Citrix: Antivirus Strategy for Symantec Antivirus


De volgende processen kun je het beste uit de HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run verwijderen.  Zodra dit is gedaan worden deze processen niet meer in elke user sessie gestart en dat scheelt weer in het resource verbruik.

Process Info
ccApp Symantec Common Client User Session Process. ccApp calls the different program features in the Symantec products and makes sure that those programs are running, such as the Auto-Protect and E-mail Scanning mechanisms.
vptray Symantec Gold Shield Tray Icon. This is the Taskbar Icon and User Interface.

De poster op http://www.jhouseconsulting.com geeft nog de volgende tips mee

Tip Description
1 Scan local drives only. DO NOT scan network drives.
2 Only scan "Incoming" files (ie. write events).
3 Exclude the pagefile(s) from being scanned.
4 Exclude the "%ProgramFiles%\Citrix" folder from being scanned (the heavily accessed local host cache and Resource Manager local database are contained inside this folder).
5 We would recommend excluding the Profiles ("%SystemDrive%\Documents and Settings") folder, as well as the Print Spooler (%SystemRoot%\System32\spool\PRINTERS) folder.
6 If you do not exclude the Profiles, then exclude the user‘s Presentation Server Client bitmap cache ("%UserProfile%\Application Data\ICAClient\Cache" or "%AppData%\ICAClient\Cache") used for ICA pass-through connections by the locally installed PNClassic and PNAgent.

De bovenstaande tips kun je het beste instellen op een los staande antivirus group in Symantec System Center

image

Daarna kun je bij Exclusions de verschillende folders excluden.

image

Mocht je de Citrix Edgesite Agent op de Citrix server draaien, dan kun je het beste het volgende document nog even na te lopen: CTX111062

 

Bron: http://www.jhouseconsulting.com/articles/antivirus_strategy_for_citrix_servers.html

Citrix: Symantec Tamper Protection Alert & CPU Utilization Management Executables


De volgende symptomen kunnen optreden:

Symptoms

One or more “SYMANTEC TAMPER PROTECTION ALERT” error events are written by Symantec Antivirus to the Application log. These messages are usually paired with a “CPU Utilization Management cannot manage process <PID>” warning event written by CTXCPUUtilMgmt to the Application log.

An example Symantec Antivirus event is as follows:

Log: Application
Type: Error
Source: Symantec Antivirus
Event: 45
Description: SYMANTEC TAMPER PROTECTION ALERT
Target: C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
Event Info: Open Process
Action Taken: Blocked
Actor Process: C:\Program Files\Citrix\Server Resource Management\CPU
Utilization Management\bin\ctxcpusched.exe

An example CTXCPUUtilMgmt event is as follows:

Log: Application
Type: Warning
Source: CTXCPUUtilMgmt
Event ID: 1542
Description: CPU Utilization Management cannot manage process <PID>.
Windows system message: 0x5.

The two events are associated by the PID in the CTXCPUUtilMgmt event and the PID of the Target in the Symantec Antivirus event.

Zie CTX113486 voor meef informatie

Unattended: Symantec Antivirus 10


Kopieer de bestanden uit de volgende map \\SAVSERVER\VPHOME\CLT-INST\WIN32 naar je installatie directory. Vervolgens kun je via het volgende commando de antvirus geïnstalleerd.

MSIEXEC /I installdir\Symantec\sav10\Symantec-AntiVirus.msi ADDLOCAL=SAVMain,SAVUI,SAVHelp,QClient NETWORKTYPE=1 INSTALLSERVER=0 SERVERNAME=SAVSERVER ENABLEAUTOPROTECT=1 REBOOT=ReallySuppress ALLUSERS=TRUE /Qn

Let op dat de variable SERVERNAME= gevuld wordt met je eigen SAVServer.

EventID 1401: UPHClean and Symantec Antivirus


Na de upgrade van Symantec Antivirus 10.0.0.359 naar Symantec Antivirus 10.1.5.500 kwamen er een aantal helpdesk calls binnen over corrupte profielen op de Citrix Servers. Na een kijkje in de Eventvwr.msc kwam ik de onderstaande EventID tegen:

eventid1401_uphclean.gif

Na lang zoeken op google kwam ik erachter dat dit een know error was bij Symantec en dat ze nu eindelijk een Patch er voor hebben uitgegeven. De Patch kun je hier downloaden: http://service1.symantec.com/SUPPORT/.

Na het installeren van de Patch en het opnieuw starten van de server, zijn de eventid’s verdwenen en belangrijker nog, de profielen worden weer netjes opgeslagen en raken daardoor niet meer corrupt.


bron: http://service1.symantec.com/SUPPORT/.

How to uninstall and reïnstall Symantec Antivirus


logo_symantec.gif

Op de zaak was ik genoodzaakt om Symantec Antivirus 10.0.1000 te deïnstalleren. Dit was nodig omdat de upgrade naar versie 10.5.5000 niet wilde lukken. Vervolgens wilde ik de software deïnstalleren via Add/Remove programs lukte dit ook niet.

Na wat zoeken op de Symantec site kwam ik de volgende tools tegen:

SCSCleanWipe.zip
Norton_Removal_Tool.exe

Een van deze tools heb je nodig om Symantec software te deïnstalleren.In mijn geval was SCSCleanWipe.zip de tool die ik nodig had.

scscleanwipe.gif

Nadat SCSCleanWipe.bat succesvol is uitgevoerd. Moest ik de PC opnieuw opstarten. Vervolgens op C:\Program Files\ de mappen Symantec en Symantec Antivirus verwijderen. Nu is de software helemaal verwijderd.

Vervolgens wilde ik de installatie van Symantec Antivirus 10.1.5.5000 gaan starten dit ging helaas gepaart met de onderstaande foutmelding:

error1704_symantec.gif

Deze foutmelding kun je oplossen door de volgende tool te downloaden en uit te voeren.
E1704C.zip

error1704cleaner1.gif

error1704cleaner2.gif

De onderstaande foutmelding kan ook nog voorkomen. Deze foutmelding is op te lossen door opnieuw op te starten.

error1321.gif