22:55 

Trend Micro Office Scan Client 10.5

Hikedaya
В Dash'e под Chronostasis'ом.

По непонятной причине стоящий на файлопомойке клиент корпоративного антивируса отцепился от управляющей консоли. Offline режим, и все тут. Принял решение его переустановить, хотя и помню об замечательной утилитке IpXfer, которая и нужна для переподключения клиента к другому серверу. Или тому же самому, как раз вот в таком случае.
Сказано, сделано, команда на удаление отдана. В процессе видно, что удаление происходит с ооочень большим скрипом, удаление служб продолжалось минут 15, на стадии удаления файлов система воткнулась еще на 40 минут. Все симптомы зависания. Делать нечего, распечатывается специальный документ, и пошагово проходим процедуру ручной очистки системы. В конце этого списка значится - reboot. Ясное дело, что боевой файловый сервер перезагрузить в течение рабочего дня никто не даст, значит, откладываем это дело до вечера, команду на рестарт можно отдать и из дому.
Перезагрузили. С радостным лицом поставили клиент заново и... поняли, что что-то пошло не совсем так, как надо.
"Все вышло не так, как ты планировал, Итэн..." (с) M:I:2
Вместо трех нужных служб в системе зарегистрированы только две. Более того, служба сканирования в реальном времени запускаться отказывается в принципе, ссылаясь на то, что ей нечего делать(!). И вспоминаем, что до повторной установки нужно было все же вынести старые каталоги антивируса. Дурная голова ногам рукам покоя не дает. Ладно, снова сносим антивирус, и ожидаемо получаем затык на стадии удаления файлов. Что ж, взглянем на этот процесс под микроскопом, то есть Process Monitor'ом, по критерию:
Process Name is NTRMV.EXE
Результат следующий - данный процесс вовсю елозит по папке C:\Program Files\Trend Micro\Office Scan Client\Hlog, открывает файл, пишет в него, закрывает.
Что ж это за логи такие? Залезаем в папку проводником и получаем зависший проводник. Снять процесс, попробовать пролезть другим шеллом. Получаем то же самое. Ладно, расчитай мне размер этой папки. Explorer.exe уходит в подсчеты, отгребает на себя гигабайт оперативной памяти, но результат удручает - найдено 0 объектов. К слову сказать, ни TC, ни cmd в этом плане тоже не отличились. Что же делать? Это логи, они находятся в папке, которая полностью предполагается к сносу. Их надо снести. Прпробуем метод, который меня еще не подводил:
cmd
cd c:\program files\trend micro\officescan client
del /f/s/q hlog\*.*
После минутного раздумья шел все же начал удалять все то, что там было. Тогда я еще не знал, сколько там всего.
Через минут 20 этого терзания диска я остановил процесс и попробовал снова зайти туда проводником. Увиденное повергло меня в шок. Проводник все же смог показать часть этого каталога: 300000 объектов, каждый размером меньше килобайта. И это - еще не весь каталог. Ну что же, повторный запуск удаления всего и вся через командную строку и ждать результатов. Это надолго...
P.S. Поймал себя на мысли, что это уже не первые боевые действия с данным антивирусом. Связка Trend Micro и Symantec Backup Exec уже показала себя во всей красе.

@музыка: KOTO - Die Klapperschlange

@темы: Security, Viruses and Spam, Этот безумный мир

URL
Комментарии
2011-12-09 в 09:50 

Здравствуй, случайно наткнулся на этот пост...
Как на клиентах уменьшить обьем памяти занимаемой в оперативке этим антивирусом?

URL
2011-12-09 в 13:18 

Hikedaya
В Dash'e под Chronostasis'ом.
Гость, я долго бил голову над этой проблемой. И пока что решения ее не нашел. Единственное, что более менее помогает, это слежение за процессом TmListen.exe и перезапуском оного в случае утечки памяти. См. здесь.

URL
2011-12-09 в 16:06 

Как удалить тренд микро (и клиент и сервер), если не известны пароли? При попытке удаления запрашивается пароль, а его-то и нету....

URL
2011-12-09 в 17:03 

Hikedaya
В Dash'e под Chronostasis'ом.
Если нужно удалить клиент, не зная пароля на выгрузку (и удаление) Trend Micro, нужно модифицировать реестр:

HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.
Добавить параметр "AllowUninstall", тип DWORD (32 bit), значение 1.

После этого клиент будет удаляться без запроса каких-либо паролей.
Как удалить сервер без знания соответствующего пароля - не подскажу, ибо не приходилось. С этим вопросом лучше обратиться на форум или базу знаний самих Trend Micro.

URL
2014-08-28 в 14:14 

В Windows 7, 2008 такого ключа нет в реестре
HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.
Добавить параметр "AllowUninstall", тип DWORD (32 bit), значение 1.
Этот способ там не работает.

URL
2016-12-19 в 23:35 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Но что-то пошло не так.

2016-12-19 в 23:46 

Hikedaya
В Dash'e под Chronostasis'ом.
Линда Кайе, документация самого тренд-микро утверждает, что каждый такой файл - лог отправки данных о зловреде на серверы самого TM. Я чо-то в афиге, учитывая, что всякое общение с внешними сетями было отключено нафиг. И триста тыщ зловредов - не было их столько там за все время моей работы.

URL
2016-12-20 в 08:53 

Линда Кайе
Тотальная неудачница и убийца жёстких дисков.
Ну, мож это какой кэш? Не удалось отправить – сохранили на диск.

2016-12-20 в 14:32 

Hikedaya
В Dash'e под Chronostasis'ом.
Сейчас уже не скажу, а тогда как-то не до рассматривания этих файликов было :)

URL
   

Записная книжка

главная