Jump to content
glevy

[Support] ROBOTEL (version 2008) - REALVNC

Recommended Posts

Bonjour,

 

Je suis en train de mettre à jour les postes d'un "labo" de langue qui s'appuie sur une solution ROBOTEL.

J'ai deux problèmes quand je change l'antivirus qui était un symantec vers KAS 10 MR2.

 

Il existe deux exe issue de vnc utilisés par ROBOTEL: un winvnc.exe (ultravnc) et un winvnc4.exe (realvnc). Comme les autres cas du forum, le winvnc4 et un autre fichier .dll sont effacés par considérés comme menace potentiel. Or j'ai déclaré les fichiers comme exception, forcé la synchronisation et j'ai toujours le problème ?

Autre chose, quand j'installe un nouveau poste, il y a decompression de ces fichiers dans un répertoire temporaire et ils sont effacés par l'antivirus. L'installation est impossible sans mesure de contournement qui supprime la sécurité.

 

J'ai essayé de déclaré les applications winvnc4.exe de facon générique qui ne pas être tributaire d'un chemin absolu en utilisant la syntaxe suivante: *\winvnc4.exe

Cela ne fonctionne pas.

 

Ma question est la suivante. Est il possible de déclarer comme application de confiance ?

nb:

j'ai essayé de comprendre les tuto par exemple celui ci mais je ne suis pas un grand germanophone !

http://forum.kaspersky.com/index.php?showt...&hl=realvnc

 

Merci

Share this post


Link to post

Bonjour,

Par défaut, il y a 2 règles d'exclusions dans l'onglet "Application de confiance" pour "UltraVNC.exe" si vous utilisez KSC 10, il suffit de les cocher.

 

Depuis l'interface de l'Antivirus KES 10 si les 2 règles n'apparaissent pas, veuillez ajouter (chemin sous un système x64 et peut-être différent selon la version de VNC)

 

%ProgramFiles%\ULTRAVNC\WINVNC.exe

%Windir%\SysWOW64\r_server.exe

 

Puis cocher les 2 options suivantes:

 

- Ne pas analyser les fichiers ouverts

- Ne pas hériter les restrictions du processus parent (application).

 

 

 

 

Share this post


Link to post

Bonjour,

 

Merci de votre réponse.

 

Je reprécise mon PB.

J'installe des postes avec un logiciel d'une solution INTRALAB.

Le logiciel d'installation (SetupClient.exe) inclus différents logiciels dont winvnc et realvnc.

A l'installation, si je laisse activé KAS; j'ai une erreur liée aux fichiers temporaires car je suppose que les certains fichiers sont effacés.

Si je contourne le pb en arretant l'antivirus puis installant le poste, les fichiers issus de real vnc seront effacés.

J'ai repris le tuto avec les paramètres ci-dessous, je pense qu'un paramètre m'échappe.

 

J'avais fait des manipulations similaires car ajouté dans les applications de confiances

%Windir%\SysWOW64\r_server.exe

%SystemDrive%\Intralab\VNC\REAL\winvnc4.exe

 

Et dans exclusion de l'analyse

%Windir%\SysWOW64\r_server.exe

 

Les fichiers de REAL VNC sont systèmatiquement effacés à l'installation.

De plus, si j'installe la dernière version de REAL VNC, il n'y a aucun problème.

Mon problème viendrait donc peut être de l'ancienneté du logiciel détecté ?

 

Merci

Edited by glevy

Share this post


Link to post

Bonjour,

peux-tu nous fournir les logs concernant ces suppressions de fichiers ? histoire d'avoir un peu plus d'infos précises...

Share this post


Link to post

Bonjour,

 

Il faudrait effectivement voir comment les fichiers sont détectés et par quel module.

Si les fichiers sont toujours supprimés, c'est que les exclusions ne sont pas bonnes.

Sachant qu'en ce qui concerne l'installation, si les fichiers sont décompressés dans un répertoire temporaire, il faut aussi créer des exclusions pour ces fichiers dans l'emplacement temporaire.

 

Il faut se baser sur les règles déjà présentes pour r_server.exe en mettant le bon chemin des fichiers ainsi que le bon verdict de la menace détectée.

