» ESET NOD32 (antivirus, антивирус) часть 2

aleksb
проблема известная. посмотри что у тебя стоит по умолчанию при правом щелчке мышью, чтото типа open(), и удали из реестра ключи с таким названием (делаешь поиск autorun, искать имена разделов).
Кроме того, надо удалить из корня всех дисков файл autorun.inf

Цитата:

У меня такая проблема.
нод нашел на диске вирусы и заблокировал к ним доступ.
теперь диски открываются только по правому щелчку мыши----->открыть.
можно ли это как нибудь поправить?

Твой вирус активируется на диске через автозапуск (autorun.inf). Ничего в реестре удалять ненадо. Отключи в системе автозапуск и все... Потом чисть диск от вируса. Просто так удалить autorun.inf не поможет, т.к. не удалит сам вирус, а он, обычно сидит тут же в корне диске в виде какого-то .exe файла с неудобочитаемым названием и, возможно, атрибутом hidden и system. Прогони по диску нодом в режиме лечений и все будет ок, только включи сканимрование архивов и запакованых .exe файлов (на всякий случай), а так же включи рассширеную эвристику (она у нода очень хороша)

Добавлено:
MrSpecialist

Цитата:

Кстати, чтото не заметил я такого глюка с квипом, у меня он прекрасно коннектится без дополнительных настроек..

Я ставил нод 3 поверх 2.7, где были прописаны настройки активной защиты и фильтрации трафика для квипа, возможно что при обновлении третий нод неправильно их перенес...
Или может у тебя отключен веб анализатор.

Кстатий, версия 2720 ОБНАРУЖИЛА мои вирусы, теперь сижу и "ловлю удовольствия".
Спасибо есетовцам из русского филиала.

23W
из реестра надо удалить последствия этого вируса, они заключаются в установке действия по умолчанию для диска, а место расположения вируса можно посмотреть открыв этот файл autorun.inf, и нод скорее всего его удалил, а действие осталось, поэтому и надпись "доступ запрещен"
я такое много раз видел и решалась проблема именно чисткой реестра, т.к. самого вируса уже не было

MrSpecialist
Мда, не подумал, вирус действительно скорее всего изменил в реестре действие на открытие диска. Если так, то реестр - на чистку.

у меня на серваке Win2000 стоит ESET_Antivirus_Business_Edition_v3.0.566 - так вот регулярно(раз в сутки) вылетате сообщение "пемять не может быть read " и блокируется весь трафик. Лицензии стоят.

Нод всё ещё не замечает вирус, гоняющий по моей домашней локалке.

Пока перешёл на Др Веб и Касперский

Вот информация с virustotal

AhnLab-V3 2007.12.13.10 2007.12.12 -
AntiVir 7.6.0.40 2007.12.12 W32/Darsyk.A
Authentium 4.93.8 2007.12.12 W32/Agent.GZT
Avast 4.7.1098.0 2007.12.12 Win32:Agent-KKQ
AVG 7.5.0.503 2007.12.12 Win32/Agent
BitDefender 7.2 2007.12.12 -
CAT-QuickHeal 9.00 2007.12.12 -
ClamAV 0.91.2 2007.12.12 -
DrWeb 4.44.0.09170 2007.12.12 Win32.Tank
eSafe 7.0.15.0 2007.12.12 -
eTrust-Vet 31.3.5372 2007.12.12 Win32/Rustank.A
Ewido 4.0 2007.12.12 -
FileAdvisor 1 2007.12.12 -
Fortinet 3.14.0.0 2007.12.12 -
F-Prot 4.4.2.54 2007.12.12 W32/Agent.GZT
F-Secure 6.70.13030.0 2007.12.12 Virus.Win32.Agent.af
Ikarus T3.1.1.12 2007.12.12 Virus.Win32.Agent.af
Kaspersky 7.0.0.125 2007.12.12 Virus.Win32.Agent.af
McAfee 5184 2007.12.12 W32/Tank
Microsoft 1.3007 2007.12.12 -
NOD32v2 2719 2007.12.12 -
Norman 5.80.02 2007.12.12 -
Panda 9.0.0.4 2007.12.12 W32/Virutas.G.drp
Prevx1 V2 2007.12.12 Heuristic: Suspicious Self Modifying File
Rising 20.22.22.00 2007.12.12 -
Sophos 4.24.0 2007.12.12 -
Sunbelt 2.2.907.0 2007.12.12 -
Symantec 10 2007.12.12 W32.Wullik.B@mm
TheHacker 6.2.9.156 2007.12.12 -
VBA32 3.12.2.5 2007.12.10 Virus.Win32.Bnuff
VirusBuster 4.3.26:9 2007.12.12 -
Webwasher-Gateway 6.6.2 2007.12.12 Win32.Darsyk.A
Дополнительная информация
File size: 102400 bytes
MD5: 24e2066865754d01ea90ac528024e97d
SHA1: c1149cf0085a0b5f5852ff7da955f5ca81e5224f
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=58BCBE9A002F4B6190F90104C8042E002E344F2F

