Desactivar OfficeScan desde la línea de comandos

Por alguna extraña razón, esto está bastante escondido en la documentación oficial del OfficeScan.

Para desactivar (unload) el cliente desde la línea de comandos solo hay que ejecutar el siguiente comando:

C:\Program Files (x86)\Trend Micro\OfficeScan Client>PccNTMon.exe -n PasswordDeUnload

Referencia

Buscar por nombre de virus en logs de OfficeScan

Por alguna razón que desconozco, la pregunta “¿Cuántas de mis máquinas detectaron este malware?” es imposible de responder a través de la consola de OfficeScan.

Sin embargo, hay una solución muy sencilla. Simplemente abrimos el SQL Server Management Studio (SSMS), lo apuntamos a la base de datos de OfficeScan y ejecutamos la siguiente consulta, cambiando MIVIRUS por el nombre del malware según aparece en la consola:


select
info.COMP_NAME
,log.*
from
TBL_VIRUS_LOG log
inner join TBL_CLIENT_INFO info on log.UID = info.UID
where
log.VIRUSNAME like 'MIVIRUS'
order by
info.COMP_NAME

OfficeScan 11 se queda a medio instalar

Hoy tuve un problema un poco extraño. Instalé el agente de OfficeScan en un equipo y la instalación finalizó correctamente. Sin embargo, al reiniciar el equipo no aparecian los iconos del OfficeScan en ninguna parte y al intentar desinstalarlo me aparecía el siguiente error:

“Unable to get uninstallation information (GUID). Uninstallation aborted”

En la web de Trend Micro se explica la razón del mensaje pero no se ofrece una solución.

Al final la solución era simplemente ejecutar el instalador del agente otra vez.

Si todos los problemas se solucionaran así de fácil…

Instalar Agente de OfficeScan 11 de forma remota

Hace poco me tocó cambiar el antivirus corporativo a OfficeScan 11 y una de las cosas que tenía que resolver era como hacer el despliegue de los agentes de forma remota. El despliegue a través de la consola de OfficeScan requiere que el servicio de Registro Remoto esté habilitado en los equipos y en la mayoría de los nuestros está deshabilitado.

Después de evaluar varias alternarivas (scripts de logon, política de despliegue de software) me decanté por utilizar PsExec. Esta utilidad es parte del conjunto de PsTools desarrolladas por Mark Russinovich y nos permite principalmente ejecutar programas de forma remota. Para empezar a utilizar la herramienta solo hay que descargarla y extraerla en cualquier carpeta.

Para hacer la instalación del OfficeScan lo primero que hay que hacer es empaquetar el instalador, esto lo hacemos desde el propio servidor donde está instalada la consola. La herramienta para empaquetar es ClnPack.exe y en la instalación por defecto debería estar en C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV\Admin\Utility\ClientPackager.

Ejecutamos la aplicación, marcamos la opción de Silent Installation para evitar que al usuario remoto le aparezca la ventana de instalación, luego especificamos un archivo de destino (Output File) y finalmente hacemos clic en Create:

Remote Install

Pasados unos segundos se creará un instalador en la carpeta que hallamos especificado anteriormente:

Remote Install 2

Este instalador tenemos que copiarlo a alguna carpeta compartida para que sea accesible por todos los equipos.

Abrimos una consola y nos situamos en el directorio donde hallamos extraído la herramienta PsExec. Para hacer la instalación ejecutamos el siguiente comando:

psexec -s \\equipoRemoto \\servidorFicheros\carpetaCompartida\MiInstalador.exe

Si no hay problemas de ningún tipo PsExec debería retornar un codigo de error 0:

Remote Install

Después de unos segundos la instalación se iniciará. Esto lo podemos confirmar abriendo el administrador de tareas del equipo remoto:

Remote Install 4

Dependiendo de las caracteristicas del equipo la instalación del agente puede tardar entre 10 y 30 minutos. Si hemos hecho todo bien, pasado este tiempo nos aparecerá el icono del agente de OfficeScan:

Remote Install 5