Symantec Antivirus: proviamo a renderlo più leggero

[Goet]

salve ragazzi

l'idea è quella di analizzare fino all'osso ogni singolo processo che il symantec antivirus (non il norton eh) butta in avvio automaticamente, rendendolo in genere più lento...
magari col vostro aiuto esce fuori una guida carina, e si riesce a rendere questo (secondo me ottimo) antivirus un po' meno elefante

premessa: prima di fixare qualsiasi voce assicuratevi che HijackThis la backuppi, in modo tale che se incasinate qualcosa potete sempre tornare indietro. Idem con i servizi: fatevi non so, una ghostata, un punto di ripristino, salvatevi il registro prima di procedere. insomma, chi è causa del proprio mal pianga se stesso eh...

bene, iniziamo.

scansionando con HijackThis vediamo che aggiunge tutta sta roba:

Running processes:
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe

--------------------------

andiamo quindi a vedere i "service"

- Symantec AntiVirus
Descrizione: Fornisce la funzionalità di scansione antivirus in tempo reale, di creazione di resoconti e di gestione per Symantec AntiVirus.
Il processo: C:\Programmi\Symantec AntiVirus\Rtvscan.exe
Nessuna relazione di dipendenza
Tipo di avvio: Automatico

-Symantec AntiVirus Definition Watcher
Descrizione: Controlla e gestisce le definizioni dei virus.
Il processo: C:\Programmi\Symantec AntiVirus\DefWatch.exe
Nessuna relazione di dipendenza
Tipo di avvio: Automatico

-Symantec Event Manager
Descrizione: Event propagation and logging service (traduco: servizio di propagazione eventi e login)
Il processo: C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
Dipende dal Remote Procedure Call (RPC) e dal Symantec Settings Manager
Tipo di avvio: Automatico

-Symantec Network Drivers Service
Descrizione: Symantec Network Drivers Service
Il processo: C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
Nessuna relazione di dipendenza
Tipo di avvio: Manuale

-Symantec Password Validation
Descrizione: User account management service (traduco: servizio di gestione dell'account utente)
Il processo: C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
Nessuna relazione di dipendenza
Tipo di avvio: Manuale

-Symantec Settings Manager
Descrizione: Settings storage and management service (traduco: servizio di gestione e archiviazione dei settaggi)
Il processo: C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
Dipende dal Remote Procedure Call (RPC)
Tipo di Avvio: Automatico

-Symantec SPBBCSvc
Descrizione: Symantec SPBBC
Il processo: C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
Dipende dal Remote Procedure Call (RPC)
Tipo di avvio: Manuale

-SavRoam
Descrizione: Servizio Symantec AntiVirus Roaming
Il processo: C:\Programmi\Symantec AntiVirus\SavRoam.exe
Nessuna relazione di dipendenza
Tipo di avvio: Manuale

nota per coloro che hanno il SP2 su Windows XP: avevo disabilitato il servizio "Centro sicurezza PC", ma a quanto pare installando questo antivirus tale servizio si riabilita da solo. Poco male, l'ho nuovamente disabilitato e funziona tutto come prima

------------------------------------------------------------------------------

Questo è "tutto".
Ci ritroviamo con 8 nuovi servizi, ma soprattutto con ben 6 processi attivi in più all'avvio

Iniziamo analizzando i servizi....

Per quanto riguarda il Symantec AntiVirus (Rtvscan.exe) e il Symantec AntiVirus Definition Watcher (DefWatch.exe), ci basta leggere le descrizioni per capire che questi due vanno lasciati lavorare. Il primo ci fornisce la protezione in real time, dunque il secondo dovrebbe lavorare in stretta collaborazione col primo.

La situazione comincia a farsi già poco chiara con ccEvtMgr.exe: il Symantec Event Manager. Event propagation and logging service eh... letto ciò (propagazione eventi de che? login de che???), son andato giù a googlate, ma che ci crediate o no, non ho trovato niente! Inutile dire che nel sito della symantec si raccomanda di tenere attivo questo processo, come tutti gli altri... tuttavia non son stato capace di trovare le descrizioni dei vari processi sul sito stesso, ma nemmeno m'aspettavo di trovarle. Quindi questo ccEvtMgr.exe e relativo servizio è uno dei motivi per il quale sto postando
Mi piacerebbe sapere che fa per decidere se posso disabilitare o meno il servizio, nel qual caso l'eseguibile non andrebbe più in esecuzione all'avvio... altrimenti lo si fixa con HijackThis e santi benedetti.
Comunque, guardando anche alle sue relazioni di dipendenza... azzardo un ipotesi: che sia lo "scheduler" dell'antivirus? quello che serve a pianificare le "operazioni", nel nostro caso scansioni e aggiornamenti?

Poco chiaro anche SNDSrvc.exe, il Symantec Network Drivers Service. Googlando non si trova niente, solo i soliti risultati di quei poveri diavoli che si son beccati qualcosa e postano il log di HijackThis sui forum. Sul sito della symantec... anche qui buio totale. Beh, almeno questo non s'avvia in automatico, ma vorrei tanto sapere che fa.

Idem pure per ccPwdSvc.exe, il Symantec Password Validation. Nella descrizione si legge "User account management service", servizio di gestione dell'account utente... ossia?? Che sia utile in ambito multiutenza, nei cambi di account? In tal caso a molti di noi, unici users del proprio computer, sarebbe totalmente inutile. Anche qui google non c'aiuta, la symantec nemmeno.... come il precedente, anche questo servizio non s'avvia in automatico ma in manuale. Magra consolazione, vorrei sapere con certezza che fa.

