Jump to content

aehrlich

Members
  • Content Count

    383
  • Joined

  • Last visited

Posts posted by aehrlich


  1. All you have to do is add your different subnets to the zones tab of the anti-hacker-settings as local or trusted zone.

     

    I had the same issue w/ Oracle and SSH, and this corrected my problem.

    Well, maybe it does solve the problem of timeout, but it introduces another one -- security. By no means am I going to add all those machines (often belonging to whomever, not to me) to "local/trusted zone", it is just not an option. The vendor shall just fix the timeout issue, without considering zones.


  2. My ssh sessions do timeout, too, at least when not connecting to "local network" zone. When I temporarily uninstall Anti-Hacker and install Outpost instead the connections do not timeout, so please don't tell me my network setup is causing the issue ;-).

    And my Oracle connections do, too -- sometimes.

    WKS 6.0.3.837. It seems there is something "wrong by design".


  3. Верю. Но, к сожалению, не факт, что этот фолс в дальнейшем никак не аукнется:(

    Windows не падает и в состоянии перезагрузиться без этого файла (у меня, по крайней мере), но часть служб не стартует, в т.ч. приложения Dell Control Point и, похоже, VMWare Server.

    Кроме того, не факт, что установка .msi будет работать.

    Я восстанавливал файл "с соседа".


  4. Very interesting behaviour of KAV.

    In the 1st attached screenshot one can see two updates: 19.04.2009 21:40:26 and 20.04.2009 08:43:07. The latter of them stated that "update is not required" (the 2nd screenshot). In between the false positive did still occur.

    However, if I make an explicit scan for viruses for the file now it is not reported as infected anymore.

    Any comments to this?

    OK, the statement about the strange behaviour ("update is not required") was my fault: there were two updates, 08:43 and 08:45 and the "update is not required" message concerned the second one, so no more mystics.

    However, the stated fix time 20:30 GMT+3 (Moscow time) is 19:30 GMT+2, am I correct ;-)? And from the screenshots one could see that the false positive was still detected after update at 21:40 GMT+2, i.e. 2 hours later than the "stated fix time".


  5. This false positive was fixed yesterday at 20.30 (GMT+03). Don't forget to update your databases ;)

    Very interesting behaviour of KAV.

    In the 1st attached screenshot one can see two updates: 19.04.2009 21:40:26 and 20.04.2009 08:43:07. The latter of them stated that "update is not required" (the 2nd screenshot). In between the false positive did still occur.

    However, if I make an explicit scan for viruses for the file now it is not reported as infected anymore.

    Any comments to this?

    post-37002-1240212592_thumb.jpg

    post-37002-1240212605_thumb.jpg


  6. Did you report our virus analysts about this? (newvirus@kaspersky.com), and if yes, how much time ago?

    Yes I did. The reply was as follows:

     

    -------- Original Message --------

    Subject: RE: [VirLabSRF][False Alarm][M:1][LN:RU][L:0] [KLAN-26845990]

    Date: Sun, 19 Apr 2009 20:11:23 +0400

    From: <newvirus@kaspersky.com>

    To: <removed>

    Здравствуйте,

     

    Это было ошибочное срабатывание.

    Оно будет исправлено.

    Благодарим Вас за помощь.

     

    <translation for english-speaking people>

    Hello,

    It was a false alarm.

    It will be fixed.

    Thank you for your help.

    </translation for english-speaking people>

     

     


  7. 19.04.2009 днем было выпущено обновление, обнаруживавшее Backdoor.Win32.Agent.afqs в файле wmiprvse.exe (по крайней мере, WXP SP3 EN с последними, т.е. от 14.04., обновлениями -- именно в одном из последних обновлений).

    Вирлаб подтвердил, что это действительно ложное срабатывание.


  8. 19.04.2009 there was published a virus definition update that lead to a false positive "Backdoor.Win32.Agent.afqs" in the file wmiprvse.exe (at least of WXP SP3 EN with the latest, i.e. 14.04., updates).

    The "falseness" has been confirmed by Kaspersky VirusLab and they have promised to publish a correction to the virus deifinitions.


  9. First of all. CentOS is not in the list of supported platforms.

    May I ask an ugly question then, also considering your signature?

    The list of system requirements for KAS3 contains only the following reference to RHEL:

    RedHat Enterprise Linux Advanced Server 3

    Do you really want to say that Kaspersky Lab will not support KAS3 on RHEL4 and RHEL5?


  10. Сделайте вот так

    <...>

    Все работает, ничего не спрашивается. Мои пользователи - довольны.

     

    Кстати, ставить админкит в контору, где 90% машин -- лаптопы (и большая часть их используется извне локальной сети), попрошу не предлагать.


  11. Это нормально. Сегодня поспрашивает - завтра перестанет.

    Это компоненты антивируса заново настраиваются после сбоя.

    Это "нормально" в том смысле, что "оно сейчас так работает и от этого никуда не деться".

    Но это ненормально в том смысле, что админы сейчас, по сути, вынуждены приучать пользователей "соглашаться со всем". "Оно" говорит, что что-то изменилось -- согласись. Какой после этого вообще смысл в "контроле целостности приложений" (не для ИТ-гиков, а для основной массы пользователей)?


