» ESET NOD32 (antivirus, антивирус) часть 2

Parenek2384
Цитата:

суть в чем, когда запускаю mailagent.exe ну прога с сайта mail.ru я ей всегда пользуюсь для отправки смс - очень удобно, нод32 выдает красное окно оповещения об обнаружение вируса там какой то agent troyan, и предлагает дейтсвтвия, но эти кнопочи неактивны и я не могу ничего сделать,

Ничего не делай!!Нод ощибся.Ложное срабатование.

fedor
да, можно настроить репликацию с старого RA server на новый, а когда все клиенты "передут" на новый сервер отключить старый

Parenek2384
стоит и NOD и м-агент, нод настроен по максимому, отправляю sms нод не на что не ругается, может стоит проверить машину сканером или отпраить то на что ругается нод на virustotal.com

clammer

по первому ждем ответа от Gluzer.

по второму пункту, я у себя добавил ручками, но это вроде не обязательно. Если напрягает что он сам себя находит, то добавь. Мне кажется, что при проверке он не на свою базу ориентируется. Он проверяет наличие службы на компе и выносит вердикт, есть нод или нету. На себе сча попробовал, видит сразу, но повторюсь, я себя заводил ручками в РА.

по третьему, если внесешь, то ключ сам собой не появится, нужно будет тогда на него применить твой конфиг через new task - configuration. У меня система так воркает, на новые компы ставлю нод пуш инсталом, тама уже интегрирован фаил настроек и в нем указано откуда обновляться (локальное зеркало), куда к РА конектиться и т.д, компы, на которые я устанавил НОД ранее, (я просто РА недавно для себя открыл), тянут фаил конфигурации при обновлении с админ версии. Ключ на обновление указан соответственно только в админ версии. При всем при этом русских компонентов не видать, см. про первый пункт.

Собсно до сих пор часть клиентов на 7.32 и даже пара на 7.25, руками обновлять некрасиво, вот прошу помощи у людей...

AlterSpirt
clammer
у меня сделано следующим образом
Стоит Nod32 UpdateViewer.
в нем вбит реальный ключик, в настройках указанно:
качать компонеты, в том числе для 95/98/ME, зеркало создавать в RU/ENG вариантах
Английские компонеты всегда тянутся без проблем. Русские свежие компоненты(которые редко выкладывают на оффсервера) затягиваю в зеркало через фишку "обновить компонеты зеркала из файла(в качестве этих файлов используются инсталяшки Админских русских версий под 9x/NT)".
с NOD32UV обновляется админская версия, а управление юзерами, как обычно, через RAS и Console

Parenek2384
Цитата:

<...> когда запускаю mailagent.exe <...> нод32 выдает красное окно оповещения об обнаружение вируса там какой то agent troyan, <...> но какждый раз выскакивает окно об обнаружении вируса!..

fire667
Цитата:

стоит и NOD и м-агент, нод настроен по максимому, отправляю sms нод не на что не ругается

Цитата:

Module: AMON
Object: file
Name: ...\Mra\Update\menu.dll
Threat: probably a variant of Win32/Agent trojan
Action: quarantined - deleted
Information: Event occurred on a new file created by the application: ...\Mail.Ru\Agent\magent.exe. The file was moved to quarantine. You may close this window.

Т.е. NOD ругается на dll'ку, создаваемую mail-agent'ом при запуске.
Агент - чистый, т.о. это 99% ложное срабатывание.

Добавлено:
Все, после обновления 2431 (20070801) уже не ругается.

---

clammer
Цитата:

2. сама админская версия на серваке не входит в состав НОД-ов...

А ты админ к серверу подключил?

Gluzer
Цитата:

Стоит Nod32 UpdateViewer.

IMHO, в этом и есть суть проблемы (и ее решение ). NOD, в отличие от вьювера, при обновлении переписывает update.ver. Соответственно, после обновления NOD'а с офсервера напрямую, вся предыдущая информация о существовавших модулях/компонентах затирается и заменяется на то, что лежит на сервере.

P.S. Тоже юзаю Nod32 UpdateViewer и проблем с компонентами нет

Scorpio29

Цитата:

ShIvADeSt
Если не умеешь настраивать (или читать как настраивать) нод32, ставь касперыча, тем более он тебе нравится. Не нужно плакать что что-то не так. Я уже 3-й год пользуюсь нодом и проблем с вирусами не знаю, ничего не глючит и комп при загрузке не идет на ребут.

