
    • PR55.RP55
      1) Добавить в settings.ini  настройку: "Выделять все неизвестные ЭЦП" Таким образом все ЭЦП которых нет в базе:  wdsl будут на виду. Это  позволит пополнять базу wdsl и сразу акцентировать внимание оператора. 2) Добавить в settings.ini  настройку: Все файлы с неизвестной ЭЦП  помечать, как подозрительные. Или создать отдельную категорию: "Неизвестные ЭЦП" 3) В Инфо. файла помещать информацию типа: Действительна, подписано CAVANAGH NETS LIMITED Найдено файлов: 1 wdsl   [ - ] --------------- Действительна, подписано Mozilla Corporation Найдено файлов: 80 wdsl   [ + ]  
×