Eset EAVBE 4 "съел" Radmin`a

1
RSS
Здравствуйте!

Имеем несколько магазинов в области и за ее пределами.
Подготовили и разослали в них компьютеры с установленными Win7 + Eset EAVBE 5.x + Radmin 3.x.
Около года все они работали нормально,  вирусы успешно отлавливались и удаленный доступ к компам был.
Но месяц-два как удаленный доступ к компам (через Radmin) начал пропадать.
Ездить по удаленным магазинам сложно, поэтому первое время было сложно понять причину.

Но на этой неделе подготовили новый комп для нового магазина, сразу в магазин не отправили, а сначала обновили базы Eset - и он тут же "сожрал" Radmin'a.
Хотя ему в "Исключениях" путь к папке Radmin'a был указан...
Телефонный опрос пользователей во всех магазинах подтвердил, что в "Карантине" Eset лежит Radmin...

Вопросы:
1. Как еще указать Eset EAVBE что "НЕ НАДО трогать такую-то папку/сервис/программу в памяти"?
2. Как нам теперь восстановить работоспособность Radmin'a в удаленных магазинах НЕ выезжая на место (это долго и дорого), причем пользователи
в магазинах прав Админа не имеют (да и не умеют ничего), а доступ по RDP к компам непредусматривался?
3. Radmin, как и Eset EAVBE, как и весь остальной софт в нашей организации - лицензионный, за него деньги уплачены. При установке он должен активироваться через
интернет. Подозреваю, что повторная установка потребует и повторной активации, а лицензия уже истрачена...

Компания Eset готова возмещать подобные расходы пользователям ее продуктов?
А в чем проблема подключиться, например, по TeamViewer и проверить, в чем действительно дело?
Пока что я ничего, кроме слов, не увидел. Хотя бы журнал карантина предоставили бы.
Плюс уже давно появились новые версии EAV, можно обновить ПО, и посмотреть, как будет работать с новой версией антивируса.

Цитата
Алексей пишет:
Подозреваю, что повторная установка потребует и повторной активации, а лицензия уже истрачена
Насколько я знаю, лицензия теряется только в том случае, если количество обновлений с этой лицензией превышает количество компьютеров, поддерживаемых данной лицензией.
Т.е. можете не переживать насчет переустановки и повторной активации.
Цитата
marshal64 пишет:
Плюс уже давно появились новые версии EAV
Домашние да, а корпоративка пока только 5.х.

Цитата
Алексей пишет:
Как еще указать Eset EAVBE что "НЕ НАДО трогать такую-то папку/сервис/программу в памяти"?
Вы так в игнор заносили свою прогу? Попробуйте еще вариант восстановить и игнорировать из карантина.
в такой же конфигурации работают на удаленных машинах:
win7 + EEA 5 + radmin3.
все программы мирно уживаются, никто никого не ест.
Программа детектируется как "Потенциально опасное ПО". И детектируется только в том случае, если у пользователя включено обнаружение потенциально опасного/нежелательного ПО. Это не является ложным срабатыванием.

Ниже представлен вариант инструкций по добавлению RAdmin в исключения.

Через редактор конфигураций ESET нужно в разделе «Защита рабочих станций Windows, версия 5» - «Ядро» - «Параметры» - Исключения» добавить правила:

1) Снять галочку «Исключать все угрозы», в поле «только угрозы» указать @NAME=win32/remoteadmin.radmin.ac@TYPE=ApplicUnsaf ,в поле «Новый объект» указать C:\* , нажать кнопку «Добавить».

2) Добавить другие необходимые для компании исключения, если таковые имеются. Нажать кнопку «ОК».

Сохранить созданную конфигурацию и применить к клиентам, на которые планируется установить RAdmin.
ESET Technical Support
Цитата
crank69 пишет:
Вы так в игнор заносили свою прогу? Попробуйте еще вариант восстановить и игнорировать из карантина.
Да, окно именно это.