Вчера отправил Eset образец. Вот мерзость из-за неё пришлось делать ReInstall.
Расслабился - поставил игрушку из сети.

Добавлено:
23W
из реестра надо удалить последствия этого вируса, они заключаются в установке действия по умолчанию для диска, а место расположения вируса можно посмотреть открыв этот файл autorun.inf, и нод скорее всего его удалил, а действие осталось, поэтому и надпись "доступ запрещен"
я такое много раз видел и решалась проблема именно чисткой реестра, т.к. самого вируса уже не было

Достаточно удалить autorun.inf и залезть в свойства диска - поменять метку - Windows XP всё вернёт на родину.Такими гадостями страдали вирусы из серии Horst (по классификации Касперского).

содержимое батника для чистки Horst
clean.cmd
FOR %%a in (c d e f g h i j k l m n o p r q s t u v w x y z) do DEL DEL /Q /F %%a:\setup.exe
FOR %%a in (c d e f g h i j k l m n o p r q s t u v w x y z) do DEL DEL /Q /F %%a:\autorun.inf

Iacoyn
23W
Результаты обратные тем что в статье на CNews
лишний раз доказывает что идеального решения антивирусной проблемы не существует

Цитата:

23W

Цитата:

так же включи рассширеную эвристику (она у нода очень хороша)

Только танкам не страшна - смотри мой предыдущий пост.

РаСширенный пишется с одним с. Хотя если от слова ширяться - тогда может и с двумя

Iacoyn
Или поменять метку, если она не актуальна (для меня - да)

Да можно метку поменять и обратно поставить даже не закрывая окна, а потом нажать применить, просто чтобы Windows XP решила что её меняли - она тогда возвращает значения действия по умолчанию. Замечено случайно. И помогает против вирусов Horst - их помнится было разновидностей надцать если верить Касперскому.

все просмотрел....
такой трабл--- " ошибка при связи со службой ядра NOD32 ""... что делать ?????

vic1967
Какая версия?

vic1967
переинсталируй

Iacoyn
жди теперь, когда в базу внесут

подскажите пожалуйста, при загрузке системы, в момент загрузки нод выдает ошибку,
"невозможно загрузить резидентную защиту"
соответственно АМОН красный, если сразу попробовать запустить резидентный модуль то выдает такую же ошибку, но через некоторое время (минут 10-15) запускается нормально, если комп перезагрузить то , тоже самое сначала ошибка потом запускается, пробовал переставить нода не помогает, до этого на компе был вирус, и такие же симптомы, но вирус победили, а симптомы остались...
проверял другими антивирусами не чего не нашлось.

[q][/q]
версия NOD32_2.70.25_RUS

переинсталяция не помогает (((

У меня nod32 -3 версии достаточно много пропустил новых вирусов из серии Trojan-Dowloader Win 32 и Trojan Win 32 Shutdowner .а также программ-рекламм - это мне помог узнать KAV-6 .Так что я стал задумываться что лучше поставить. У nod-32 просто легче найти номерки чем ключики к KAV

vic1967
поставь версию 2.70.39

антивирусные базы ведь одинаковые, какой смысл ?

А никто не поделится и в шапочку не вынесет отличия нода 3-й версии в бинесс и хоум версия? Да и что такое смарт секьюрити, тоже не очень понятно. Заранее спасибо.

