Перейти к содержанию
Schlecht

Непонятный детект

Recommended Posts

Schlecht

Имеется SEP 11.6.

Недавно начал ругаться на зловреда в файлах .tmp из С:\Documents and Settings\User\Local Settings\Temp.

Найти этот .tmp я по указанному пути не могу.

При попытке потереть этот файл используя соответствующую опцию в логе - выдаёт ошибку:

- The file may have been moved or deleted

- You are trying to clean a compressed file in a container, etc

Браузер по умолчанию - опера. Зачистка всего не помогает.

Прогнал SEP и Kaspersky Virus Removal Tool с максимальными настройками - чисто.

Но тем не менее, каждый день всплывает эта зараза.

Что это могет быть такое?

Спасибо.

WinXP SP3.

screen.png

post-3758-1300749979_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Имеется SEP 11.6.

Недавно начал ругаться на зловреда в файлах .tmp из С:\Documents and Settings\User\Local Settings\Temp.

Найти этот .tmp я по указанному пути не могу.

При попытке потереть этот файл используя соответствующую опцию в логе - выдаёт ошибку:

- The file may have been moved or deleted

- You are trying to clean a compressed file in a container, etc

Браузер по умолчанию - опера. Зачистка всего не помогает.

Прогнал SEP и Kaspersky Virus Removal Tool с максимальными настройками - чисто.

Но тем не менее, каждый день всплывает эта зараза.

Что это могет быть такое?

Спасибо.

WinXP SP3.

Добрый день,

Какая точно версия SEP? 11.0.61 , 11.0.62 ? Отчасти эта проблема была решена в последних патчах.

Если же проблема всё же продолжается, есть рекоммендации:

1) остановить сервис SEP (smc -stop)

2) Удалить содержимое TEMP папок, как в ....Local Settings\TEMP так и в C:\Temp и в c:\windows\temp

3) Удалить содержимое xfer папок

o Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"

o Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

4) Удалить содержимое карантина

* Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine"

* Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine"

5) запустить сервис SEP (smc -start)

Есть также небольшой инструмент для автоматизации всего этого - http://www.symantec.com/connect/downloads/...-mikes-tool-set Ссылка на загрузку внизу темы или вот прямая ссылка.

С уважением,

Олег

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Schlecht
Добрый день,

Какая точно версия SEP? 11.0.61 , 11.0.62 ? Отчасти эта проблема была решена в последних патчах.

Если же проблема всё же продолжается, есть рекоммендации:

1) остановить сервис SEP (smc -stop)

2) Удалить содержимое TEMP папок, как в ....Local Settings\TEMP так и в C:\Temp и в c:\windows\temp

3) Удалить содержимое xfer папок

o Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"

o Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

4) Удалить содержимое карантина

* Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine"

* Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine"

5) запустить сервис SEP (smc -start)

Есть также небольшой инструмент для автоматизации всего этого - http://www.symantec.com/connect/downloads/...-mikes-tool-set Ссылка на загрузку внизу темы или вот прямая ссылка.

С уважением,

Олег

Спасибо!

SEP 11.0.6005.562

Почистил tmp, пока всё в порядке.

Имеет смысл быстро апгрейдить SEP до последней версии или можно не трогать пока всё работает? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Спасибо!

SEP 11.0.6005.562

Почистил tmp, пока всё в порядке.

Имеет смысл быстро апгрейдить SEP до последней версии или можно не трогать пока всё работает? :-)

Судя по форумам, эта проблема иногда возвращается. В 11.0.6 MP1 эту проблему исправили, так что может стоит обновить.

С уважением,

Олег

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×