Symantec Endpoint Protection

[Gold 5]

Добрый день, коллеги помогите прояснить ситуацию.

SEP на машине клиента нашел «Trojan Horse» в

c:/Documents and Settings/All Users/Application Data/Symantec/Symantec AntiVirus Corporate Edition/7.5/xfer/48eb5018.tmp и таких обнаружений около 800 штук.

Как я понимаю правильным решением, было бы добавить в глобальное исключение этот путь, но правильно ли это?

Возможно MR3 решает эту проблему?

[Кирилл Керценбаум 671]

Gold в эту папку попадают файлы, которые распаковываются из архивов во время сканирования по запросу. Видимо они остались, так как компьютер был во время сканирования выключен. Не думаю, что было бы правильно эту папку добавлять в исключения.

Эта проблема на нескольких ПК или на одном?

[Gold 5]

Gold в эту папку попадают файлы, которые распаковываются из архивов во время сканирования по запросу. Видимо они остались, так как компьютер был во время сканирования выключен. Не думаю, что было бы правильно эту папку добавлять в исключения.

Эта проблема на нескольких ПК или на одном?

Периодически попадаются машины, не могу сказать что их много, т.к. не обладаю полной информацией, думаю, с десяток есть.

[Кирилл Керценбаум 671]

Периодически попадаются машины, не могу сказать что их много, т.к. не обладаю полной информацией, думаю, с десяток есть.

В процентном соотношении это сколько? Логи сканирования на этих ПК смотрели? Были ли завершены сканирования по запросу на них?

[Gold 5]

В процентном соотношении это сколько? Логи сканирования на этих ПК смотрели? Были ли завершены сканирования по запросу на них?

Соотношение 173 клиента из 2050

Логии смотрел, осмотры по запросу:

Полный осмотр 21 9.5%

Полный осмотр 1 0%

Полный осмотр 1 100%

Полный осмотр 1 100%

Полный осмотр 20 75%

Полный осмотр 1 100%

Полный осмотр 1 100%

Полный осмотр 4 100%

Полный осмотр 19 100%

Еще одна проблема, на одной из машин с выше указанной проблемой, размер папки xfer – составил более 13,5 GB

[Gold 5]

Как я понял, SEP, в частности TrueScan, после сканирования, не удаляет временные файлы…

http://service1.symantec.com/support/ent-s...93?OpenDocument

[Кирилл Керценбаум 671]

Как я понял, SEP, в частности TrueScan, после сканирования, не удаляет временные файлы…

Честно говоря, про эту проблему не знал. Постараюсь узнать, что и когда планируется сделать по этому поводу

[Gold 5]

Честно говоря, про эту проблему не знал. Постараюсь узнать, что и когда планируется сделать по этому поводу

Спасибо, пока попробую смоделировать ситуацию вызывающею эту проблему.

Надеюсь на скорое её решение, Кирилл, если нужна информация, буду рад помочь.

[Gold 5]

Доброго времени суток!

Кирилл, удалось что нибудь узнать по поводу проблемы?!

[Gold 5]

Коллеги, есть два варианта решение данной проблемы.

1. Переустановка клиента.

2. Обновление через консоль управление до MR3

Клиенты, на которых была замечена данная проблема, были обновлены до MR3, на обновленных клиентах данная проблема замечена не была.

[Кирилл Керценбаум 671]

В MR4 также будет кое-что исправлено, что в редких случаях приводит к данной проблеме

[xck 25]

Коллеги, есть два варианта решение данной проблемы.

... Переустановка клиента.

Только это и помогало... в подобной ситуации.... причем простая переустановка помогала не во всех случаях... так же приходилось подчищать служебные папки Symantec...

[Кирилл Керценбаум 671]

Кто обновился до MR4 проблема сохранилась? Если Да, отпишитесь здесь

[xck 25]

Кто обновился до MR4 проблема сохранилась

Переехал на MR4 в конце прошлой недели, при появлении проблему отпишусь... Есть подозрение что обновленные клиенты (сохранными старыми настройками) могут такую ошибку повторять... посмотрим практика покажет..)...

[Gronn 0]

У меня другая ситуация. В консоли настроено, чтобы при обнаружении угрозы файл помещался в карантин (по умолчанию), далее пролежавшие 6 дней файлы в карантине удаляются. Но очень часто бывает так, что с понедельника по четверг карантин наполняется (т.е. 6 дней не истекает), а в четверг запускается полный скан и заново проверяет директории с карантином. Естественно появляются сообщения об обнаружении угрозы. Как то можно исключить карантин из полного скана?

[Кирилл Керценбаум 671]

Как то можно исключить карантин из полного скана?

Можно, но Вы уверены что именно в карантине находятся угрозы? SEP помещает файлы в карантин в зашифрованном виде и не должен детектить их как вирусы!

[Gronn 0]

Вот что симантек находит

[Кирилл Керценбаум 671]

Gronn это не карантин, это временные файлы, которые появляются во время сканирования по расписанию при распаковке архивных файлов. Если ПК выключается в процессе сканирования - то файлы остаются и удаляются только при следующем сканировании, видимо в этих архивах были вирусы, которые впоследствии были найдены и в этих оставшихся файлах. В принципе эту папку можно добавить в исключения, но есть все-таки риск что этим могут воспользоваться

[rxx 0]

Если ПК выключается в процессе сканирования - то файлы остаются и удаляются только при следующем сканировании

Но, похоже, не всегда. Недели за две на машине набралось 100 с лишним ГБ.

[Кирилл Керценбаум 671]

rxx какая версия клиента SEP?

[Андрей-001 1099]

Недели за две на машине набралось 100 с лишним ГБ.

Ого! А разве никакой Cleaner на вашем ПК не стоит?

Многие программы создают и используют временные файлы. В любом случае вспомогательный софт тоже нужен - надо же кому-то и мусор выносить.

[rxx 0]

Версия 11.0.3001.2224, русский.

Андрей-001, чистильщик, к сожалению, не предусмотрен.

[Gronn 0]

Как показала практика в версии 11.4 таких проблем нет. Единственный момент. У меня возникали проблемы из-за следующей ситуации: к некоторой группе (в которой все клиенты были версии 11.3 ) прривязываю пакет с версией 11.4. Будто бы все клиенты прекрасно обновляются с 11.3 до 11.4 версии. Но через пару дней возникают проблемы с исчезновением свободного места из-за переполнением директории C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer. Как оказывается именно эти машины не обновились до 11.4, и лишь по тому что места нет, а нужно около 450 мегабайт для автоматической установки. В такой ситуации помогает лишь ручная переустановка. При том удаление занимает достаточно много времени в виду долго очищения указаной выше директории.

[Gronn 0]

В моем случае с версией 11.0.4000.2295 у некоторых клиентов возникают накопления *.tmp файлов. При том, если пытаться в ручную удалить содержимое C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer антивирус злостно ругается на его содержимое (у меня в каждом файле видел троян) и не дает его удалить. Данная ситуация как я понял возникает в таких ситациях:

1. Запускается плановое полное сканирование.

2. До его окончания пользователь выключает компьютер

3. Включив на следующий день система запускает продолжение сканирования.

4. Параллельно с заданием начинают валиться сообщения о то, что в выше указанной директории находятся зараженные файлы.

В этот момент *.tmp файлы можно удалить лишь в безопасном режиме с правами администратора.

Вот и как быть?...

[xck 25]

Временно добавить данный каталог в исключения, ручное удаление файлов к сожалению если и помогает то временно... Как правило помогает полная переустановка клиента...