McAfee VS 8.7i Access Protection и svchost - Обсуждение программ

dim99 · 23.01.2009, 16:51

Проблема в том, что при включении опции "Prevent svchost executing non-Windows executables" (в Access Protection - Anti-virus Maximum Protection), блокируется функционал полезных программ, таких как MS SQL , Программа сканирования для сканера HP ScanJet 3970, MS Firewall Client. Продукт McAfee - VirusScan Enterprise v8.7i.
В логах McAfee есть сообщения по этому поводу:
1) Blocked by Access Protection rule NT AUTHORITY\SYSTEM %SystemRoot%\System32\svchost.exe %ProgramFiles%\Microsoft SQL Server\MSSQL\Binn\sqlmap70.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables Action blocked : Execute
2) Blocked by Access Protection rule NT AUTHORITY\SYSTEM %SystemRoot%\system32\svchost.exe %ProgramFiles%\Hewlett-Packard\Digital Imaging\bin\hpqcxs08.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables Action blocked : Execute
3) Blocked by Access Protection rule NT AUTHORITY\SYSTEM %SystemRoot%\\system32\svchost.exe %ProgramFiles%\Microsoft Firewall Client 2004\FwcWsp.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables Action blocked : Execute

Пробовал вносить исключения для этого ("Prevent svchost executing non-Windows executables") правила, но оно срабатывает только если в поле для исключений одна dll, а если несколько, то ни одна почему, то не принимается. Синтаксис проверил по хэлпу и по таким же исключениям, но к другим правилам в той же секции.
Т.е. я вписываю имена dll через запятую и пробел.
Вот так : “sqlmap70.dll, hpqcxs08.dll, FwcWsp.dll”
Вообще то поле для исключений называется “Process to exclude” , но какой процесс тут можно записать? Все они запускаются процессом svchost.
Какие варианты решения?
Может каким то образом указать, что эти dll – системные, ведь правило срабатывает, когда svchost запускает не-системные dll ?

dim99 · 27.01.2009, 15:24

Уточнение. Вписывание имени файла dll, имени процесса, который инициирует запуск этой dll через svchost - ни к чему не приводит. Т.е. задать исключения для этого правила не получается - вообще.

dim99 · 23.02.2009, 20:19

Вероятно, исключение - задать нельзя для этого правила, ведь в строке исключений "Processes to exclude "- имя процесса, а если вызов dll идет через svchost, то и имя процесса всегда будет - svchost. В строке "Processes to include " стоит "svchost.exe".

Если так, то это баг интерфейса McAfee VirusScan Enterprise 8.7.0i т.к тогда поле ввода исключений, для этого правила должно быть -затемнено.

23.01.2009, 16:51	# 1
dim99 Junior Member Регистрация: 23.03.2006 Пол: Male Сообщения: 192	McAfee VS 8.7i Access Protection и svchost Проблема в том, что при включении опции "Prevent svchost executing non-Windows executables" (в Access Protection - Anti-virus Maximum Protection), блокируется функционал полезных программ, таких как MS SQL , Программа сканирования для сканера HP ScanJet 3970, MS Firewall Client. Продукт McAfee - VirusScan Enterprise v8.7i. В логах McAfee есть сообщения по этому поводу: 1) Blocked by Access Protection rule NT AUTHORITY\SYSTEM %SystemRoot%\System32\svchost.exe %ProgramFiles%\Microsoft SQL Server\MSSQL\Binn\sqlmap70.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables Action blocked : Execute 2) Blocked by Access Protection rule NT AUTHORITY\SYSTEM %SystemRoot%\system32\svchost.exe %ProgramFiles%\Hewlett-Packard\Digital Imaging\bin\hpqcxs08.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables Action blocked : Execute 3) Blocked by Access Protection rule NT AUTHORITY\SYSTEM %SystemRoot%\\system32\svchost.exe %ProgramFiles%\Microsoft Firewall Client 2004\FwcWsp.dll Anti-virus Maximum Protection:Prevent svchost executing non-Windows executables Action blocked : Execute Пробовал вносить исключения для этого ("Prevent svchost executing non-Windows executables") правила, но оно срабатывает только если в поле для исключений одна dll, а если несколько, то ни одна почему, то не принимается. Синтаксис проверил по хэлпу и по таким же исключениям, но к другим правилам в той же секции. Т.е. я вписываю имена dll через запятую и пробел. Вот так : “sqlmap70.dll, hpqcxs08.dll, FwcWsp.dll” Вообще то поле для исключений называется “Process to exclude” , но какой процесс тут можно записать? Все они запускаются процессом svchost. Какие варианты решения? Может каким то образом указать, что эти dll – системные, ведь правило срабатывает, когда svchost запускает не-системные dll ?

23.02.2009, 20:19	# 3
dim99 Junior Member Регистрация: 23.03.2006 Пол: Male Сообщения: 192	Вероятно, исключение - задать нельзя для этого правила, ведь в строке исключений "Processes to exclude "- имя процесса, а если вызов dll идет через svchost, то и имя процесса всегда будет - svchost. В строке "Processes to include " стоит "svchost.exe". Если так, то это баг интерфейса McAfee VirusScan Enterprise 8.7.0i т.к тогда поле ввода исключений, для этого правила должно быть -затемнено. Последний раз редактировалось dim99; 25.02.2009 в 14:54.

27.01.2009, 15:24	# 2
dim99 Junior Member Регистрация: 23.03.2006 Пол: Male Сообщения: 192	Уточнение. Вписывание имени файла dll, имени процесса, который инициирует запуск этой dll через svchost - ни к чему не приводит. Т.е. задать исключения для этого правила не получается - вообще.