Un po' di chiarezza ritorna con ccSetMgr.exe, il Symantec Settings Manager. Settings storage and management service (traduco: servizio di gestione e archiviazione dei settaggi). Beh, stavolta la descrizione è abbastanza chiara: questo servizio dovrebbe far si che i nostri settaggi (personalizzazioni delle scansioni, esclusioni varie, decisioni da prendere davanti ad un virus ecc ecc) rimangano attivi e funzionanti. L'eseguibile si carica all'avvio, pertanto sarebbe interessante scoprire se disabilitando il servizio funziona tutto lo stesso, sempre se uno s'accontenta delle impostazioni di default.
Disabilitandolo, non dovrebbe più funzionare il Symantec Event Manager, che se fosse la pianificazione eventi avrebbe senso.
Qualcuno ha già provato a disabilitarlo o mi mandate in avanscoperta?

Ed infine gli ultimi due servizi: il Symantec SPBBC e il SavRoam: buio totale. Per il primo, non son riuscito nemmeno a scoprire per che sta l'acronimo SPBBC. Anche qui la magra consolazione che non s'avvia in automatico. Per il secondo, ho letto su wikipedia cosa è il roaming, ma non riesco a capire il concetto applicato all'antivirus. Anche questo non s'avvia in automatico. Vorrei sapere comunque che sono e che fanno, perché, a quanto ne so, mantenere un servizio in avvio manuale impiega sempre un minimo di risorse.



Per quanto riguarda le altre entrate nel log di HijackThis, iniziamo con la più facile:

C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
questa voce non avrebbe bisogno di commenti: mette l'iconcina dell'antivirus nella tray. Se lo volete a portata di click lasciate intatta tale voce, altrimenti fixatela pure con HijackThis, ottenendo il notevole risparmio di 0,0000001 secondi nel tempo d'avvio :P

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
ossia il Common Client Application, che pare essere il processo che gestisce tutti i servizi "cc" (ccSetMgr.exe,ccEvtMgr.exe,ccPwdSvc.exe). Inoltre ho letto che dovrebbe occuparsi della protezione per le email, ma chi come me non usa programmi terzi per scaricarsi la posta, andandosela a vedere direttamente sul sito, penso che sarà molto felice di fixare sta voce. Rinunciando ovviamente ai vari servizi "cc". Tuttavia riguardo tale eseguibile googlando un po' si può leggere di tutto: c'è chi dice che riguarda anche la protezione real time, chi dice che dipende tutto da lui, chi dice che sia un firewall integrato, anche se di firewall integrato nel symantec antivirus non ne vedo l'ombra. Beh, avete già provato a fixare e vedere che succede, oppure vado in avanscoperta?

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
ed infine questa entrata. tutto quello che ho trovato è: "NavLogon.dll is related to Norton Antivirus software.
NavLogon.dll is a Windows Notification package. It is used for notify users on a welcome screen."
Non c'è bisogno nemmeno di tradurre stavolta, fixiamo tranquilli
Una cosa soltanto: ho letto in molti forum che questa dll dovrebbe trovarsi nella cartella System anziché nella System32, altrimenti potrebbe essere un codice maligno. Beh... forse il norton la installa nella System, ma il symantec me l'ha sempre messa nella System32, inoltre molta gente ha questo file nella System32 e semplicemente non è un virus.
----------------------------

Bene, direi che vi ho triturato abbastanza i cosiddetti
Se qualcuno ha già smanettato coi servizi e vuole contribuire, posti la sua esperienza/conoscenza riguardo ai punti più oscuri di questo abbozzo di guida, e al limite la si migliora editando il primo post.
Se nessuno ha già provato a disabilitare servizi... beh, sto fine settimana ci provo io, ma almeno ditemi se è utile alla comunità continuare a postare sull'argomento o se me la sto cantando e suonando da solo :P

p.s.
ho sbagliato sezione
chiedo gentilmente a qualche moderatore se mi sposta il 3d nella sezione antivirus

[Kewell]

Quote:

Originariamente inviato da Goet

p.s.
ho sbagliato sezione
chiedo gentilmente a qualche moderatore se mi sposta il 3d nella sezione antivirus

[Goet]

[wearethechampions]

Quote:

Originariamente inviato da Goet

interessante... ci vorrebbe qualke smanettone.
cmq goet ottima guida anke se nn posso testarle in quanto nn uso il symantec

[Goet]

mercì

[Laser02]

Il servizio SavRoam viene utilizzato se si configura l'antivirus come roaming client in un ambiente in cui lo si installa in modalità "gestita". Per modalità gestita si intende il fatto che esiste uno o più server (definiti Parent Server) adibiti alla distribuzione delle definizioni dei virus ai vari antivirus client. In poche parole, il Parent Server primario si aggiorna tramite Live Update, una volta ricevuti gli aggiornamenti, esso distribuirà le "virus definitions" ai propri client ed ad eventuali Parent Server secondari che a loro volta aggiorneranno i propri client. Al momento dell'installazione di un client si definisce qual è il suo parent server ma, come dicevo prima, è anche possibile configurarlo come Roaming Client. Questo può essere utile per bilanciare il carico dei server o anche nel caso di laptop che si connettono alla rete in più di una sede. In pratica non esiste più un vero Parent Server ma il client pesca gli aggiornamenti dal primo server che si rende disponibile.
Se non si configura il Roaming dei client o nel caso di una installazione "non gestita" (stand alone) come nel caso di una installazione domestica, il servizio SavRoam si può tranquillamente evitare di avviarlo.