Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Change Kaspersky to TrendMicro.

В рамках проекта по внедрению комплексной системы безопасности TrendMicro, к концу года, заканчиваем второй этап внедрения: переход с Kaspersky Total Security на TrendMicro OfficeScan.

На первом этапе? нами уже была внедрена система антиспам: Trend Micro™ InterScan™ Messaging Security, я писал об этом здесь. Ее тонкая настройка, отладка и обучение продолжается до сих пор, есть еще много тонких моментов, в которых необходимо разобраться и «подпилить» их.

Второй этап, касается непосредственно антивируса на серверах и рабочих станциях (у нас их 450+).

Сегодня расскажу о том, с чем довелось столкнуться в процессе перехода.

Kaspersky Total Security (последние 6-8 лет мы эксплуатировали именно его).

  • Основная беда «Каспера», на мой взгляд, он очень тяжеловесен (если на компах с SSD дисками, это не так заметно, то с обычными дисками SATA, компы впадают в некоторую размеренность и задумчивость, это мягко говоря). Процессорам типа: Celeron и Atom, этот антивирь так же противопоказан.
  • В процессе эксплуатации (за эти годы), многократно менялись версии, с удаленным обновлением версий с Центрального сервера управления, оказалось не все так гладко, это мы уже обнаружили при удалении, на многих компьютерах версии так и не обновились, где-то начали обновляться и антивирь так и остался в неопределенном положении с серой буковкой «К» в трее.
  • У нас распределенная сеть, скорость каналов интернет везде разная, централизованное удаление на медленных каналах тоже не работает или вылетает с ошибкой.
  • Примерно на 40% компьютеров штатными средствами через «Установку и удаление» удалить не получилось, пришлось воспользоваться утилитой kavremover, на многих ПК ей пришлось пройтись по 2-3 раза. Некоторые компы (у нас сейчас только Windows 8.1/10), так и не смогли пережить удаление: на них перестали стартовать *.exe файлы, пришлось переставлять винду (10% из 40%).
  • Внезапно столкнулись с тем, что после удаления «Каспера» на некоторых компах перестал работать Office, вопрос обсуждается здесь, но ответа на него нет. Самое интересное, что Word и Excel не работают, а все остальные приложения Office: типа Outlook, PowerPoint, продолжают благополучно функционировать. Офис пришлось полностью переставлять.
  • На нескольких компах, после удаления перестал работать Acrobat Reader (после перезагрузки просто стал вылетать с ошибкой), пришлось переставлять его тоже.
  • Еще одна интересная особенность: не многих тех компах, где «Каспер»  без проблем удалился штатными средствами через «Установку и удаление», сервер инвентаризации продолжал сообщать нам о том, что он по прежнему присутствует на компе, пришлось еще раз проходить kavremover-ом.

Все это значительно замедлило переход и мы сильно подвинулись вперед в сроках перехода (учитывайте эти нюансы в похожих проектах).

TrendMicro OfficeScan.

  • Офисскан безусловно значительно легче «Каспера»-это факт, с которым сложно поспорить. Это не говорит о том, что он лучше в защите (это мы узнаем в процессе эксплуатации), но легче точно (на компах с обычными SATA дисками, Офисскан при в обычном режиме почти не заметен, а вот при сканировании, также достаточно сильно нагружает диск, за-то на Celeron и Atom, живет без проблем).
  • Как будут обновляться версии в процессе появления новых, мы пока не знаем, так же станет понятно позже.
  • На медленных каналах интернет, благополучно устанавливается удаленно с Центрального сервера управления, удалять удаленно еще не пробовали 🙂 Пока рано.
  • Но и здесь не обошлось без ложки дегтя в бочке меда. На некоторые компы Офисскан стал, но стал не корректно (вероятно из-за остатков только удаленного «Каспера», или может звезды не так сошлись), но после установки, получили «дикие тормоза» (10-20% машин). Снести его оказалось не так просто. ПАРОЛЬ ДЛЯ УДАЛЕНИЯ, ЗАДАННЫЙ НА СЕРВЕРЕ УПРАВЛЕНИЯ, СРАБАТЫВАЕТ НА КОМПЕ ТОЛЬКО В БЕЗОПАСНОМ РЕЖИМЕ. Соответственно, удаленно удалить его в филиалах, оказалось достаточно не просто.

Способы удаления:

http://docs.trendmicro.com/all/ent/officescan/v10.6/ru-ru/osce_10.6_sp1_olh/uninstall_manually.html

https://ankar84.wordpress.com/2012/05/17/%D0%BF%D0%BE%D0%BB%D0%BD%D0%BE%D0%B5-%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-trend-micro-office-scan/

https://vinadm.blogspot.com/2012/04/trend-micro-office-scan.html

  • Консоль управления на сервере, для меня показалась не такой логичной, как в «Каспере».
  • Те объекты, которые не в нашей сети (в смысле у нас нет с ними VPN туннеля, а у нас к сожалению, такие по прежнему еще есть), не управляются Центральным сервером администрирования. Приходится дополнительно пользоваться облачным продуктом: TrendMicro ApexOne.
  • Техническая поддержка в России оставляет желать лучшего, пока ни одного внятного ответа от нее мы не получили, за разъяснениями постоянно приходится обращаться к нашим Индийским коллегам, а вопросов оказалось не мало и они по прежнему еще есть.