Я где то писал, что мне нравится каспер? Не надо мне приписывать то, что я не писал. Насчет не умею настраивать - не надо меня смешить. Но то, что у нода трабла с троянами это факт. Не хочет он обнаруживать их всех, про руткиты молчу - их пока никто не умеет находить, кроме avz (не avp для слепых).

AlterSpirt

Цитата:

Мне кажется, что при проверке он не на свою базу ориентируется. Он проверяет наличие службы на компе и выносит вердикт, есть нод или нету.

Это вряд ли... На этом серваке запущены RAS, RAC & Admin-версия. При поиске RAC-ом незащищенных компов выдается список, куда входят компы без НОДа и сам этот сервак. Так что "проверка наличия службы" - быть того не может.


Цитата:

по третьему, если внесешь, то ключ сам собой не появится, нужно будет тогда на него применить твой конфиг через new task - configuration. У меня система так воркает, на новые компы ставлю нод пуш инсталом, тама уже интегрирован фаил настроек и в нем указано откуда обновляться (локальное зеркало), куда к РА конектиться и т.д, компы,

Тут я ступил - действительно, у меня так же все ставится на обычных клиентов пуш-инсталлом - с вложенным в конфиг файлом ключа...


Цитата:

Ключ на обновление указан соответственно только в админ версии. При всем при этом русских компонентов не видать, см. про первый пункт.

Понял, 10х

Gluzer

Цитата:

Русские свежие компоненты(которые редко выкладывают на оффсервера) затягиваю в зеркало через фишку "обновить компонеты зеркала из файла(в качестве этих файлов используются инсталяшки Админских русских версий под 9x/NT)".

хм, если так - то отсутствие русских версий компонентов в списке доступных обновлений зеркала - это просто отражение реальности... Ну не выложил Eset на свои сервера свежих русских компонентов. Доступную для ручного скачивания русскую версию выпустил, а в механизм автообновлений - поленился ее компоненты вставить.
Если я правильно понял XenoZ, это и говорится:

Цитата:

NOD, в отличие от вьювера, при обновлении переписывает update.ver. Соответственно, после обновления NOD'а с офсервера напрямую, вся предыдущая информация о существовавших модулях/компонентах затирается и заменяется на то, что лежит на сервере.

Gluzer
XenoZ
NOD дней 5 как поставил, с UpdateViewer еще не знаком. Но подход из этой цитаты Русские свежие компоненты(которые редко выкладывают на оффсервера) затягиваю в зеркало через фишку "обновить компонеты зеркала из файла(в качестве этих файлов используются инсталяшки Админских русских версий под 9x/NT) немного напрягает. Полный инсталлятор может иметь один алгоритм установки компонентов в систему, а механизм автообновлений компонентов - другой. Что если инсталлятор корректно все делает, а через автообновление эти версии компонентов ложатся в систему криво? Противореча самому себе (в механизм автообновлений - поленился ее компоненты вставить) - есть и такой вариант, что Eset недотестил новые русские компоненты под автообновление или они реально создают проблемы при установке автообновлением...

ShIvADeSt

Цитата:

то, что у нода трабла с троянами это факт.

Уважаемый, поскольку я с НОДом недавно познакомился - многого не знаю. Не могли бы Вы аргументировать свое утверждение, а то оно меня пугает? Можно УРЛ на статью/тестирование?
Вчера как раз обнаружил некий факт, который ИМХО либо говорит о паранойе KAVa, либо подтверждает Ваши слова:
Есть такой продукт "Opera AC" (хттп://www.opera-ac.com/), давно его пользую. На днях вышла новая версия. Стал ее качать на дом.компе, где стоит KAV 6. Попутно влез на их сайте в ФАКи. Читаю, что, мол, если ваш антивирь чего в нашей сборке найдет - не верьте, все у нас чисто. И тут же, как только файл инсталла докачался ( хттп://opera-ac.clan.su/load/0-0-1-12-20 ), KAV завизжал, что в скачиваемом файле-архиве 3 (или 4 - не помню уже) трояна. Кому верить - разрабам сборки или KAVу?
Сегодня взял этот файл на работу - проверил SAV (старый, версия 8, но со свежими базами) & NOD32. Ничего не найдено.
Кто тут прав? Разрабы + Symantec + NOD32? Или KAV, ругающийся на OBhook.dll и иже с ней?

clammer
Цитата:

NOD дней 5 как поставил, с UpdateViewer еще не знаком. Но подход из этой цитаты <...> немного напрягает.

