Перейти к содержанию

Recommended Posts

Gold

Добрый день, коллеги помогите прояснить ситуацию.

SEP на машине клиента нашел «Trojan Horse» в

c:/Documents and Settings/All Users/Application Data/Symantec/Symantec AntiVirus Corporate Edition/7.5/xfer/48eb5018.tmp и таких обнаружений около 800 штук.

Как я понимаю правильным решением, было бы добавить в глобальное исключение этот путь, но правильно ли это?

Возможно MR3 решает эту проблему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Gold в эту папку попадают файлы, которые распаковываются из архивов во время сканирования по запросу. Видимо они остались, так как компьютер был во время сканирования выключен. Не думаю, что было бы правильно эту папку добавлять в исключения.

Эта проблема на нескольких ПК или на одном?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gold
Gold в эту папку попадают файлы, которые распаковываются из архивов во время сканирования по запросу. Видимо они остались, так как компьютер был во время сканирования выключен. Не думаю, что было бы правильно эту папку добавлять в исключения.

Эта проблема на нескольких ПК или на одном?

Периодически попадаются машины, не могу сказать что их много, т.к. не обладаю полной информацией, думаю, с десяток есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Периодически попадаются машины, не могу сказать что их много, т.к. не обладаю полной информацией, думаю, с десяток есть.

В процентном соотношении это сколько? Логи сканирования на этих ПК смотрели? Были ли завершены сканирования по запросу на них?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gold
В процентном соотношении это сколько? Логи сканирования на этих ПК смотрели? Были ли завершены сканирования по запросу на них?

Соотношение 173 клиента из 2050

Логии смотрел, осмотры по запросу:

Полный осмотр 21 9.5%

Полный осмотр 1 0%

Полный осмотр 1 100%

Полный осмотр 1 100%

Полный осмотр 20 75%

Полный осмотр 1 100%

Полный осмотр 1 100%

Полный осмотр 4 100%

Полный осмотр 19 100%

Еще одна проблема, на одной из машин с выше указанной проблемой, размер папки xfer – составил более 13,5 GB

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Как я понял, SEP, в частности TrueScan, после сканирования, не удаляет временные файлы…

Честно говоря, про эту проблему не знал. Постараюсь узнать, что и когда планируется сделать по этому поводу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gold
Честно говоря, про эту проблему не знал. Постараюсь узнать, что и когда планируется сделать по этому поводу

Спасибо, пока попробую смоделировать ситуацию вызывающею эту проблему.

Надеюсь на скорое её решение, Кирилл, если нужна информация, буду рад помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gold

Доброго времени суток!

Кирилл, удалось что нибудь узнать по поводу проблемы?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gold

Коллеги, есть два варианта решение данной проблемы.

1. Переустановка клиента.

2. Обновление через консоль управление до MR3

Клиенты, на которых была замечена данная проблема, были обновлены до MR3, на обновленных клиентах данная проблема замечена не была.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

В MR4 также будет кое-что исправлено, что в редких случаях приводит к данной проблеме

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xck
Коллеги, есть два варианта решение данной проблемы.

... Переустановка клиента.

Только это и помогало... в подобной ситуации.... причем простая переустановка помогала не во всех случаях... так же приходилось подчищать служебные папки Symantec...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Кто обновился до MR4 проблема сохранилась? Если Да, отпишитесь здесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xck
Кто обновился до MR4 проблема сохранилась

Переехал на MR4 в конце прошлой недели, при появлении проблему отпишусь... Есть подозрение что обновленные клиенты (сохранными старыми настройками) могут такую ошибку повторять... посмотрим практика покажет..)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

У меня другая ситуация. В консоли настроено, чтобы при обнаружении угрозы файл помещался в карантин (по умолчанию), далее пролежавшие 6 дней файлы в карантине удаляются. Но очень часто бывает так, что с понедельника по четверг карантин наполняется (т.е. 6 дней не истекает), а в четверг запускается полный скан и заново проверяет директории с карантином. Естественно появляются сообщения об обнаружении угрозы. Как то можно исключить карантин из полного скана?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Как то можно исключить карантин из полного скана?

Можно, но Вы уверены что именно в карантине находятся угрозы? SEP помещает файлы в карантин в зашифрованном виде и не должен детектить их как вирусы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Вот что симантек находит

Karantin.JPG

post-5088-1234528858_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Gronn это не карантин, это временные файлы, которые появляются во время сканирования по расписанию при распаковке архивных файлов. Если ПК выключается в процессе сканирования - то файлы остаются и удаляются только при следующем сканировании, видимо в этих архивах были вирусы, которые впоследствии были найдены и в этих оставшихся файлах. В принципе эту папку можно добавить в исключения, но есть все-таки риск что этим могут воспользоваться

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rxx
Если ПК выключается в процессе сканирования - то файлы остаются и удаляются только при следующем сканировании

Но, похоже, не всегда. Недели за две на машине набралось 100 с лишним ГБ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

rxx какая версия клиента SEP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Недели за две на машине набралось 100 с лишним ГБ.

Ого! А разве никакой Cleaner на вашем ПК не стоит?

Многие программы создают и используют временные файлы. В любом случае вспомогательный софт тоже нужен - надо же кому-то и мусор выносить. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rxx

Версия 11.0.3001.2224, русский.

Андрей-001, чистильщик, к сожалению, не предусмотрен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

Как показала практика в версии 11.4 таких проблем нет. Единственный момент. У меня возникали проблемы из-за следующей ситуации: к некоторой группе (в которой все клиенты были версии 11.3 ) прривязываю пакет с версией 11.4. Будто бы все клиенты прекрасно обновляются с 11.3 до 11.4 версии. Но через пару дней возникают проблемы с исчезновением свободного места из-за переполнением директории C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer. Как оказывается именно эти машины не обновились до 11.4, и лишь по тому что места нет, а нужно около 450 мегабайт для автоматической установки. В такой ситуации помогает лишь ручная переустановка. При том удаление занимает достаточно много времени в виду долго очищения указаной выше директории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Gronn

В моем случае с версией 11.0.4000.2295 у некоторых клиентов возникают накопления *.tmp файлов. При том, если пытаться в ручную удалить содержимое C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer антивирус злостно ругается на его содержимое (у меня в каждом файле видел троян) и не дает его удалить. Данная ситуация как я понял возникает в таких ситациях:

1. Запускается плановое полное сканирование.

2. До его окончания пользователь выключает компьютер

3. Включив на следующий день система запускает продолжение сканирования.

4. Параллельно с заданием начинают валиться сообщения о то, что в выше указанной директории находятся зараженные файлы.

В этот момент *.tmp файлы можно удалить лишь в безопасном режиме с правами администратора.

Вот и как быть?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xck

Временно добавить данный каталог в исключения, ручное удаление файлов к сожалению если и помогает то временно... Как правило помогает полная переустановка клиента...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×