 

Share this post


Link to post

Bonjour,

 

ce n'est certes pas le meme outil, mais à tout hasard je suivrais la meme recommandation que celle proposée pour une question au sujet d'UltraVNC ici : http://forum.kaspersky.com/index.php?showtopic=345287

 

Il va de soi que les DLL et EXE sont à remplacer par ceux de RealVNC et le verdict par celui sous lequel vos fichiers sont supprimés.

 

Bonne journée.

 

Share this post


Link to post
Bonjour,

 

ce n'est certes pas le meme outil, mais à tout hasard je suivrais la meme recommandation que celle proposée pour une question au sujet d'UltraVNC ici : http://forum.kaspersky.com/index.php?showtopic=345287

 

Il va de soi que les DLL et EXE sont à remplacer par ceux de RealVNC et le verdict par celui sous lequel vos fichiers sont supprimés.

 

Bonne journée.

 

Bonjour,

 

Désolé pour le délai.

Pour les log

********************************************************************************

Type d'événement : Un programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur a été détecté

Application\Nom : Windows Explorer

Application\Chemin : c:\windows\

Application\ID du processus : 4640

Utilisateur : CELAB\glevy_adm (Initiateur)

Module : Antivirus Fichiers

Résultat\Description : Détecté

Résultat\Type : Programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur

Résultat\Nom : not-a-virus:RemoteAdmin.Win32.WinVNC.4

Résultat\Degré de menace : Faible

Résultat\Exactitude : Exactement

Objet : \\celab-serv\commun$\support_informatique\intralab\vnc_intralab\real\wm_hooks.dll

Objet\Type : Fichier

Objet\Chemin : \\celab-serv\commun$\support_informatique\intralab\vnc_intralab\real\

Objet\Nom : wm_hooks.dll

****************************************

Type d'événement : Un programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur a été détecté

Application\Nom : Host Process for Windows Services

Application\Chemin : c:\windows\system32\

Application\ID du processus : 3440

Utilisateur : CELAB\2009-00032-F$ (Initiateur)

Module : Antivirus Fichiers

Résultat\Description : Détecté

Résultat\Type : Programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur

Résultat\Nom : not-a-virus:RemoteAdmin.Win32.WinVNC.4

Résultat\Degré de menace : Faible

Résultat\Exactitude : Exactement

Objet : C:\intralab\vnc\real\winvnc4.exe

Objet\Type : Fichier

Objet\Chemin : C:\intralab\vnc\real\

Objet\Nom : winvnc4.exe

 

********************************************************************************

****************************************

Je tenterai la semaine prochaine la manip d'ultraVNC mais j'aimerai trouver d'une facon générale comment autoriser l'utilisation d'un programme détecté comme indésirable. Sur d'autres consoles anti-virus il suffit de faire un clic droit et autoriser !

 

 

Merci pour vos réponses et bon WE

Gilles

Edited by glevy

Share this post


Link to post

Bonsoir glevy

 

afin d'éviter le blocage de tes application UltraVNC et realVNC, ajoute les règles d'exclusions suivantes ça devrait suffire :

 

Fichier ou dossier : \\celab-serv\commun$\support_informatique\intralab\vnc_intralab\real\

Nom de l'objet : not-a-virus:RemoteAdmin.Win32.WinVNC.*

Module de protection : quelconque

 

Fichier ou dossier : C:\intralab\vnc\real\

Nom de l'objet : not-a-virus:RemoteAdmin.Win32.WinVNC.*

Module de protection : quelconque

 

Bonne soirée.

Share this post


Link to post

Bonjour et merci de votre réponse,

 

Je viens de configurer à distance mon serveur, je ferai les tests la semaine prochaine (en déplacement).

 

Cela correspond à ma première tentative dans laquelle j'avais exclu tout le dossier du logiciel sans indiqué un nom d'objet.

Cela est il important de définir explicitement les noms des objets ?

 

De plus, ne peut on pas définir des chemins relatifs ou mieux une solution sans chemin afin que ces executables ne posent plus de problèmes ?

 

Merci

Share this post


Link to post

Bonjour,

 

oui il est TRES important de préciser le verdict pour lequel on veut faire confiance à une application. Sinon tout élément correspondant au nom du fichier (ou masque de fichier) serait de confiance meme pour d'autres verdicts différents. Si ces verdicts etaient ceux de détection de "vrais" malware, vous vuos seriez alors mis en danger en omettant le verdict.