А что тут криминального? Если Eset не торопится выкладывать свежие компоненты на сервера обновлений (у них принято выкладывать компоненты на сервера не ранее, чем через полгода после выхода соответствующего билда), приходится подсуетиться самому. А NOD32 Update Viewer - мощный, удобный (и бесплатный ) инструмент для создания/обновления локального зеркала, добавления в него компонентов и т.д... К тому же Viewer, в отличие от NOD'а, не переписывает update.ver (файл с информацией о базах, модулях и компонентах), а дополняет/обновляет его.

Цитата:

Полный инсталлятор может иметь один алгоритм установки компонентов в систему, а механизм автообновлений компонентов - другой.

Механизм один: есть компоненты на сервере/зеркале обновлений - они ставятся, нет - не ставятся. И NOD'у глубоко фиолетово, откуда именно тянуть компоненты (и/или базы), с офсервера, с неоф. сервера или с локального/сетевого зеркала.

clammer


Цитата:

... при поиске незащищенных НОД-ом компов он упорно находит себя самого (похоже, что поиск он делает на уровне MS-сети и все найденные имена компов сравнивает со списком своих клиентов - а себя в списке клиентов и нет).

Ти прав! У меня RAS стоял на одом компе и я его учился настраивать и инсталлировать удалено машины. Все пакеты инсталляции создавал сам с v2.70.39ru. После того как установил RAS на резервном серваке перенес свои пакеты на него. И хотел установить на незащищенные машины, а он мне выдал все!!!
По всех машинах лень было ходить и я нашел в реестре где можно прописать сервак:
HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Kernel\RAClientServer

На всех машинах с нодом поставь удаленное управление и укажи имя компа с RAS (или его IP)!
На машине с RAS необходимо прописать 127.0.0.1 иначе в логах будеш лицезреть ошибку типа:
Функция gethostbyname вернула ошибку 11041
или чтото в этом роде точно не помню!

XenoZ

Цитата:

Если Eset не торопится выкладывать свежие компоненты на сервера обновлений (у них принято выкладывать компоненты на сервера не ранее, чем через полгода после выхода соответствующего билда), приходится подсуетиться самому

Вот за это 10х - не знал. Похоже, в Eset вовсе не лентяи, а мудрецы: опасно тестить новые версии на старых клиентах (А ну как у кучи старых клиентов после автообновления все загнется?) - пусть новые клиенты пробуют новые версии. Это кажется мне правильным подходом. Если все стабильно работает - оставь сынок, не трогай
Т.е. на самом-то деле на серверах обновления есть русские версии компонентов, просто они старее, чем то, что стоит у меня - вот Зеркало и не показывает их для выбора? Или все же присутствует кривость моих рук или самого продукта?

Зачем эти вопросы, если есть решение в виде Update Viewer'a?
Поясню, несмотря на занудность...
Не стоИт задачи тестить каждую новую версию NOD32. Стоит задача защитить сеть купленным продуктом, а значит нужно добиться его адекватного поведения (желательно, штатными средствами, иначе - "Нахрена покупали недоделку?").
Для этого, по меньшей мере, нужно понять причины возникающих в его работе странностей: собственные кривые руки; такой же кривой мозг, непонимающий принципов работы продукта / политики разработчика в отношении обновлений и тп.
Если этого не удается сделать, то - уже как последний способ выправить ситуацию - танцы с бубном по-научному (квадратично-гнездовым) и сторонние решения (но обидно, ибо кому-то все же удалось решить мою задачу, да плюс он еще и челюстную машинку изготовил в виде того же Update Viewer'a, чтоб манную кашку за меня жевать - за что ессно ему спасибо без всякой иронии).

Еще одно соображение в той же теме: купил продукт, русской версии. Вроде бы проблемы. При этом предположим, что с аглицкой таких проблем нет (проверить не могу, ибо в наличии тока русская).
Если дело не в своих кривых руках - значит дискриминация по языковому признаку у разраба
Обойдешься легким и бесплатным сторонним костылем - разраб и дергаться не будет в сторону исправления своих ошибок. Значит в дальнейшем, при смене структуры баз/кода/алгоритма обновлений тебе срочно надо искать обновление костыля - это если оно появится.
Пока софт в России де-факто был бесплатным - не такой уж и гемор. Но поскольку разрабы/праводержатели заставили меня уважать их право собственности и платить за их софт - то, будьте любезны, реагируйте на проблемы клиента и правьте свой продукт (мне такой платный гемор с ним нахрен не нужен).

