заражен сам Trend Micro ? - Trend Micro - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
AB

заражен сам Trend Micro ?

Recommended Posts

AB

У нас стоит клиент Trend Micro версия 7.3, модуль 8.320.1003,

При запуске в папке winnttemp создается файлы со значком собаки, как у OfcDog.exe, но с другим именем, например GYFF64.EXE, процесс с таким же именем висит в диспетчере задач, при этом то не работает мышь, то клава.

Как только выгрузишь OfficeScan Client и удалишь этот процесс, все нормально, как загрузишь опять создается файл под новым именем, процесс с таким же именем висит в диспетчере задач и те же проблемы.

Появляется при запуске службы RealTimeNtOfficeScan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Это нормально. Это процесс "Watch Dog", который контролирует запущенность резидентных модулей антивируса и перезапускает их, если они падают. Случайное переименование можно отключить в глобальных настройках в центрильной консоли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AB

Дурнее не придумаешь, ну и разработчики, ну и поддержка.

А чем сервис под WIN не устраивает?

Глобальные настройки не доступны, в OFCSCAN.INI такой параметр не нашел, что только на сервере можно отключить это переименование?

Добавлено спустя 20 минут 50 секунд:

Я извиняюсь, нашел параметр WatchDogUseRandomName=1, ставил 0,

комментировал, все равно меняет имя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

AB

настройку надо менять на OfficeScan сервере, так как OFCSCAN.INI

на клиенте постоянно обновляется.

Чтобы отключить на сервере через web-консоль Global Client Setting->Reserved Disk Space and Watchdog Settings-> [ ] Enable anti-hacking mode.

Михаил Кондрашин

я бы как минимум прописал в EXE файл структуру Version Info.

чтобы можно было увидеть вендора - Trend Micro. Иначе для незнающих это выглядит как подозрительный процесс (вирус, троян,...). Есть ли смысл сообщить об этой идее вендору?

плюс вся эта защита сносится если сделать pskill.exe -t tmlisten.exe

так как процесс ватчдога наследник от tmlisten. Естественно сработает только под админом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
    • santy
      Так как записи с указанием исключений для Defender имеют определенный статус,  то имеет смысл исключить их автоматическое попадание по признаку "файл не найден" при формировании автоскрипта. В этом случае приходится вручную править тело скрипта, чтобы убрать некоторые записи. 1. ранее это можно было не делать, так как все равно они без виртуализации не удалялись. 2. теперь, с учетом удаления через powershell  будут удалены и "полезные" исключения, которые могли быть сделаны самим пользователем, например активаторы. На мой взгляд, будет лучше добавить в скрипт удаление исключений дефендера  вручную, из секции исключений для WD.
    • PR55.RP55
      + https://forum.kasperskyclub.ru/topic/465542-virus-ili-skript/#comments Если причина действительно в Групповых политиках. То...  
    • santy
      Вылет здесь не понятно по какой причине произошел, так как изначально был создан образ автозапуска с активным зловредом, а повторно, по словам пользователя, не получилось uVS выйти на основную позицию, когда можно было бы собрать новый образ, или выполнить скрипт очистки. В том числе и в безопасном режиме. Последствия запуска зловреда firfox.exe есть здесь, и возможно действительно входят у указанное семейство.  
    • PR55.RP55
      1. Microsoft тестирует функцию - Защита администратора. https://www.comss.ru/page.php?id=15533 ---------- 2. Вирус\ы https://forum.kasperskyclub.ru/topic/465570-trojanwin32sepeh/ Видимо это семейство: https://vms.drweb.ru/virus/?i=27109129 https://vms.drweb.ru/virus/?i=27380925 -------- https://vms.drweb.ru/virus/?i=25801988 https://vms.drweb.ru/virus/?i=25339881 https://vms.drweb-av.it/virus/?i=25698634 3. TloBeJluTeJlb.exe если в директории или имени файла "чудеса" с регистром... Предлагаю помечать файл, как Подозрительный.    
×