камрады, функция зеркала есть только в Eset NOD32 Enterprise Edition?
вроде где-то пробегала утилита позволяющая выдрать обновления баз и уже имеющихся, не подскажете где?

n32upgen в поиск

Eric Lazzy


Цитата:

где-то пробегала утилита позволяющая выдрать обновления баз

В Варезник загляни, в шапке!!

iRevenge
Mirush
да, спасибо уже нашёл

Читал на днях антивмалвар.ру, и вывел для себя мысль, точнее вопрос, точнее, я начнус самого начала. Правда что в НОД32 нету поведенческого анализатора (а посты юзеров говорят именно об этом), в то время как в касперском он есть? Правда ли что нод32 обновляеться раз в 6 часов, а не раз в 3 часа? Т.е я читаю, что каспер каждый час, а нод каждые 6 часов, а другой говорит, что каждые 3 часа и начинаеться возня. Кто знает точную цифру?

backsider

Цитата:

NOD32 обновляет свою базу через пару часов после обнаружения нового вируса, работать с ним предельно просто

backsider

Цитата:

Правда ли что нод32 обновляеться раз в 6 часов, а не раз в 3 часа? Т.е я читаю, что каспер каждый час, а нод каждые 6 часов, а другой говорит, что каждые 3 часа и начинаеться возня. Кто знает точную цифру?

Не совсем понял, если ты имеешь в виду автоматическое обновление антивирусных баз, то по умолчанию там установлена проверка обновлений раз в час, хотя это легко можно изменить на любой промежуток времени, хоть каждую минуту будет проверять обновления.

Цитата:

Читал на днях антивмалвар.ру, и вывел для себя мысль, точнее вопрос, точнее, я начнус самого начала. Правда что в НОД32 нету поведенческого анализатора (а посты юзеров говорят именно об этом), в то время как в касперском он есть? Правда ли что нод32 обновляеться раз в 6 часов, а не раз в 3 часа?

1) Да, Нод обновляется пореже Каспера.
2) В каспере есть т.н. "проактивная защита" - мониторинг за изменениями в реестре и т.п. - поэтому он часто обзывает безобидные программы (напр. твикеры реестра) потенциально опасными или вообще подозревает в них вирусы. У нода же эвристика реализована другим путем - есть т.н. эмулятор, построенный по принципу виртуальной машины, посему фолсы довольно редки и вердикт более однозначен (например "probably a variant of ...." or "New Heur ...").Слышал, что эмулятор собираются ввести в восьмой версии. Вообще, у каспера детект опирается больше на сигнатуры, а у нода - на эвристику, поэтому и такая разница по обновлениям.
3) Если хочешь услышать море грязи в сторону нода (и не только нода) - читай антималвару, по сути дела там только превозносят касперского и не ругают Доктора. Нод там очень не любят, также не любят Авиру, потому, что эти два продукта могут составить конкуренцию их ненаглядному. Доходит даже до доказательства (с цифрами) что каспер не тормоз, а нод - еще какой! Причем "касперский не тормозит" у них всегда новой версии, выходит шестой - "он не тормоз, вот пятый...", выходит седьмой - "он не тормоз, вот шестой...". Там как-то чувак сказал что он фанат капера, но у него он тормозит - так его облили помоями, и обвинили во всем кривые руки и железо. Не, ну я бы понял, если б это было на форуме ЛК, но на "непредвзятом, независимом" ресурсе антималваре.ру....

Хочу уточнить. Похоже, что для третей версии нода нет триальных офф. серверов для обновлений, полюбому нужно вводить номерок?
как же быть при триальном тестировании?

DeBobius Насчет авиры вы хрен угадали... http://anti-malware.ru/index.phtml?part=tests&test=proactive / Не надо так хреново об этом ресурсе(там вообще никого не любят)...

Nick 2003, ты наверно неправильно понял, мне кажеться что он имел ввиду, как часто именно выходят апдейты для нода. Для каспера апдейты выходя каждый час это он уже знает, я перечитал 3 разных независимых форума, и везде об этом пишут. А его скорее всего интересует нод, точнее как часто вирлаб выпускает апдейты для него? Мне говорили что раз в 3-6 часов. А ты как думаеш? Заодномне может расскажуш