Gold

Symantec Endpoint Protection

В этой теме 33 сообщений

Добрый день, коллеги помогите прояснить ситуацию.

SEP на машине клиента нашел «Trojan Horse» в

c:/Documents and Settings/All Users/Application Data/Symantec/Symantec AntiVirus Corporate Edition/7.5/xfer/48eb5018.tmp и таких обнаружений около 800 штук.

Как я понимаю правильным решением, было бы добавить в глобальное исключение этот путь, но правильно ли это?

Возможно MR3 решает эту проблему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gold в эту папку попадают файлы, которые распаковываются из архивов во время сканирования по запросу. Видимо они остались, так как компьютер был во время сканирования выключен. Не думаю, что было бы правильно эту папку добавлять в исключения.

Эта проблема на нескольких ПК или на одном?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gold в эту папку попадают файлы, которые распаковываются из архивов во время сканирования по запросу. Видимо они остались, так как компьютер был во время сканирования выключен. Не думаю, что было бы правильно эту папку добавлять в исключения.

Эта проблема на нескольких ПК или на одном?

Периодически попадаются машины, не могу сказать что их много, т.к. не обладаю полной информацией, думаю, с десяток есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Периодически попадаются машины, не могу сказать что их много, т.к. не обладаю полной информацией, думаю, с десяток есть.

В процентном соотношении это сколько? Логи сканирования на этих ПК смотрели? Были ли завершены сканирования по запросу на них?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В процентном соотношении это сколько? Логи сканирования на этих ПК смотрели? Были ли завершены сканирования по запросу на них?

Соотношение 173 клиента из 2050

Логии смотрел, осмотры по запросу:

Полный осмотр 21 9.5%

Полный осмотр 1 0%

Полный осмотр 1 100%

Полный осмотр 1 100%

Полный осмотр 20 75%

Полный осмотр 1 100%

Полный осмотр 1 100%

Полный осмотр 4 100%

Полный осмотр 19 100%

Еще одна проблема, на одной из машин с выше указанной проблемой, размер папки xfer – составил более 13,5 GB

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как я понял, SEP, в частности TrueScan, после сканирования, не удаляет временные файлы…

Честно говоря, про эту проблему не знал. Постараюсь узнать, что и когда планируется сделать по этому поводу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Честно говоря, про эту проблему не знал. Постараюсь узнать, что и когда планируется сделать по этому поводу

Спасибо, пока попробую смоделировать ситуацию вызывающею эту проблему.

Надеюсь на скорое её решение, Кирилл, если нужна информация, буду рад помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток!

Кирилл, удалось что нибудь узнать по поводу проблемы?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, есть два варианта решение данной проблемы.

1. Переустановка клиента.

2. Обновление через консоль управление до MR3

Клиенты, на которых была замечена данная проблема, были обновлены до MR3, на обновленных клиентах данная проблема замечена не была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В MR4 также будет кое-что исправлено, что в редких случаях приводит к данной проблеме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Коллеги, есть два варианта решение данной проблемы.

... Переустановка клиента.

Только это и помогало... в подобной ситуации.... причем простая переустановка помогала не во всех случаях... так же приходилось подчищать служебные папки Symantec...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кто обновился до MR4 проблема сохранилась? Если Да, отпишитесь здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кто обновился до MR4 проблема сохранилась

Переехал на MR4 в конце прошлой недели, при появлении проблему отпишусь... Есть подозрение что обновленные клиенты (сохранными старыми настройками) могут такую ошибку повторять... посмотрим практика покажет..)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня другая ситуация. В консоли настроено, чтобы при обнаружении угрозы файл помещался в карантин (по умолчанию), далее пролежавшие 6 дней файлы в карантине удаляются. Но очень часто бывает так, что с понедельника по четверг карантин наполняется (т.е. 6 дней не истекает), а в четверг запускается полный скан и заново проверяет директории с карантином. Естественно появляются сообщения об обнаружении угрозы. Как то можно исключить карантин из полного скана?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как то можно исключить карантин из полного скана?

Можно, но Вы уверены что именно в карантине находятся угрозы? SEP помещает файлы в карантин в зашифрованном виде и не должен детектить их как вирусы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Gronn это не карантин, это временные файлы, которые появляются во время сканирования по расписанию при распаковке архивных файлов. Если ПК выключается в процессе сканирования - то файлы остаются и удаляются только при следующем сканировании, видимо в этих архивах были вирусы, которые впоследствии были найдены и в этих оставшихся файлах. В принципе эту папку можно добавить в исключения, но есть все-таки риск что этим могут воспользоваться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если ПК выключается в процессе сканирования - то файлы остаются и удаляются только при следующем сканировании

Но, похоже, не всегда. Недели за две на машине набралось 100 с лишним ГБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

rxx какая версия клиента SEP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Недели за две на машине набралось 100 с лишним ГБ.

Ого! А разве никакой Cleaner на вашем ПК не стоит?

Многие программы создают и используют временные файлы. В любом случае вспомогательный софт тоже нужен - надо же кому-то и мусор выносить. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Версия 11.0.3001.2224, русский.

Андрей-001, чистильщик, к сожалению, не предусмотрен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как показала практика в версии 11.4 таких проблем нет. Единственный момент. У меня возникали проблемы из-за следующей ситуации: к некоторой группе (в которой все клиенты были версии 11.3 ) прривязываю пакет с версией 11.4. Будто бы все клиенты прекрасно обновляются с 11.3 до 11.4 версии. Но через пару дней возникают проблемы с исчезновением свободного места из-за переполнением директории C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer. Как оказывается именно эти машины не обновились до 11.4, и лишь по тому что места нет, а нужно около 450 мегабайт для автоматической установки. В такой ситуации помогает лишь ручная переустановка. При том удаление занимает достаточно много времени в виду долго очищения указаной выше директории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В моем случае с версией 11.0.4000.2295 у некоторых клиентов возникают накопления *.tmp файлов. При том, если пытаться в ручную удалить содержимое C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer антивирус злостно ругается на его содержимое (у меня в каждом файле видел троян) и не дает его удалить. Данная ситуация как я понял возникает в таких ситациях:

1. Запускается плановое полное сканирование.

2. До его окончания пользователь выключает компьютер

3. Включив на следующий день система запускает продолжение сканирования.

4. Параллельно с заданием начинают валиться сообщения о то, что в выше указанной директории находятся зараженные файлы.

В этот момент *.tmp файлы можно удалить лишь в безопасном режиме с правами администратора.

Вот и как быть?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Временно добавить данный каталог в исключения, ручное удаление файлов к сожалению если и помогает то временно... Как правило помогает полная переустановка клиента...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS