Symantec Endpoint Protection - Вопросы по Symantec Endpoint Protection - Форумы Anti-Malware.ru Перейти к содержанию
glb_ussr

Symantec Endpoint Protection

Recommended Posts

glb_ussr

Привет.

Через SEPM настроил исключение на RADMIN, добавил исключение к группе, симантек его всеравно гасит !

ао теме нашел http://service1.symantec.com/support/ent-s...4b?OpenDocument

смеялся )))

чего делать то ? )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

glb_ussr какую сигнатуру Вы добавляете? Когда RAdmin детектится, то показывает ту же сигнатуру?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A lone
Привет.

Через SEPM настроил исключение на RADMIN, добавил исключение к группе, симантек его всеравно гасит !

чего делать то ? )))

http://www.anti-malware.ru/forum/index.php...f=44&t=5251

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

A lone то есть Вы добавили Remacc.RAServer в список исключений, однако именно эту угрозу находит SEP на ПК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

да вы правы, находит он не р_админа ...

http://img264.imageshack.us/my.php?image=37973490ot8.gif

значит ли это , что там живет вирусня еще предстоит разобраться ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ShIvADeSt
Вы добавили Remacc.RAServer в список исключений, однако именно эту угрозу находит SEP на ПК?

Не нашел такого в списке исключений при настройке серверной части (тоже пытался настроить исключения на радмина). Только Remacc.Radmin нашел - в старом симантеке SAV 10 были оба. Куда он мог у меня подеваться? При этом после установки клиентской части он вначале ругается на радмина, но после игнорирования забывает про него и при перезагрузке все ок - не удаляет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

смотрите конкретно, к какой заразе он у вас приписывает радмина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

BloodHound.Sonar.X - это сигнатуры проактивной защиты TruScan - эти сигнатуры нельзя добавить в исключения, необходимо создать исключения именно для проактивной защиты по имени файла, также в SEPM можно его добавить из списка уже определенных процессов, тогда исключение будет не просто по имени, а именно по контрольной сумме. Вы меняли настройки чувствительности Проактивной защиты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

а интересно получается ... в настройках truscan proactive theart scans четко определено, "when a commercial remote control appl. is detected" = Log

Вы меняли настройки чувствительности Проактивной защиты?

в пункте "truscan proactive theart scans " нет настроек чувствительности ...

через Centralized Exceptions сделал следующее,

Exception Type = TruScan Proactive Threat Scan Process

Exception item = r_server.exe

Action = log only (тут и поменять то ничего нельзя :) )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
в пункте "truscan proactive theart scans " нет настроек чувствительности ...

Есть, если отключить настройки рекомендованные Symantec

Exception Type = TruScan Proactive Threat Scan Process

Exception item = r_server.exe

Action = log only (тут и поменять то ничего нельзя )

Помогло?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
glb_ussr

нет, не помогло ... бред какой то

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

glb_ussr странно, попробуйте через ТП решить этот вопрос

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×