Jump to content
Sign in to follow this  
JohnnyBravo

Старт службы KAV с системной учеткой

Recommended Posts

Здравствуйте.

Утром как обычно все включают компьютеры. Кто-то просто включил и пошел чай пить, кто-то сел работать. Смотрю в Админките, ага, есть машины с незапущенным KAV. Думаю что опять служба глючит, а нет. Захожу через VNC, смотрю горит окошко авторизации юзера (доменного),а KAV не запущен. Авторизируюсь, запускается антивирус. Так и должно быть? Получается компьютер уязвим, пока юзер не залогинелся.

Share this post


Link to post

to JohnnyBravo:

Проверить, можно, например, следующий образом:

- ребутнуть машину, дать повисеть на логоне, скажем, 10 минут;

- залогиниться;

- глянуть локальные логи на предмет времени появления следующего события

post-14953-1265624063_thumb.png

- сопоставить время возникновения данного события со временем логона юзера.

 

Если служба стартует до момента входа юзера, то копать в сторону причин неверного статуса в AK,

иначе - смотреть тип запуска службы на данной станции.

Edited by fp_post

Share this post


Link to post

Извините, очень плохо инет работает, не могу сразу ответить.

В смысле уязвим?

Ну антивирус не запущен, а сеть работает. Допустим у меня права админа домена, если я удалённо начну что-то ставить с вирусом (просто допустим), то машина заразится. Тот же самый кидо, он ведь как-то пробирается на другие машины? Может его уже модифицировали, там и не обязательно иметь много прав.

- ребутнуть машину, дать повисеть на логоне, скажем, 10 минут;

- залогиниться;

- глянуть локальные логи на предмет времени появления следующего события

Попробую.

Share this post


Link to post

Получается что агент стартует, потом выдаётся ошибка что домен не доступен. И это практически на всех машинах. Я знаю что есть какой-то параметр инициализации сетевой карты, только что там и как не помню.

post-238647-1265628348_thumb.jpg

Edited by JohnnyBravo

Share this post


Link to post
Может быть, пора уже в ТП обращаться?

Да не пора ещё. Такая ситуация каждый день. Может запуститься, а может и нет. Потом просто принудительно из админкита запускаю и всё, без каких-либо ошибок.

Share this post


Link to post

Да вот именно что не на всех. Никакой закономерности не могу отследить, да и время особо нету. По 2-3 каждое утро отваливаются.

Share this post


Link to post

Мне помог такой совет.

 

Проверьте ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options нет ли там веток avp.exe и avp.com. У меня была такая проблема - не удается найти файл. После удаления указанных веток avp.exe и avp.com все заработало .

 

Share this post


Link to post
Да вот именно что не на всех. Никакой закономерности не могу отследить, да и время особо нету. По 2-3 каждое утро отваливаются.

Попробуйте посмотреть :

- какие еще ошибки\траблы в логах (как агента, так и сетевые - получение адреса, обновление DNS - записи).

Сопоставьте время стартасервиса klnagent (и время события "нет контроллера") сов временем получения адреса и т.д.

Не получается ли, к примеру, так, что сервис стартует (и коннектится к серверу) раньше, чем поднимается сетевой коннекшен (см. по event-логам)?

 

Здравствуйте.

...Смотрю в Админките, ага, есть машины с незапущенным KAV

меняется ли ситуация (и "цвет" машины) через некоторое время, если ничего ни трогать?

 

В тему:

- нечто схожее;

- еще линк

- Kb ID 2775 - Как получить трассировки работы компонентов...

 

 

 

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.