Перейти к содержанию
Schlecht

Непонятный детект

Recommended Posts

Schlecht

Имеется SEP 11.6.

Недавно начал ругаться на зловреда в файлах .tmp из С:\Documents and Settings\User\Local Settings\Temp.

Найти этот .tmp я по указанному пути не могу.

При попытке потереть этот файл используя соответствующую опцию в логе - выдаёт ошибку:

- The file may have been moved or deleted

- You are trying to clean a compressed file in a container, etc

Браузер по умолчанию - опера. Зачистка всего не помогает.

Прогнал SEP и Kaspersky Virus Removal Tool с максимальными настройками - чисто.

Но тем не менее, каждый день всплывает эта зараза.

Что это могет быть такое?

Спасибо.

WinXP SP3.

screen.png

post-3758-1300749979_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Имеется SEP 11.6.

Недавно начал ругаться на зловреда в файлах .tmp из С:\Documents and Settings\User\Local Settings\Temp.

Найти этот .tmp я по указанному пути не могу.

При попытке потереть этот файл используя соответствующую опцию в логе - выдаёт ошибку:

- The file may have been moved or deleted

- You are trying to clean a compressed file in a container, etc

Браузер по умолчанию - опера. Зачистка всего не помогает.

Прогнал SEP и Kaspersky Virus Removal Tool с максимальными настройками - чисто.

Но тем не менее, каждый день всплывает эта зараза.

Что это могет быть такое?

Спасибо.

WinXP SP3.

Добрый день,

Какая точно версия SEP? 11.0.61 , 11.0.62 ? Отчасти эта проблема была решена в последних патчах.

Если же проблема всё же продолжается, есть рекоммендации:

1) остановить сервис SEP (smc -stop)

2) Удалить содержимое TEMP папок, как в ....Local Settings\TEMP так и в C:\Temp и в c:\windows\temp

3) Удалить содержимое xfer папок

o Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"

o Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

4) Удалить содержимое карантина

* Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine"

* Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine"

5) запустить сервис SEP (smc -start)

Есть также небольшой инструмент для автоматизации всего этого - http://www.symantec.com/connect/downloads/...-mikes-tool-set Ссылка на загрузку внизу темы или вот прямая ссылка.

С уважением,

Олег

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Schlecht
Добрый день,

Какая точно версия SEP? 11.0.61 , 11.0.62 ? Отчасти эта проблема была решена в последних патчах.

Если же проблема всё же продолжается, есть рекоммендации:

1) остановить сервис SEP (smc -stop)

2) Удалить содержимое TEMP папок, как в ....Local Settings\TEMP так и в C:\Temp и в c:\windows\temp

3) Удалить содержимое xfer папок

o Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"

o Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

4) Удалить содержимое карантина

* Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine"

* Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine"

5) запустить сервис SEP (smc -start)

Есть также небольшой инструмент для автоматизации всего этого - http://www.symantec.com/connect/downloads/...-mikes-tool-set Ссылка на загрузку внизу темы или вот прямая ссылка.

С уважением,

Олег

Спасибо!

SEP 11.0.6005.562

Почистил tmp, пока всё в порядке.

Имеет смысл быстро апгрейдить SEP до последней версии или можно не трогать пока всё работает? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Спасибо!

SEP 11.0.6005.562

Почистил tmp, пока всё в порядке.

Имеет смысл быстро апгрейдить SEP до последней версии или можно не трогать пока всё работает? :-)

Судя по форумам, эта проблема иногда возвращается. В 11.0.6 MP1 эту проблему исправили, так что может стоит обновить.

С уважением,

Олег

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Всем привет)Ребят,независимо от опыта, советую выбирать надежные,рейтинговые игровые заведения) мое любимое казино это дрифт казино http://driftcasino1.mobi/ , регистрация не займет и минуты)
    • Booi77Casino
    • demkd
      это я еще не смотрел.
    • PR55.RP55
      uVS 4.1.8
      Наблюдается при запуске: Запустить под LocaLSystem ( максимальные права, без доступа к сети ) ----------------
      Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\start.exe - Ярлык.lnk
                                  
      ------------------
      Операция удаления ссылок добавлена в очередь: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.8 ДРОВА\START.EXE
      ------------------
      В самом ярлыке:
      Объект: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова\start.exe"
      Рабочая папка: "C:\Users\User\Desktop\Архив\uVS 4.1.8 Дрова" ----------------------------------- При обычном запуске ( Запустить под текущим пользователем )  - этой записи нет. И соответственно ярлык не удаляется.  
    • Maoma
      Сегодня индустрия красоты предлагает множество способов преобразить неидеальные брови. Ведь ровные, симметричные и правильные линии способны выгодно подчеркнуть глаза, усовершенствовать форму лица и добавить образу привлекательности. В условиях жесткой конкуренции, шотирование бровей https://beautyandgo.com.ua/feathering/ в короткий срок стало невероятно востребованным в Киеве.
×