Перейти к содержанию
Darkmage

Symantec Endpoint Protection

Recommended Posts

Darkmage

Есть некий сервер на базе ОС 2003 Wind, на котором был установлен клиент SAV 11, сервер фактически являеться сервером 1-й программы, к которой необходим терминальный доступ нескольких пользователей. На сервере крутилась утилитка UPHClean которая выполняла действие - пользователь нажимает выход из программы - происходт Log off. После установки SAV, при попытке данного ПО сделать Logoff, посыпались в логах ошибки ID 45, это решилось донастройкой политики - Защита от изменений - галочка - защита программ обеспечения безопастности от изменения или выключения.

Теперь после принудительного производства Log off'a пользователя через деспетчера задачь, в логи падает ID 1401 ссылающаяся на RTVSCAN.exe и некий ключ реестра. При такой ситуации, когда пользователь снова подключаеться к серверу через RDP он попадает на свой прошлый сеанс, где программа уже выключена, (она запускаеться скриптом при log on), и запустить он её не может (ограничение прав).

Подскажите - как можно добавить права данной утилите на выполнение завершения работы антивируса. или что-то в этом роде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Darkmage

Решил я свою проблемму.

Вот решение:

As requested via PM, although the whitepaper is still in work, the critical points you need to know are below:

1. Each user session will by default load SmcGui and ccApp (and ProtectionUtilSurrogate if the server is 64bit)

2. These processes take memory and CPU (multiple SmcGui's can result in 100% CPU usage)

3. Neither are required for SEP to function

In order to prevent SmcGui and ProtectionUtilSurrogate from loading, perform the following steps:

1. Logon to the server you wish to configure with an administrator account

2. Click Start, Run and type smc -stop then click OK. Enter a password if prompted. Wait for the shield to disappear from the system tray

3. Browse to the SEP Client installation location (normally C:\Program Files\Symantec\Symantec Endpoint Protection)

4. Find the file SmcGui.exe and right click it

5. Click Rename

6. Rename the file SmcGui.exe press Enter

7. Click File, New and select Text Document

8. Call the document SmcGui.exe press Enter

9. At the prompt to change the file extension, click Yes

10. Click Start, Run and type smc -start then click OK.

11. You will notice from Task Manager that SMC starts as SYSTEM, but SmcGui does not load.

In order to prevent ccApp from loading (if you really must, we are talking 1MB 99% of the time per user):

1. Logon to the server you wish to configure with an administrator account

2. Click Start, Run and type regedit then click OK

3. Browse to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (for 64bit servers this is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run)

4. Find the entry ccApp and delete it

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Darkmage спасибо за то что указали решение проблемы, возможно это понадобится кому-то еще, более подробно:

http://service1.symantec.com/support/ent-s...6f?OpenDocument

http://service1.symantec.com/support/ent-s...78?OpenDocument

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×