Собственно, это я пытаюсь сказать, что ближайшая задача общаясь по теме и читая маны однозначно выяснить - то ли у меня мозг/руки кривые, то ли продукт сырой, ну а дальше - по ситуации (Третий вариант - и то, и другое сразу - не хочу даже предполагать, ибо это ..здец)


Цитата:

Механизм один: есть компоненты на сервере/зеркале обновлений - они ставятся, нет - не ставятся. И NOD'у глубоко фиолетово, откуда именно тянуть компоненты (и/или базы), с офсервера, с неоф. сервера или с локального/сетевого зеркала.

Да, согласен, только я о другом говорил: о возможной разнице алгоритмов установки НОД-стандарт/админ "с нуля" (из инсталлятора) и замены текущих компонентов на новые версии через автоообновление.
Новые версии компонентов, полгода отсутствующие на серваках обновления НОДа, выдернутые поэтому из инсталл-билда и "всунутые" в Зеркало - где гарантия, что они нормально приживутся после раздачи на станции через механизм автообновления? Их вообще билдили с учетом возможной раздачи через автообновление? Разраб их под это заточил, оттестил?

lavren
Значит точно - не ищет сервак службу НОДа на машинах.

Цитата:

По всех машинах лень было ходить и я нашел в реестре где можно прописать сервак:
HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Kernel\RAClientServer

10х - запишу в копилку - скоро пригодится. Хотя знаю способ переноса клиентов с одного сервака на другой (описан в мане): настроить меж старым и новым серваком репликацию. Но не пробовал пока - корректно ли еще сработает?


Цитата:

На всех машинах с нодом поставь удаленное управление и укажи имя компа с RAS (или его IP)!

На админ-версии с зеркалом, стоящей на самом RAS, тоже стоит прописать или как раз нет? Что от этого изменится кроме возможности рулить его настройками и видеть его Event's через RAC?


Цитата:

На машине с RAS необходимо прописать 127.0.0.1 иначе в логах будеш лицезреть ошибку типа:
Функция gethostbyname вернула ошибку 11041

Это относится к прописыванию управляющего сервера в админ-версии? 10х, но опять же вопрос - а зачем, для чего необходимо, что это даст?

Кто-нибудь может сказать - нужно ли (и зачем?) прописать адрес RAS в стоящей на нем же админ-версии? Так ничего об этом в манах и не нашел

clammer
Цитата:

Т.е. на самом-то деле на серверах обновления есть русские версии компонентов, просто они старее, чем то, что стоит у меня - вот Зеркало и не показывает их для выбора?

Нет их вообще.

Цитата:

Не стоИт задачи тестить каждую новую версию NOD32.

Логично, но 39-й билд весьма рекомендован - там устранили уязвимость (какую точно, не помню, в топике сообщение проскакивало) NOD'а.

Добавлено:

Цитата:

Новые версии компонентов, полгода отсутствующие на серваках обновления НОДа, выдернутые поэтому из инсталл-билда и "всунутые" в Зеркало - где гарантия, что они нормально приживутся после раздачи на станции через механизм автообновления? Их вообще билдили с учетом возможной раздачи через автообновление? Разраб их под это заточил, оттестил?

Если скачаешь, к примеру, с офсервера компоненты 2.70.32 EN и выдернешь компоненты из дистрибутива 2.70.32 EN, то увидишь, что они одинаковые.

Добавлено:

Цитата:

Кто-нибудь может сказать - нужно ли (и зачем?) прописать адрес RAS в стоящей на нем же админ-версии?

Цитата:

На этом серваке запущены RAS, RAC & Admin-версия. При поиске RAC-ом незащищенных компов выдается список, куда входят компы без НОДа и сам этот сервак.

XenoZ
Gluzer
clammer

Огромное спасибо за советы, размышления, рекомендации. Заюзал Nod_UV, сделал им зеркало, и теперь админку обновляю с него, им же запихал все обновления компонентов до 70.39, клиенты начали обновляться =) красота, конечно немножко смущает, что не получается добиться такого результата стандартными средствами антивируса и приходится юзать утилиты сторонних производителей. Ну да где наша не пропадала...

