病毒相关

Symantec Endpoint Protection Manager 的 LiveUpdate 状态中显示“错误:LiveUpdate 遇到一个 或多个错误。返回代码 = 4”

 

本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。

情形
Symantec Endpoint Protection Manager 运行 LiveUpdate 时失败,在 LiveUpdate 状态中显示以下错误:LiveUpdate 遇到一个或多个错误。 返回代码 = 4

解释
造成此错误的原因有多种,包括但不限于以下原因:
代理服务器阻止访问 Internet。
Symantec Endpoint Protection Manager 正尝试通过内部 LiveUpdate 服务器连接,但提供给 LiveUpdate 的 URL“不”正确。
Internet Explorer 中启用了增强的安全性
使用了进入 Internet 时要求身份验证的防火墙。

注意:要重新注册管理器而不重新安装软件,请按以下步骤操作:
打开命令提示符并浏览到:
C:\Program Files\Symantec\Symantec Endpoint Protection Manager\bin
键入 lucatalog -update 并按 Enter。
运行 LiveUpdate 以确认没有错误。

技术信息
How to setup the Symantec Endpoint Protection Manager to use specific proxy settings for LiveUpdate(如何设置 Symantec Endpoint Protection Manager 以便为 LiveUpdate 使用特定的代理设置),位于以下 URL:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007082113383448

参考资料
可以在以下日志文件中找到有关 LiveUpdate 失败原因的更多详细信息:
<Drive>:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.LiveUpdate

Symantec_Endpoint_Protection_检测到需要重新启动的挂起系统更改,请重新启动系统并重新运行安装

“Symantec_Endpoint_Protection_检测到需要重新启动的挂起系统更改,请重新启动系统并重新运行安装”

一开始以为是试用版的瑞星没删干净,于是就重启啊重启啊重启啊……重启了4遍,才发现被Symantec给忽悠了……

想来想去,想起原来装Sql Server的时候也是这样的情况,估计处理的方法也一样,于是,打开regedit,找到

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations,发现原来真的记录了一个挂起的操作,看长的模样象是金山清理专家的什么东西,不管三七二十一就给删了,再装SEP,果然一路顺风。

三招快速定位ARP病毒源

       局域网内的所有主机上网时断时续,十有八九是ARP病毒在作祟,例如前段时间猖狂作案的“熊猫烧香”病毒就是一个ARP病毒。我们处理这样的情况时,第一步首先找出感染病毒的主机,然后将其从网络中断开,清除对网内其他机器的影响后,然后再慢慢收拾病毒。

  第一招:使用Sniffer抓包

  在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送

ARP Request请求包,那么这台电脑一般就是病毒源。
  原理:无论何种ARP病毒变种,行为方式有两种,一是欺骗网关,二是欺骗网内的所有主机。最终的结果是,在网关的ARP缓存表中,网内所有活动主机的MAC地址均为中毒主机的MAC地址;网内所有主机的ARP缓存表中,网关的MAC地址也成为中毒主机的MAC地址。前者保证了从网关到网内主机的数据包被发到中毒主机,后者相反,使得主机发往网关的数据包均发送到中毒主机。

  第二招:使用arp -a命令
  任意选两台不能上网的主机,在DOS命令窗口下运行arp -a命令。例如在结果中,两台电脑除了网关的IP,MAC地址对应项,都包含了192.168.0.186的这个IP,则可以断定192.168.0.186这台主机就是病毒源。
  原理:一般情况下,网内的主机只和网关通信。正常情况下,一台主机的ARP缓存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最后有过数据通信发生。如果某台主机(例如上面的192.168.0.186)既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么,病毒源也就是它了。

  第三招:使用tracert命令
  在任意一台受影响的主机上,在DOS命令窗口下运行如下命令:tracert 61.135.179.148。
  假定设置的缺省网关为10.8.6.1,在跟踪一个外网地址时,第一跳却是10.8.6.186,那么,10.8.6.186就是病毒源。
  原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有本应该到达网关的数据包,由于错误的MAC地址,均被发到了中毒主机。此时,中毒主机越俎代庖,起了缺省网关的作用。