Перейти к содержанию
IgorAl

Проблемы с RealTime Scan в Trend Micro OfficeScan

Recommended Posts

IgorAl

Помогите решить проблему.

Есть Officescan 8.0, все работает нормально, только каждое утро у нескольких клиентов (произвольных, от 1 до 5) не стартует сервис RealTime Scan. При ручном запуске этого сервиса все стартует и нормально работает. Раньше до перехода на v8.0 этого не замечал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

На вскидку такого не знаю, в Базе Знаний Trend Micro ничего такого также не нашел, поэтому рекомендация одна:

1. Скачиваете

http://www.trendmicro.com/ftp/products/act...win_en_1036.zip

http://www.trendmicro.com/ftp/documentatio...en_1036_GSG.pdf

2. Запускаете на проблемной машине и собираете логи.

3. Отправляете в службу Технической поддержки вашего поставщика Trend Micro или нам на [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

А я вот столкнулся с версией 7.3 недавно. Как сказал админ МСЭ с одной машины идут подозрительные соединения SMTP.

При ближайшем рассмотрении оказалось что не работает RT на компе.

Хотя внешне это никак не проявлялось - значок в трее синий, в админ консоли тоже никак небыло видно.

Проверял RT включена на компе, переставлял 2 раза клиент - непомогало.

в конце концов оказалось что из-за Rootkit malware не работала Real Time защита компа.

ps. комп был локального админа и работал в домене с правами лок админа. И подцепил где-то вирусяку которую незнал TM дальше отрубается AV RT защита на компе. В итоге на машине оказалось ~10 вирусного малвара.

Добавлено спустя 5 минут 8 секунд:

+ ещё один случай был

машина тоже под админом работает.

увидел одну DLL левую которую загружает процесс winlogon.exe

видимо сам код этой DLL убирал возможность шаринга на чтение этой же DLL.

Вообщем воспользовался я утилитой Unlocker и разблокировал эту подозрительную DLL , и RT защита TM 7.3 клиента сразу подхватило этот файл и сказала что там вирус.

Вопрос странно драйвера TM которые обеспечивают RT защиту

активировались позже того как winlogon.exe подгружал ту DLL?

и получается что TM клиент не может сканировать память и находить там вирусный код?

иначе как это всё объяснить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

Запускаете на проблемной машине и собираете логи.

В том то и дело, что нет конкретной машины, каждый день это разные машины, когда одна 1, а когда 5. А всего их у меня 160.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

IgorAl

Ну так в каждый конкретный день Вы узнаете на какой машине не стартует движок? На нее перед ручным запуском сканера копируете эту утилиту, запускаете в ней диагностику и собираете логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

Дополнительная информация.

Узнаю о проблемных машинах так - они не обновляются.

Сегодня сервис был остановлен на одной машине, причем после включения машины в начале значок OS был синий, а спустя какое-то время он стал красным.

Не стартуя сервис запустил Case Diagnostic Tool, после очередного шага он выдал "No problem description provided".[/img]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

IgorAl

А мануал прочитали? Диагностику запускали? All Events выбирали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

А мануал прочитали? Диагностику запускали? All Events выбирали?

Выбирал AllEvents

Делал Start Debug Mode -> 10 минут пауза -> Stop Debug Mode -> Next

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

IgorAl

А на шаге 3 поле Describe the problem... заполнили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

А на шаге 3 поле Describe the problem... заполнили?

Нет.

Повторю операцию завтра утром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
и получается что TM клиент не может сканировать память и находить там вирусный код?

В OfficeScan памяить сканируется при запуске DCS, а не Real-time monitor.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IgorAl

Кирилл Керценбаум

Выслал файл CDT на [email protected]

Но при старте Debug mode CDT из под пользователя он написал, что данные будут частичными. Если же я меняю пользователя на другого с правами администратора, то Real Time стартует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Уважаемый IgorAl, что-то мы так ничего и не получили, CDT файл большой был? Может отправите его нам на наш FTP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
×