Перейти к содержанию
IgorAl

Проблемы с RealTime Scan в Trend Micro OfficeScan

Recommended Posts

IgorAl

Помогите решить проблему.

Есть Officescan 8.0, все работает нормально, только каждое утро у нескольких клиентов (произвольных, от 1 до 5) не стартует сервис RealTime Scan. При ручном запуске этого сервиса все стартует и нормально работает. Раньше до перехода на v8.0 этого не замечал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

На вскидку такого не знаю, в Базе Знаний Trend Micro ничего такого также не нашел, поэтому рекомендация одна:

1. Скачиваете

http://www.trendmicro.com/ftp/products/act...win_en_1036.zip

http://www.trendmicro.com/ftp/documentatio...en_1036_GSG.pdf

2. Запускаете на проблемной машине и собираете логи.

3. Отправляете в службу Технической поддержки вашего поставщика Trend Micro или нам на [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

А я вот столкнулся с версией 7.3 недавно. Как сказал админ МСЭ с одной машины идут подозрительные соединения SMTP.

При ближайшем рассмотрении оказалось что не работает RT на компе.

Хотя внешне это никак не проявлялось - значок в трее синий, в админ консоли тоже никак небыло видно.

Проверял RT включена на компе, переставлял 2 раза клиент - непомогало.

в конце концов оказалось что из-за Rootkit malware не работала Real Time защита компа.

ps. комп был локального админа и работал в домене с правами лок админа. И подцепил где-то вирусяку которую незнал TM дальше отрубается AV RT защита на компе. В итоге на машине оказалось ~10 вирусного малвара.

Добавлено спустя 5 минут 8 секунд:

+ ещё один случай был

машина тоже под админом работает.

увидел одну DLL левую которую загружает процесс winlogon.exe

видимо сам код этой DLL убирал возможность шаринга на чтение этой же DLL.

Вообщем воспользовался я утилитой Unlocker и разблокировал эту подозрительную DLL , и RT защита TM 7.3 клиента сразу подхватило этот файл и сказала что там вирус.

Вопрос странно драйвера TM которые обеспечивают RT защиту

активировались позже того как winlogon.exe подгружал ту DLL?

и получается что TM клиент не может сканировать память и находить там вирусный код?

иначе как это всё объяснить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

Запускаете на проблемной машине и собираете логи.

В том то и дело, что нет конкретной машины, каждый день это разные машины, когда одна 1, а когда 5. А всего их у меня 160.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

IgorAl

Ну так в каждый конкретный день Вы узнаете на какой машине не стартует движок? На нее перед ручным запуском сканера копируете эту утилиту, запускаете в ней диагностику и собираете логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

Дополнительная информация.

Узнаю о проблемных машинах так - они не обновляются.

Сегодня сервис был остановлен на одной машине, причем после включения машины в начале значок OS был синий, а спустя какое-то время он стал красным.

Не стартуя сервис запустил Case Diagnostic Tool, после очередного шага он выдал "No problem description provided".[/img]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

IgorAl

А мануал прочитали? Диагностику запускали? All Events выбирали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

А мануал прочитали? Диагностику запускали? All Events выбирали?

Выбирал AllEvents

Делал Start Debug Mode -> 10 минут пауза -> Stop Debug Mode -> Next

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

IgorAl

А на шаге 3 поле Describe the problem... заполнили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

А на шаге 3 поле Describe the problem... заполнили?

Нет.

Повторю операцию завтра утром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
и получается что TM клиент не может сканировать память и находить там вирусный код?

В OfficeScan памяить сканируется при запуске DCS, а не Real-time monitor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

Выслал файл CDT на [email protected]

Но при старте Debug mode CDT из под пользователя он написал, что данные будут частичными. Если же я меняю пользователя на другого с правами администратора, то Real Time стартует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Уважаемый IgorAl, что-то мы так ничего и не получили, CDT файл большой был? Может отправите его нам на наш FTP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×