Проблемы с RealTime Scan в Trend Micro OfficeScan

[IgorAl 0]

Помогите решить проблему.

Есть Officescan 8.0, все работает нормально, только каждое утро у нескольких клиентов (произвольных, от 1 до 5) не стартует сервис RealTime Scan. При ручном запуске этого сервиса все стартует и нормально работает. Раньше до перехода на v8.0 этого не замечал.

[Кирилл Керценбаум 671]

На вскидку такого не знаю, в Базе Знаний Trend Micro ничего такого также не нашел, поэтому рекомендация одна:

1. Скачиваете

http://www.trendmicro.com/ftp/products/act...win_en_1036.zip

http://www.trendmicro.com/ftp/documentatio...en_1036_GSG.pdf

2. Запускаете на проблемной машине и собираете логи.

3. Отправляете в службу Технической поддержки вашего поставщика Trend Micro или нам на tmsupport@polikom.ru

[Sergey Dindikov 10]

А я вот столкнулся с версией 7.3 недавно. Как сказал админ МСЭ с одной машины идут подозрительные соединения SMTP.

При ближайшем рассмотрении оказалось что не работает RT на компе.

Хотя внешне это никак не проявлялось - значок в трее синий, в админ консоли тоже никак небыло видно.

Проверял RT включена на компе, переставлял 2 раза клиент - непомогало.

в конце концов оказалось что из-за Rootkit malware не работала Real Time защита компа.

ps. комп был локального админа и работал в домене с правами лок админа. И подцепил где-то вирусяку которую незнал TM дальше отрубается AV RT защита на компе. В итоге на машине оказалось ~10 вирусного малвара.

Добавлено спустя 5 минут 8 секунд:

+ ещё один случай был

машина тоже под админом работает.

увидел одну DLL левую которую загружает процесс winlogon.exe

видимо сам код этой DLL убирал возможность шаринга на чтение этой же DLL.

Вообщем воспользовался я утилитой Unlocker и разблокировал эту подозрительную DLL , и RT защита TM 7.3 клиента сразу подхватило этот файл и сказала что там вирус.

Вопрос странно драйвера TM которые обеспечивают RT защиту

активировались позже того как winlogon.exe подгружал ту DLL?

и получается что TM клиент не может сканировать память и находить там вирусный код?

иначе как это всё объяснить?

[IgorAl 0]

Кирилл Керценбаум

Запускаете на проблемной машине и собираете логи.

В том то и дело, что нет конкретной машины, каждый день это разные машины, когда одна 1, а когда 5. А всего их у меня 160.

[Кирилл Керценбаум 671]

IgorAl

Ну так в каждый конкретный день Вы узнаете на какой машине не стартует движок? На нее перед ручным запуском сканера копируете эту утилиту, запускаете в ней диагностику и собираете логи.

[IgorAl 0]

Кирилл Керценбаум

Дополнительная информация.

Узнаю о проблемных машинах так - они не обновляются.

Сегодня сервис был остановлен на одной машине, причем после включения машины в начале значок OS был синий, а спустя какое-то время он стал красным.

Не стартуя сервис запустил Case Diagnostic Tool, после очередного шага он выдал "No problem description provided".[/img]

[Кирилл Керценбаум 671]

IgorAl

А мануал прочитали? Диагностику запускали? All Events выбирали?

[IgorAl 0]

Кирилл Керценбаум

А мануал прочитали? Диагностику запускали? All Events выбирали?

Выбирал AllEvents

Делал Start Debug Mode -> 10 минут пауза -> Stop Debug Mode -> Next

[Кирилл Керценбаум 671]

IgorAl

А на шаге 3 поле Describe the problem... заполнили?

[IgorAl 0]

Кирилл Керценбаум

А на шаге 3 поле Describe the problem... заполнили?

Нет.

Повторю операцию завтра утром.

[Михаил Кондрашин 55]

и получается что TM клиент не может сканировать память и находить там вирусный код?

В OfficeScan памяить сканируется при запуске DCS, а не Real-time monitor.

[IgorAl 0]

Кирилл Керценбаум

Выслал файл CDT на tmsupport@polikom.ru

Но при старте Debug mode CDT из под пользователя он написал, что данные будут частичными. Если же я меняю пользователя на другого с правами администратора, то Real Time стартует.

[Кирилл Керценбаум 671]

Уважаемый IgorAl, что-то мы так ничего и не получили, CDT файл большой был? Может отправите его нам на наш FTP?