20 ответов в этой теме

[gr385]

Может кто сталкивался.

 

Необходимо, чтобы на всех компьютерах домена работала программа, которую Доктор воспринимает как троян (и не без причин). А именно - LanAgent 3.

В техподдержке посоветовали поставить её в исключения Guard G3.

Поставил и в исключения процессов и в исключения файлов и в исключение директорий.

С 4й или 5й попытки заработало, т.е. клиентская часть Lanagenta не была удалена сразу.

При попытке распространить изменения на всю группу EveryOne через конфигурацию и обновление всех компонент клиентская часть Lanagent'a была удалена после первой перезагрузки.

 

Приму в дар любые светлые мысли - куда рыть и почему не срабатывает конфигурация.

 

Предложения - поставить 4й Lanagent - не принимаются.

[VVS]

1. Покажите лог спайдера.
2. Вы уверены, что удалил спайдер, а не сканер?

[HHH]

Отключить стартовое сканирование в расписании

[VVS]

Отключить стартовое сканирование в расписании

или, если это виноват сканер, то внесите нужный файл в его исключения.

[gr385]

1.  Кусок лога из раздела "Антивирусная сеть"->"EveryOne"->"Инфекции"

 

2013 14:00:06 e04d4f89-d21d-b211-929b-c8017011a45e|ALTAIDE16|192.168.24.10 Инфицированный файл Trojan.LanAgent.13 удален Dr.Web Enterprise Сканер для Windows c:\windows\syswow64\sysuser\
svchost.exe BUILTIN\
Администраторы:ALTAIDE\
Пользователи домена 14-03-2013 13:59:39 NT AUTHORITY\
система:NT AUTHORITY\
система 14-03-2013 14:00:06 e04d4f89-d21d-b211-929b-c8017011a45e|ALTAIDE16|192.168.24.10 Инфицированный файл Trojan.LanAgent.13 удален Dr.Web Enterprise Сканер для Windows c:\windows\syswow64\sysuser\
system.exe BUILTIN\
Администраторы:ALTAIDE\
Пользователи домена 14-03-2013 13:59:40 NT AUTHORITY\
система:NT AUTHORITY\
система 14-03-2013 14:00:06 e04d4f89-d21d-b211-929b-c8017011a45e|ALTAIDE16|192.168.24.10 Инфицированный файл Trojan.LanAgent.13 удален Dr.Web Enterprise Сканер для Windows c:\windows\syswow64\sysuser\
wssfcmai.exe BUILTIN\
Администраторы:ALTAIDE\
Пользователи домена 14-03-2013 13:59:40 NT AUTHORITY\
система:NT AUTHORITY\
система

Правда, в исключения сканера для группы EveryOne эти файлы тоже внесены.

[VVS]

Ну вот, Dr.Web Enterprise Сканер для Windows

Значит и разбираться нужно с ним.

[maxic]

Правда, в исключения сканера для группы EveryOne эти файлы тоже внесены.

Стартовое сканирование ES сканером настраивается в расписании.

[gr385]

2VVS до этого у меня было 2 десятка таких же сообщений от гварда.

2maxic Спасиб за совет, исправил, счас попробую.

[VVS]

2VVS до этого у меня было 2 десятка таких же сообщений от гварда.

Дык я ж и не возражаю...

Просто вносить в исключения нужно для всех задействованных компонент.

[gr385]

Да, вроде помогло.

Значит просто не подумал о стартовом сканировании.

Спасибо всем преогромное.

 

А вот предыдущие, просто, чтоб было понятно -почему

 

14-03-2013 12:57:04 Инфицированный файл Trojan.LanAgent.13 удален C:\windows\syswow64\sysuser\
wssfcmai.exe Unknown SpIDer Guard G3 for Windows 14-03-2013 12:57:04 ALTAIDE\
Администратор:ALTAIDE\
Пользователи домена 14-03-2013 12:57:04 Инфицированный файл Trojan.LanAgent.13 удален C:\windows\syswow64\sysuser\
svchost.exe Unknown SpIDer Guard G3 for Windows 14-03-2013 12:57:04 ALTAIDE\
Администратор:ALTAIDE\
Пользователи домена 14-03-2013 12:57:04 Инфицированный файл Trojan.LanAgent.13 удален C:\windows\syswow64\sysuser\
system.exe Unknown SpIDer Guard G3 for Windows 14-03-2013 12:57:04 ALTAIDE\
Администратор:ALTAIDE\
Пользователи домена

[sda.it53]

Тема похожая, продолжу ее.

