Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

«Капкан Касперского».

Из истории…

На минувшей неделе ко мне обратились люди, со следующей проблемой: Касперский в трее светится серым цветом и постоянно всплывает реклама. Посмотрел, действительно так.

На ноуте стоит KIS10 на версии Windows 10 (1803), стоять стоит, но действительно не работает. Хотя все лицензионное и все такое.

Сразу решил обновить  KIS до 11 версии, так как 10 версия, не работает с обновлениями до Windows 10 (1909 точно).

«Накатил» его, прямо по верх старой версии, накатилось все без проблем, ни на что не ругался, после обновления «Каспер» ожил, увидел ключ, и на первый взгляд благополучно заработал. И даже нашел вирусняк в памяти, который вероятно и гнал всплывающую рекламу. Попросил перезагрузки и я отправил его в ребут.

Далее, как раз и началось самое странное:

-Ноут ушел в ребут, при загрузке, стал постоянно писать об автоматическом восстановлении, ругаясь на то, что загрузочный диск не обнаружен.

Отключаю режим автоматического восстановления, чтобы в целом понять, что именно случилось.

-Смотрю, что случилось с загрузчиком и вообще с разделами. Надо бы исправить положение. А тут вообще интересная картина. Диск C: благополучно превратился в диск D: (с чего вдруг, что ты творишь «Каспер»?).

-Меняю загрузочный раздел на диск D:

-После этого появляется новая проблема: загрузка начинается, и тут сразу выпадает другой синий экран, c возможностью выбора безопасного режима и прочих режимов (то, которое можно вызвать при загрузке по F8, по необходимости в штатной ситуации). Если выбираем безопасный режим загрузки с поддержкой сети, то тут появляется новая ошибка: Klelam.sys

https://www.cyberforum.ru/windows10/thread2402432.html

это снова «Каспер» не дает грузиться «Винде» (сколько же можно)…

-Есть вариант нажать F9, который позволяет загрузиться исключая защиту Malware и ноут грузится, появляется рабочий стол и все такое, и вроде бы проблема решена, но не тут то было, ни одно из устройств: ни мышка, ни клавиатура, ни тачпад, ни какие то другие устройства подключенные по USB, ничего не работает и не реагирует на внешние воздействия. По сути «Винда» есть, грузится, и даже работает, но по факту-она мертва (ей нельзя пользоваться Карл).

-Пробую другой вариант, как знающие люди рекомендуют на форуме: удалить Klelam.sys, и в моем случае он благополучно удаляется (некоторые на форуме обращают внимание, что по указанному пути его нет Windows \ System32 \ Drivers \), и теперь комп грузится безо всяких синих  окон при старте, вся загрузка безупречна. Но все тщетно. «Винда» грузится, появляется рабочий стол, но все также, никакие устройства не работают и пользоваться ей нельзя.

В общем, все реанимационные действия, которые были сделаны до, «пошли по бороде». Я так и не смог спасти пациента…

Мораль басни какова: Не обновляйте в Касперском ничего поверх предыдущих версий. Удалили предыдущую, перезагрузили, поставили новую, перезагрузили. Иначе можно получить «кулак дружбы» буквально на ровном месте.

Далее, соответственно, сохранение всех данных уже с помощью внешнего загрузчика, переразметка диска и полная переустановка «Винды». Тоска. Не наступайте на такие же грабли.

Всем хорошей работы!!!

27.05.2020 Posted by | antiviruses | Комментарии к записи «Капкан Касперского». отключены

Change Kaspersky to TrendMicro.

В рамках проекта по внедрению комплексной системы безопасности TrendMicro, к концу года, заканчиваем второй этап внедрения: переход с Kaspersky Total Security на TrendMicro OfficeScan.

На первом этапе? нами уже была внедрена система антиспам: Trend Micro™ InterScan™ Messaging Security, я писал об этом здесь. Ее тонкая настройка, отладка и обучение продолжается до сих пор, есть еще много тонких моментов, в которых необходимо разобраться и «подпилить» их.

Второй этап, касается непосредственно антивируса на серверах и рабочих станциях (у нас их 450+).

Сегодня расскажу о том, с чем довелось столкнуться в процессе перехода.

Kaspersky Total Security (последние 6-8 лет мы эксплуатировали именно его).

