Здравствуйте!
Сервер: 11.00.1 (12-11-2018 11:00:00)
Агент: 11.00.1.201811120
Рабочие станции под управлением Windows 7/8/8.1/10
На рабочие станции устанавливается в такой конфигурации:
Сканер DrWeb
Spider Guard
Spider Mail
Spider Gate
DrWeb для Outlook
Антиспам
В антивирусной сети есть три группы:
Everyone (туда попадают станции по-умолчанию во время авторизации)
Группа станция основного офиса - фильтрация по префиксу имени компьютера
Группа станций удаленного офиса - фильтрация по префиксу имени компьютера
Используется несколько политик:
1. Основная политика. Содержит настройки компонентов, приоритет компонентов и пр. Задания:
а) Выборочное сканирование - при запуске системы (асинхронное, критическое)- проверить загрузочные секторы, автоматически запускаемые программы, загружаемые программы и модули, руткиты, прервать проверку при переходе на аккумуляторы, приоритет обычный, уровень загрузки ресурсов минимальный; действия - инфицированные - лечить, инфицированные загрузочные секторы - лечить, потенциально опасные - игнорировать, остальное - в карантин.
б) Быстрое сканирование каждые два часа - действия те же, что выше, приоритет низший, загрузка ресурсов минимальна
в) ежемесячное полное сканирование. В общем настройки идентичны.
2. Дополнительная политика. Таки же настройки, что выше, отключена эвристика, низшие приоритеты - для старых компьютеров, на которых доктор сильно грузит ресурсы (кстати, не ожидал такой загрузки, очень много жалоб на производительность после установки доктора)
Во всех политиках и в настройках групп так же, заданы исключения сканера и спайдера:
Пути и файлы:
C:\Program Files\LiteManagerFree - Server\
C:\Program Files (x86)\LiteManagerFree - Server\
C:\Program Files\LiteManagerFree - Server\*\*.exe
C:\Program Files (x86)\LiteManagerFree - Server\*\*.exe
C:\Program Files\LiteManagerFree - Server\*\*.dll
C:\Program Files (x86)\LiteManagerFree - Server\*\*.dll
qr{\\ROMFUSClient\.exe$}i
qr{\\ROMServer\.exe$}i
qr{\\LiteManagerFree - Server\.msi$}i
qr{\\r_install\.exe$}i
qr{\\1534a8\.msi$}i
qr{\\14795\.msi$}i
Процессы:
ROMServer.exe
ROMFUSClient.exe
Несмотря на явные исключения и указания игнорировать потенциально опасные - постоянно удаляет файлы LiteManager.
Источник: Dr.Web Agent Scanner for Windows (NT AUTHORITY\система)
Объект: C:\Program Files\LiteManagerFree - Server\ROMServer.exe (неизвестно)
Тип: инфицирован
Угроза: BackDoor.RomServer
Действие: перемещен в карантин
Подскажите, пожалуйста, что я делаю не так?
Любые советы и критику, только рад. Спасибо.