Цитата
Валентин пишет:
Программа детектируется как "Потенциально опасное ПО". И детектируется только в том случае, если у пользователя включено обнаружение потенциально опасного/нежелательного ПО. Это не является ложным срабатыванием.
Я и не говорю, что срабатывание ложное. Обнаружение "Потенциально опасного/нежелательного ПО" включено, это так. Но EAVBE проигнорировал тот факт, что путь "C:\Windows\SysWOW64\rserver30\*.*" еще при первой настройке EAVBE занесен в Исключения.
В журнале "Обнаруженных угроз" такое сообщение:
"Модуль сканирования файлов, исполняемых при запуске системы" - "Оперативная память = C:\Windows\SysWOW64\rserver30\rserver3.exe" - "модифицированный Win32/RemoteAdmin.RAdmin.AC" - "потенциально опасная программа" - "очищен удалением - изолирован"
Именно так произошло в удаленном магазине и на новом компе. Такое ощущение, что "Модуль сканирования при запуске" взял и проигнорировал раздел настроек "Исключения"...

Цитата
Валентин пишет:
Ниже представлен вариант инструкций по добавлению RAdmin в исключения.

Через редактор конфигураций ESET нужно в разделе «Защита рабочих станций Windows, версия 5» - «Ядро» - «Параметры» - Исключения» добавить правила:

1) Снять галочку «Исключать все угрозы», в поле «только угрозы» указать @NAME=win32/remoteadmin.radmin.ac@TYPE=ApplicUnsaf ,в поле «Новый объект» указать C:\* , нажать кнопку «Добавить».

2) Добавить другие необходимые для компании исключения, если таковые имеются. Нажать кнопку «ОК».

Сохранить созданную конфигурацию и применить к клиентам, на которые планируется установить RAdmin.
В удаленных магазинах у нас установлен EAVBE 5.0.2126.3 - как стандалон-продукт, без управления через Eset RA. Поэтому настраивался просто через "Дополнительные настройки", а там нет галки "Исключать все угрозы" и поля "только угрозы", поэтому исключение было сделано явно по пути, который я указал выше.
Но за конкретную рекомендацию спасибо.
Скажите, Валентин, а такой подход (C:\* + @NAME=win32/remoteadmin.radmin.ac@TYPE=ApplicUnsaf) с большей долей вероятности будет корректно использован "Модулем сканирования при запуске", чем явное указание пути Исключения?
Алексей, да, так как путь исключения не затрагивает по не совсем понятным причинам сам процесс в оперативной памяти. А нужную конфигурацию можно не просто раздать через ERA, а импортировать на каждом клиенте вручную.
ESET Technical Support
Валентин, не помогло... Модуль сканирования при запуске по-прежнему съедает процесс Rserver3.exe, ну и источник его старта заодно...
Пришлось в "Модуле сканирования при запуске" (и в остальных местах для страховки) снять галку с "Потенциально опасного ПО" - только тогда Radmin смог выжить.

Плохо.
У меня на поддержке несколько сетей с Radmin и Eset. Когда-то Eset NOD32 2.7/3.0 убивал Radmin 2.2 таким же образом, не смотря на исключение. История повторяется - теперь Eset EAVBE 4/5 убивает Radmin'a 3.x. Везде отключать отлов "Потенциально опасного ПО" не хочется...
Есть решение без понижения защиты?
Цитата
Алексей пишет:
по-прежнему съедает процесс Rserver3.exe
Пришлите, пожалуйста, соответствующую запись из журнала обнаруженных угроз. И файл конфигурации в запароленном архиве (с заданным исключением, как я описывал выше). Ссылку на пароль мне в личные сообщения.
ESET Technical Support
Цитата
Алексей пишет:
Валентин , не помогло... Модуль сканирования при запуске по-прежнему съедает процесс Rserver3.exe, ну и источник его старта заодно...
Пришлось в "Модуле сканирования при запуске" (и в остальных местах для страховки) снять галку с "Потенциально опасного ПО" - только тогда Radmin смог выжить.

Плохо.
У меня на поддержке несколько сетей с Radmin и Eset. Когда-то Eset NOD32 2.7/3.0 убивал Radmin 2.2 таким же образом, не смотря на исключение. История повторяется - теперь Eset EAVBE 4/5 убивает Radmin'a 3.x. Везде отключать отлов "Потенциально опасного ПО" не хочется...
Есть решение без понижения защиты?

Помнится у меня такая же проблема с Radmin была и решилось прописыванием исключений без указания конкретного типа угрозы, хотя это и является понижением защиты!
1
Читают тему (гостей: 1)