5 Replies Latest reply on Aug 27, 2018 5:04 AM by Bernhard.Hiemer

    OfficeScan TrendMicro - Patch Management

    Bernhard.Hiemer Apprentice

      Hallo,

       

      seit wir auf PatchManagement migriert haben, funktioniert das Patchen nicht mehr. Der Virenscanner, TrendMicro Officescan, scheint hier definitiv das Problem zu sein. Wenn ich diesen deaktiviere, klappt alles ohne Probleme.

       

      Ist dieser aktiv, so läuft der Scan,findet auch Updates, startet diese, aber bringt dann folgende Meldung:

       

      17:48.57.320  E Warning (Module:NiWuPrxy.exe, Severity:0x03): NiWuPrxy.exe  STDeploy failed

      Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. (0x00000020)

       

       

      TrendMicro ist leider nicht wirklich in der Lage, das Problem zu fixen bei uns. Daher evtl. die Hilfe der anderen Mitglieder hier.

       

      Folgende Exe hab ich soweit zum scannen herausgenommen:

       

      NiWuPrxy.exe     C:\Program Files (x86)\netinst\NiWuPrxy.exe

       

       

      Gibt es weitere Exe, welche in die exlusion List hinzugefügt werden muss?

       

      Finde leider keine wirkliche List. Auch die Logfiles bieten hier wenig hilfe, weder von PMGT, noch von TrendMicro.

       

      Danke euch

        • 1. Re: OfficeScan TrendMicro - Patch Management
          FrankScholer Master

          Hallo Bernhard,

           

          unter HEAT DSM - Virus Scanner Configuration[Uploaded File]  gibt es ein Dokument, das die Ausschlüsse, die man für Virenscanner grundsätzlich (also nicht Trend Micro-spezifisch) konfigurieren soll, beschreibt...

           

          HTH, Grüße Frank

          • 2. Re: OfficeScan TrendMicro - Patch Management
            karesol Apprentice

            Hallo Bernhard,

            das Dokument ist bei weitem nicht vollständig.

            Wir hatten den gleichen Fehler. Zurückzuführen war das auf die TrendMicro Verhaltensüberwachung. Das muss extra noch konfiguriert werden. In der TM-Verwaltungskonsole kannst die Pfade dafür einsetzen, auf dem Client geht das nicht;

            dort gehen nur komplette Pfade zu Dateien.

            VG

            • 3. Re: OfficeScan TrendMicro - Patch Management
              nordin.markow Apprentice

              Das Problem wird tatsächlich von Trendmicro verursacht

               

              Das liegt an dem Modul Predective Machine Learnig

              Hier eine Anleitung wie das laut Trendmicro Support eingestellt werden muss:

               

              1. 1.Open the "Ofcscan.ini" file in the "\PCCSRV\" folder on the OfficeScan server installation directory.(Stop the master service to be able to change the fil, please always backup your files before changing them )
              2. Under the "Global Setting" section, manually add the following keys and specify each approved program separately.

              [Global Setting]

              DS_ProcessCount=the number of programs in the approved list, supports any integer from 1 to 1000 DS_ProcessName000=process name of the approved program, where "000" notes the first item on the list

              For example:

              [Global Setting]

              DS_ProcessCount=4

              DS_ProcessName000=iexplore.exe

              DS_ProcessName001=Chrome.exe

              DS_ProcessName002=FireFox.exe

              DS_ProcessName003=WINWORD.EXE

              1. Save the changes and close the file.
              2. Open the OfficeScan web console and go to the "Agents > Global Agent Settings" screen.
              3. Click "Save" to deploy the setting to agents. The OfficeScan server deploys the command to OfficeScan agents and adds the following entries of TXS.ini on all OfficeScan agent computers:

              [TrendX_Settings]

              DS_ProcessCount=4

              DS_ProcessName000="The encrypted string of the preferred program"

              DS_ProcessName001="The encrypted string of the preferred program"

              DS_ProcessName002="The encrypted string of the preferred program"

              DS_ProcessName003="The encrypted string of the preferred program" 

               

              Please insert the software affected on the list, let us know if you are then able to use it properly .

               

               

              Ich habe jetzt mal so eine Ausnahmedatei gebastelt:

              [Global Setting]
              DS_ProcessCount=7
              DS_ProcessName000=NiAgnt32.exe
              DS_ProcessName001=NIInst32.exe
              DS_ProcessName002=NiWuPrxy.exe
              DS_ProcessName003=STDeploy.exe
              DS_ProcessName004=CL5.exe
              DS_ProcessName005=SafeReboot64.exe
              DS_ProcessName006=SafeReboot.exe

               

              Erstmal etwas mehr ausgenommen (Alle Dateien, die ich im APM log gefunden habe, die er in sein Deploy Verzeichnis kopiert, dazu noch unsere NI Dateien, man kann ja nie wissen),

              • 4. Re: OfficeScan TrendMicro - Patch Management
                robin_daversa Apprentice

                Hallo Nordin,

                 

                Vielen Dank für deine Tips. Diese haben mich dann letztendlich auf die Lösung gebracht.

                 

                das Problem habe ich bei TrendMicro im Sopport auch schon mal angesprochen und man hat mich nur auf eine neue Client/Server Version (damals noch Beta) verwiesen. Half aber auch nichts.

                Also habe ich im Ausschlussverfahren alle Dienste abgeschaltet und bin zu dem Entschluss gekommen, dass die "Behaviour Monitoring" den Fehler provoziert. Schaltet man diesen Dienst ab gehts.

                Das machen wir aber aus Sicherheitsgründen nicht.

                 

                Nach deinen Tips von oben konnte ich ich das Problem leider auch nicht lösen also habe ich dasselbe über die GUI versucht.

                Über die "Predictive Machine Learning Settings" kann man Außnahmen definieren. Dazu braucht man den File Hash. Den bekommt man per PowerShell:

                PS C:\Program Files (x86)\DSM Patch Management> Get-FileHash .\CL5.exe -Algorithm SHA1

                 

                Die Außnahmen sehen wie folgt aus:

                2018-08-24 08_04_20-Predictive Machine Learning Settings.png

                Der FileName ist nur ein Kommentar!

                 

                Erst danach laufen die Patches wieder einwandfrei durch.

                 

                Viele Grüße Robin

                • 5. Re: OfficeScan TrendMicro - Patch Management
                  Bernhard.Hiemer Apprentice

                  Danke Robin,

                   

                  das hat es letztendlich zum Laufen gebracht.

                   

                  Wer braucht da schon nen TrendMicro support