 

Concernant les applications de confiance, moins le chemin est précis, plus le risque est grand si un fichier de meme nom se trouve dans un répertoire identique.

 

Bonne après midi

Share this post


Link to post

Bonjour,

 

Oui je pensais comme vous qu'il fallait être le plus explicite précis pour ne pas ouvrir son système.

Mais quand j'avais défini une règle "vague" pour tenter d'éliminer mon problème cela ne fonctionnait pas, d'ou ma remarque. Devant trouver une solution rapide, j'avais pour idée d'isoler le problème en partant du cas général vers le cas particulier.

 

Je pense que je passe à coté d'un détail ce qui est frustrant.

 

En tout cas merci pour vos aide

Gilles

Share this post


Link to post

Bonjour,

 

Je viens d'effectuer le test et de nouveau mon message.

J'ai donc une autre question.

Existe t il une manière de faire générer des log détaillés afin de cerner d'ou vient ce problème ou une procédure de troubleshoot des stratégies ?

 

Merci

 

 

Type d'événement : Un programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur a été détecté

Application\Nom : Microsoft Windows Search Protocol Host

Application\Chemin : c:\windows\system32\

Application\ID du processus : 9052

Utilisateur : MDU\2011-00007-F$ (Initiateur)

Module : Antivirus Fichiers

Résultat\Description : Détecté

Résultat\Type : Programme légitime pouvant être exploité par un individu mal intentionné afin de nuire à l'ordinateur ou aux données de l'utilisateur

Résultat\Nom : not-a-virus:RemoteAdmin.Win32.WinVNC.4

Résultat\Degré de menace : Faible

Résultat\Exactitude : Exactement

Objet : C:\intralab\wm_hooks.dll

Objet\Type : Fichier

Objet\Chemin : C:\intralab\

Objet\Nom : wm_hooks.dll

 

Share this post


Link to post

Bonsoir glevy,

 

Pourriez-vous nous préciser les exclusions qui ont été mises en place ?

Le fichier C:\intralab\wm_hooks.dll avec le verdict "not-a-virus:RemoteAdmin.Win32.WinVNC.4" qui correspond en fait-il parti ?

 

Que donne une exclusion uniquement sur le verdict "not-a-virus:RemoteAdmin.Win32.WinVNC.*" ?

 

Bonne soirée,

Share this post


Link to post

Bonsoir Khasab,

Merci pour le temps passé a essayer de me comprendre, à distance ce n'est jamais facile.

 

J'ai tout essayé en partant du plus général vers le plus spécifique. Par exemple,

Exclusions de l'analyse:

Lefichier ou le dossier ne sera pas analysé quand ...:

Fichier ou dossier: C:\intralab\vnc\

Nom de l'objet: not-a-virus:RemoteAdmin.Win32.WinVNC.*

Module de protection: Quelconque.

 

---------------

J'ai essayé en parallèle de mettre les 2 fichiers en applications de confiances en cochant toutes les options.

D'ou mon incompréhension, je pense que j'oublie un paramètre quelque part .

%SystemDrive%\Intralab\VNC\Real\winvnc4.exe

%SystemDrive%\Intralab\VNC\Real\logmessages.dll

%SystemDrive%\Intralab\VNC\Real\wm_hooks.dll

 

Merci encore si vous avez une idée ?

 

Share this post


Link to post

Bonjour glevy,

 

en cas de détection d'un fichier par KES, ce n'est la zone "application de confiance" qu'il faudra utiliser pour les exclusions mais la zone "Règles d'exclusions".

 

Que donne une règle d'exclusion sa basant non pas sur le chemin et le nom du fichier mais uniquement sur le verdict "not-a-virus:RemoteAdmin.Win32.WinVNC.*" ?

 

Bonne soirée.

Share this post


Link to post

Bonjour,

 

C'est ajouté, je testerai demain .

 

Merci à vous

Share this post


Link to post

Bonsoir,

 

Le résultat est le même.

 

Je vais trouver une autre solution afin de contourner le problème.

 

Cordialement

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.