Перейти к содержанию
AB

заражен сам Trend Micro ?

Recommended Posts

AB

У нас стоит клиент Trend Micro версия 7.3, модуль 8.320.1003,

При запуске в папке winnttemp создается файлы со значком собаки, как у OfcDog.exe, но с другим именем, например GYFF64.EXE, процесс с таким же именем висит в диспетчере задач, при этом то не работает мышь, то клава.

Как только выгрузишь OfficeScan Client и удалишь этот процесс, все нормально, как загрузишь опять создается файл под новым именем, процесс с таким же именем висит в диспетчере задач и те же проблемы.

Появляется при запуске службы RealTimeNtOfficeScan

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

Это нормально. Это процесс "Watch Dog", который контролирует запущенность резидентных модулей антивируса и перезапускает их, если они падают. Случайное переименование можно отключить в глобальных настройках в центрильной консоли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AB

Дурнее не придумаешь, ну и разработчики, ну и поддержка.

А чем сервис под WIN не устраивает?

Глобальные настройки не доступны, в OFCSCAN.INI такой параметр не нашел, что только на сервере можно отключить это переименование?

Добавлено спустя 20 минут 50 секунд:

Я извиняюсь, нашел параметр WatchDogUseRandomName=1, ставил 0,

комментировал, все равно меняет имя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

AB

настройку надо менять на OfficeScan сервере, так как OFCSCAN.INI

на клиенте постоянно обновляется.

Чтобы отключить на сервере через web-консоль Global Client Setting->Reserved Disk Space and Watchdog Settings-> [ ] Enable anti-hacking mode.

Михаил Кондрашин

я бы как минимум прописал в EXE файл структуру Version Info.

чтобы можно было увидеть вендора - Trend Micro. Иначе для незнающих это выглядит как подозрительный процесс (вирус, троян,...). Есть ли смысл сообщить об этой идее вендору?

плюс вся эта защита сносится если сделать pskill.exe -t tmlisten.exe

так как процесс ватчдога наследник от tmlisten. Естественно сработает только под админом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      ESET Cyber Security был обновлён до версии 8.2.3000.
    • demkd
      Это можно. Хотя можно ведь просто нажать Enter.
    • PR55.RP55
      Да, но... ( как мне кажется ) Можно кнопку " Перезагрузить и запустить до запуска эксплорера " поместить после: Проверять весь HKCR ( больше файлов в списке ) на размер это не повлияет, а вот случайно ткнуть уже не выйдет.  
    • demkd
      тут увы, уже слишком много кнопок, а окошко должно помещаться в экран и при низком разрешении, а будут еще 2 кнопки.
    • PR55.RP55
      Demkd По поводу интеграции в Windows, бала такая программа ( до санкций ) Antisms   там имели место быть ряд полезных функций. В том числе и автоматические действия - ( блокировка файлов по ЭЦП ); Удаляются файлы autorun.inf в корне каждого логического диска и т.д. ------ По поводу меню:  Запустить под текущим пользователем и Перезагрузить и запустить до запуска эксплорера Кнопки находятся слишком близко - я уже несколько раз случайно жал не ту кнопу. Мало приятного.
×