  • Основная беда «Каспера», на мой взгляд, он очень тяжеловесен (если на компах с SSD дисками, это не так заметно, то с обычными дисками SATA, компы впадают в некоторую размеренность и задумчивость, это мягко говоря). Процессорам типа: Celeron и Atom, этот антивирь так же противопоказан.
  • В процессе эксплуатации (за эти годы), многократно менялись версии, с удаленным обновлением версий с Центрального сервера управления, оказалось не все так гладко, это мы уже обнаружили при удалении, на многих компьютерах версии так и не обновились, где-то начали обновляться и антивирь так и остался в неопределенном положении с серой буковкой «К» в трее.
  • У нас распределенная сеть, скорость каналов интернет везде разная, централизованное удаление на медленных каналах тоже не работает или вылетает с ошибкой.
  • Примерно на 40% компьютеров штатными средствами через «Установку и удаление» удалить не получилось, пришлось воспользоваться утилитой kavremover, на многих ПК ей пришлось пройтись по 2-3 раза. Некоторые компы (у нас сейчас только Windows 8.1/10), так и не смогли пережить удаление: на них перестали стартовать *.exe файлы, пришлось переставлять винду (10% из 40%).
  • Внезапно столкнулись с тем, что после удаления «Каспера» на некоторых компах перестал работать Office, вопрос обсуждается здесь, но ответа на него нет. Самое интересное, что Word и Excel не работают, а все остальные приложения Office: типа Outlook, PowerPoint, продолжают благополучно функционировать. Офис пришлось полностью переставлять.
  • На нескольких компах, после удаления перестал работать Acrobat Reader (после перезагрузки просто стал вылетать с ошибкой), пришлось переставлять его тоже.
  • Еще одна интересная особенность: не многих тех компах, где «Каспер»  без проблем удалился штатными средствами через «Установку и удаление», сервер инвентаризации продолжал сообщать нам о том, что он по прежнему присутствует на компе, пришлось еще раз проходить kavremover-ом.

Все это значительно замедлило переход и мы сильно подвинулись вперед в сроках перехода (учитывайте эти нюансы в похожих проектах).

TrendMicro OfficeScan.

  • Офисскан безусловно значительно легче «Каспера»-это факт, с которым сложно поспорить. Это не говорит о том, что он лучше в защите (это мы узнаем в процессе эксплуатации), но легче точно (на компах с обычными SATA дисками, Офисскан при в обычном режиме почти не заметен, а вот при сканировании, также достаточно сильно нагружает диск, за-то на Celeron и Atom, живет без проблем).
  • Как будут обновляться версии в процессе появления новых, мы пока не знаем, так же станет понятно позже.
  • На медленных каналах интернет, благополучно устанавливается удаленно с Центрального сервера управления, удалять удаленно еще не пробовали 🙂 Пока рано.
  • Но и здесь не обошлось без ложки дегтя в бочке меда. На некоторые компы Офисскан стал, но стал не корректно (вероятно из-за остатков только удаленного «Каспера», или может звезды не так сошлись), но после установки, получили «дикие тормоза» (10-20% машин). Снести его оказалось не так просто. ПАРОЛЬ ДЛЯ УДАЛЕНИЯ, ЗАДАННЫЙ НА СЕРВЕРЕ УПРАВЛЕНИЯ, СРАБАТЫВАЕТ НА КОМПЕ ТОЛЬКО В БЕЗОПАСНОМ РЕЖИМЕ. Соответственно, удаленно удалить его в филиалах, оказалось достаточно не просто.

Способы удаления:

http://docs.trendmicro.com/all/ent/officescan/v10.6/ru-ru/osce_10.6_sp1_olh/uninstall_manually.html

https://ankar84.wordpress.com/2012/05/17/%D0%BF%D0%BE%D0%BB%D0%BD%D0%BE%D0%B5-%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-trend-micro-office-scan/

https://vinadm.blogspot.com/2012/04/trend-micro-office-scan.html

  • Консоль управления на сервере, для меня показалась не такой логичной, как в «Каспере».
  • Те объекты, которые не в нашей сети (в смысле у нас нет с ними VPN туннеля, а у нас к сожалению, такие по прежнему еще есть), не управляются Центральным сервером администрирования. Приходится дополнительно пользоваться облачным продуктом: TrendMicro ApexOne.
  • Техническая поддержка в России оставляет желать лучшего, пока ни одного внятного ответа от нее мы не получили, за разъяснениями постоянно приходится обращаться к нашим Индийским коллегам, а вопросов оказалось не мало и они по прежнему еще есть.

Сейчас мы уже в конце пути, все это далось нам достаточно не просто. Время покажет, на сколько проект будет удачен или нет.

На этом пока все, буду дополнять пост по мере поступления той или иной информации.

Всем хорошей работы!!!

10.12.2019 Posted by | antiviruses | | Комментарии к записи Change Kaspersky to TrendMicro. отключены

Uninstall antivirus 360 Total Security.

На днях друг попросил установить Kaspersky Antivirus на его комп. Вроде все просто, но при установке высветилась табличка, что на компьютере установлен 360 antivirus software, мол дальнейшая установка невозможна и все такое….

Никаких явных следов присутствия я не нашел….

Самое интересное что никакие утилиты типа:

В данном случае также будут бесполезны и ничем не помогут в решении проблемы.

Утилиты типа CCleaner аналогично никак не исправят ситуацию (зачистите остатки файлов исправите реестр).

Я часа 1,5-2 потратил на то, чтобы решить эту, как оказалось простую задачу. Оказалось ларчик просто открывался:

в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\

убиваем ветки 360 Safe и если есть то еще ветки начинающиеся на 360 (в моем случае была еще одна). Посмотрел они почти пусты, поэтому врятли какие-то деинсталляторы  или клиннеры реестра обратят на эти ветки внимание.

Перезагружаем комп. И Касперский устанавливается безо всяких проблем. На этом проблема решена.

Всем хорошей работы!!!

01.08.2018 Posted by | antiviruses | Комментарии к записи Uninstall antivirus 360 Total Security. отключены