  12. FireFox два раза изменился: при обращении к http и https.

    А у меня "изменился" только один раз, хотя я пробовал и http и https. Может, разница в том, что у меня порт 443 исключен из проверки зашифрованных (из-за интернет-банков)?


  13. Пожалуйста, после обновления с тестового источника переведите WKS на обычный источник обновления и снимите галку "Обновление модулей приложения". По крайней мере, до выкладки исправленного патча на публичные сервера.

    Снял в настройках обновления галку с бета-серверного источника (и галку "обновлять модули"). Запустил обновление вручную -- все равно ломится на бета-сервер.

    Передвинул строчку с бета-сервером вниз -- все равно ломится на бета-сервер.

     

    Upd: удалил строчку с бета-сервером -- все равно ломится на бета-сервер. Я хренею, дорогая редакция... Сейчас попробую перезагрузить машину.


  14. Обновился с тестового сервера, перезагрузился.

    По нескольку раз появились сообщения, что svchost.exe изменен (разный PID - обслуживаются разные процессы?).

    Для других приложений (Thunderbird.exe, firefox.exe, spoolsrv.exe) сообщения об изменении приловылезали по одному разу.

    Появился iSwift в логах.

    Повторное обновление с бета-сервера думало долго, скачало 9 файлов, обновило (или сказало, что обновило) больше тысячи (update2frombeta.zip). Последующие обновления ведут себя аналогично.

    <upd>

    Здесь http://forum.kaspersky.com/index.php?showtopic=110774 аналогичные жалобы (хотя и без бета-сервера).

    </upd>

    WinXPP SP3, админкит (и его агент) не установлены, антиспам установлен, но отключен, антихакер в Training Mode.

    update2frombeta.zip


  15. в чем выражается, что "слетел iSwift"?

    С 31.03.2009 14:01 (самая старая запись в журнале File Anti-Virus) нет ни одной записи с Reason=iSwift (iChecker есть).

    Может быть, это косметика, однако количество Reason=scanned "на глаз" намного больше обычного.


  16. I did that earlier today and it worked, however, is that a good idea to turn off self defence? Is there a better way to resolve this issue other than mitigating the security level?

    Yes, there is. Add the WinVNC.exe (or whatever service exe you have) to the trusted zone, marking the property "Do not control application activity" (it is not checked by default when you add an application to the trusted zone).

    The "disable self-defense" was the only option for some time between introducing this kind of self defense in KAV and adding the "do not control application activity" option, so my advice might not be applicable to some older versions of KAV, but it definitely works in the last 6.0.3.837.


  17. Замените win9x на winNT 4.0 SP6 - тоже уже не поддерживается microsoft-ом. И для корпоративных сетей NT4 гораздо лучше подходит. И с WKS на нем проблем поменьше чем на win98

    Гениально. Где ж я эти NT-шные лицензии возьму ;-)? Себе дешевле новые компьютеры с XPP OEM купить. Старые машины живут по принципу "выбросить жалко" с тем софтом (более-менее), что был.


  18. Н-да, уважаемые... Вот неделю назад на Win98, 64RAM, Celeron-? снес стоявший там DrWeb 4.43 и поставил KAV Wks 6.0.3.837. Не сказать, чтобы с пауком оно раньше летало, но теперь совсем ползает. На Win95 KAV поставить не удалось.

    Вывод -- на Win9x буду обновлять/возвращать DrWeb.


  19. Yes, that should work, but it does not. The traffic I don't want scanned, and have tried to exclude, gets scanned anyway (or at least, the SSL certificate gets replaced). Maybe the traffic is not being scanned, but the cert is still being replaced, which is the real root of the problem.

    Well, we've got to some kind of workaround together with our local support :-). The point is that to exclude a site from checking over https you have to create a rule in the trusted zone that any traffic to the given host should be excluded (presumably, to port 443, only) in the Web Antivirus.

    For my case (an internet banking site) it provides the results I want, however, for a "domain name with wildcards" (*.mozilla.org) it would be pretty troublesome to find all the IP-s that could be relevant ;-/, as only IP addresses can be written there. And although it is not my business actually, are you sure that skipping virus check of mozilla addons does sound reasonable?

    However, I've started running into "invalid certificate" messages of Thunderbird lately (after upgrading to WKS 6.0.3) for some mystical issues; this issue is something different and I am investigating it...


  20. Well, you get this certificate error since (a) KAV/KIS substitutes its own certificate to implement virus checking over https connections -- it is by design and (B) firefox appears to verify the certificate it receives from mozilla.org.

    I suggest your desired usage pattern would be smth like "please automatically (without prompting) check all encrypted connections to port 443 except the listed ones, namely, *.mozilla.org", isn't it?

    In theory, you should have been able to set the product up this way (at least, there are corresponding settings present in the UI ;-). In practice, however, it does not work (or, at least, I was unable to make it work) with KAV7 at all, while with WKS6 it does more-or-less work (just gets crazy in a couple of weeks and requires "reapply settings").

    I've set up a support request for the case, waiting for a reasonable answer so far...


  21. Внесение хоста Oracle в доверенную зону помогает. Но это же неправильно! Анти-хакер должен предъявить пользователю заблокированные пакеты и пользователь должен иметь возможность разрешить только нужный трафик.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.