У нас для удаленного управления используется программка Litemanager.

ESS ее файлик c:\windows\system32\romwln.dll очень сильно подозревает  в Program.RemoteAdmin.708, что в принципе логично.

Посмотрел журнал инфекций в центре управления, там есть записи:

Потенциально опасная программа Program.RemoteAdmin.708 уведомление Dr.Web Enterprise Сканер для Windows c:\windows\system32\romwln.dll

При этом в секции Dr.Web Сканер для Windows Добавлено исключение:

c:\windows\system32\romwln.dll (я уж в обоих секция исключений добавил). Однако уведомление все равно есть. Как его избежать?

[VVS]

Тема похожая, продолжу ее.
У нас для удаленного управления используется программка Litemanager.
ESS ее файлик c:\windows\system32\romwln.dll очень сильно подозревает  в Program.RemoteAdmin.708, что в принципе логично.
Посмотрел журнал инфекций в центре управления, там есть записи:
Потенциально опасная программа Program.RemoteAdmin.708 уведомление Dr.Web Enterprise Сканер для Windows c:\windows\system32\romwln.dll
При этом в секции Dr.Web Сканер для Windows Добавлено исключение:
c:\windows\system32\romwln.dll (я уж в обоих секция исключений добавил). Однако уведомление все равно есть. Как его избежать?

Прочитать сообщение http://forum.drweb.com/index.php?showtopic=313086#entry656650

[sda.it53]

Какое конкретно?

 

Ну вот, Dr.Web Enterprise Сканер для Windows

Значит и разбираться нужно с ним.

Это что ли? Не вижу здесь новой полезной информации.

[VVS]

Какое конкретно?

Ну вот, Dr.Web Enterprise Сканер для Windows
Значит и разбираться нужно с ним.

Это что ли? Не вижу здесь новой полезной информации.

Именно это.
Это прямой ответ на поставленный Вами вопрос.

[sda.it53]

Как с ним разбираться? Где? В каком разделе? По какому алгоритму?

[VVS]

http://download.geo.drweb.com/pub/drweb/esuite/doc/HTML/admin-manual/ru/6_5_4.htm
Читать про исключаемые пути для него.

[sda.it53]

Читал. В эту инструкцию я залез сразу же

 

Исключаемые пути и Исключаемые файлы

При редактировании списков исключаемых путей и файлов:

◆Введите требуемый путь или файл в строку Исключаемые пути или Исключаемые файлы соответственно.

Все введено.

[VVS]

Вы писали:

При этом в секции Dr.Web Сканер для Windows Добавлено исключение:

Dr.Web Сканер для Windows и Dr.Web Enterprise Сканер - разные вещи, что собственно и обсуждалось в этой теме.

Сообщение было изменено VVS: 14 Февраль 2014 - 12:55

[sda.it53]

Об этом можно было догадаться, например.  Почему было нельзя сразу написать это

 

Dr.Web Сканер для Windows и Dr.Web Enterprise Сканер - разные вещи, что собственно и обсуждалось в этой теме.

первым ответом? Здесь же вроде не форум игры в угадайку-догадайку?

 

И самое главное. Решение то какое? В каком месте настраивается исключения для Enterprise сканера (пункта в центре управления нету)? В теме только про отключения сканирования при запуске вижу (что мне совсем не хочется делать).

[VVS]

И самое главное. Решение то какое? В каком месте настраивается исключения для Enterprise сканера (пункта в центре управления нету)? В теме только про отключения сканирования при запуске вижу (что мне совсем не хочется делать).

http://forum.drweb.com/index.php?showtopic=313086#entry656652