Сейчас мы уже в конце пути, все это далось нам достаточно не просто. Время покажет, на сколько проект будет удачен или нет.

На этом пока все, буду дополнять пост по мере поступления той или иной информации.

Всем хорошей работы!!!

10.12.2019 Posted by | antiviruses | | Комментарии к записи Change Kaspersky to TrendMicro. отключены

Uninstall antivirus 360 Total Security.

На днях друг попросил установить Kaspersky Antivirus на его комп. Вроде все просто, но при установке высветилась табличка, что на компьютере установлен 360 antivirus software, мол дальнейшая установка невозможна и все такое….

Никаких явных следов присутствия я не нашел….

Самое интересное что никакие утилиты типа:

В данном случае также будут бесполезны и ничем не помогут в решении проблемы.

Утилиты типа CCleaner аналогично никак не исправят ситуацию (зачистите остатки файлов исправите реестр).

Я часа 1,5-2 потратил на то, чтобы решить эту, как оказалось простую задачу. Оказалось ларчик просто открывался:

в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\

убиваем ветки 360 Safe и если есть то еще ветки начинающиеся на 360 (в моем случае была еще одна). Посмотрел они почти пусты, поэтому врятли какие-то деинсталляторы  или клиннеры реестра обратят на эти ветки внимание.

Перезагружаем комп. И Касперский устанавливается безо всяких проблем. На этом проблема решена.

Всем хорошей работы!!!

01.08.2018 Posted by | antiviruses | Комментарии к записи Uninstall antivirus 360 Total Security. отключены

Вирусы-шифровальщики.

В понедельник в результате экспериментов, мой рабочий комп убил вирус-шифровальщик (все файлы, включая файлы профиля, все документы на всех дисках и дистрибутивы превратились .crypto). На компе был установлен Kaspersky и Malware одновременно, и я исключил всего две папки из защиты и проверки: downloads на диске e:, и program files на диске с:), но  то, что и Kaspersky и Malware были установлены на компе, никак не повлияло на ход событий, комп в определенный момент завис, после чего отправил его в ребут. А после перезагрузки открылся пустой рабочий стол и полу убитое меню Windows 10. Профили пользователей стали не видны все остальное превратилось в .crypto. С этого момента жизнь началась с нового чистого листа. В один миг все превратилось в пыль.

Обнаружил интересные две особенности:

  • Все, что было в папке c:\temp не зашифровалось.
  • В таком виде можно было устанавливать программы и они устанавливались прямо в папки с зашифрованными здесь же лежащими программами (как бы рядом с ними или поверх), выглядело это достаточно странно, будто компьютер, как ни в чем не бывало продолжает работать в штатном режиме .

Что дальше?

  • Kaspersky и Malware при загрузке уже конечно не стартовали (были уже зашифрованы), но я поставил их прям снова тут же рядом, и запустил полную проверку, они ничего не нашли.
  • Все тоже самое касалось и DrWeb и иже с ними… Никто ничего не находил или если находил, то было уже поздно махать граблями.
  • Далее поставил, также прям рядом с остальными,  утилиту HitmanPro (активировал триальную версию), она нашла какой-то троян, «пристрелила» его, и после перезагрузки у меня появились документы Рабочего стола и вообще стал виден Рабочий стол, которого до селе не было вовсе. Документы на Рабочем столе оказались не зашифрованными-это безусловно радовало, так как файлов, которые были у меня на Рабочем столе более у меня не было нигде, быстро скопировал из на флешку.

Об аналогах читаем здесь: http://remontka.pro/malware-removal-software/

Далее предстояло расшифровать файлы, вот интересный сайт где собрано не мало декрипторов:

https://www.nomoreransom.org/ru/decryption-tools.html

вначале начал пробовать и проверять по порядку сверху вниз разными утилитами, но каждая из них требовала немало времени на полную проверку (изучая форумы по теме шифровальщиков, натыкался на сообщения от людей, у которых на восстановление и расшифровку уходило по 2 недели, это мрак), такого времени у меня не было да и смысла это все восстанавливать я не видел, ведь у меня был BACKUP (бэкап всего, кроме, как я уже выше писал, папок Рабочего стола, но теперь были и они), а в текущей ситуации, это как никогда грело душу.

На переустановку всего (у меня достаточно много утилит, оснасток и программ) ушел день, еще день на, то чтоб перелить все мои файлы в исходное положение из Backup. Итого эксперименты стоили 2-х полных дней и это несколько выбило меня из устойчивого рабочего ритма.

Мораль басни какова?

  • Стараемся пользоваться только лицензионным или как минимум проверенным софтом, кряки, патчи, кейгены, все это порой приводит к аналогичным последствиям.
  • Не заходим на те страницы которые явно блокируются антивирусом или Malware, не добавляем их в исключения.
  • Не устанавливаем предлагаемые плагины и прочие надстройки с интернета.
  • Не исключаем никакие папки из проверки и защиты, как в антивирусе, так и в Malware.
  • Не стоит надеяться, что установленный антивирус (будь то Касперский, Др.Веб, Аваст или еще какой-либо) Вам сильно поможет и спасет Вас от всех проблем, как видим это так, да не так 😦
  • Золотое правило-БЭКАП НАШЕ ВСЕ!!!

Всем хорошей работы !!!

07.06.2017 Posted by | antiviruses | 2 комментария