Небольшой вопрос в догонку, а что такое NOD32 SAK Interface? просто русского у меня ваще нет такого, а инглишь 70.32. Это мне Nod_UV кажет про мое зеркало, все остальное есть =)

clammer

Цитата:

зачем, для чего необходимо, что это даст?

1)Не покажет при поиске не защищенных!
2)Возможность просматривать логи сканера и обновлений!
3)Конфигурировать!

У меня RAS на компе без монитора и клавы, а RAC на моем рабочем компе, так што я должен бить в курсе: где какой вирусок на мой сервак лезет, когда обновление закачалось, когда зеркало обновилось!
А то у тебя получается что все тебе отчеты дают кроме одного!

Добавлено:

Цитата:

нужно ли (и зачем?) прописать адрес RAS в стоящей на нем же админ-версии?

Вобщем по тем же причинам что и в клиентских прогах!

AlterSpirt
Из справки NOD'а:
Цитата:

SAK interface - NOD32 for SAK (Server Appliance Kit) running on NAS (Network Array Storage) servers. This component should remain unselected unless you update NOD32 for SAK from a mirror in LAN.

XenoZ

Цитата:

Нет их вообще.

Вот это номер... Все-таки дискриминация?
НО... тогда получается, что русская версия в принципе функционально слабее других языковых? Обалдеть. Напишу-ка им запрос.


Цитата:

Логично, но 39-й билд весьма рекомендован - там устранили уязвимость

10х за инфу (поставлена 39-я; дело случая - она была последней на момент развертывания НОДа в сети)


Цитата:

Если скачаешь, к примеру, с офсервера компоненты 2.70.32 EN и выдернешь компоненты из дистрибутива 2.70.32 EN, то увидишь, что они одинаковые.

Верю. Но это только частный пример - в той же отсутствующей на обновлениях 39-й это могло быть не так (может, потому ее там и нет?). Установка через инсталлер "с нуля", обновление через автоапдейт - все это, лично для меня, черный ящик. Но предполагаю, что сам код, реализующие эти два алгоритма, не идентичен, а значит (потенциально) с какими-то версиями компонентов из инсталлятора могут быть грабли при развертывании их через автообновление. Были инсталлер-билды, которые так и не легли на автоапдейт-сервера?

lavren
XenoZ
Убедительно - воткну админку в RAS. 10х

clammer
Какая блин статья, я недавно на фирме с троянами боролся, причем половину файлов НОД с последними базами отказывался считать вирусами, AVZ отлично их определил как трояны и удалил. Это не повод отказываться от НОДа но все равно раздражает.

Стоял Nod32, ставил не я потому что там с настройками было не знаю. В итоге машина схватила

C:\WINDOWS\system32\sysdrv1.exe Win32/Small.NBY троян
C:\WINDOWS\svchost.exe Win32/Small.NBY
... Local Settings\Temp\u.exe    Win32/PSW.LdPinch.NCB троян
... Local Settings\Temp\update.exe    Win32/PSW.LdPinch.NCB троян
... Local Settings\Temp\Temporary Internet Files\Content.IE5\UFTCGGIH\update[1].exe    Win32/PSW.LdPinch.NCB троян
... Local Settings\Temporary Internet Files\Content.IE5\E8MXR1S8\msntsrv[1].exe    Win32/PSW.LdPinch.NEL троян

Симптомы были в вываливани окошка с ошибкой windows, при ОК Отмена в нем, система падала в синий экран. Проверил DrWeb и только в момент доступа сканера веба к файлам Nod32 радостно сообщал о троянах. В итоге, машина не видит сети, но это вопрос в другую тему "как восстановить сеть". Буду благодарен за наводку.

Почему Nod32 никак не реагировал на заражение до проверки DrWeb?
Как удалить почистить ненужное в совместимости клиентов Imon?

DOE_JOHN
Я уже писал выше, как надо было настроить IMON.
А поповоду отловленных пинчей надо смириться, ксинчи и пинчи каждый день кем-то перекриптовываются всё более изощренными крипторами, иным образом модифицируются и обязательно остаются незамеченными и срабатывают до.... тех пор пока их уже в новом виде не занесут в базу антивирусов. Случай, когда снаряд всегда пробивает броню.

cracklover
Угу, прочитал про настройку IMON. Потому и появился вопрос как почистить список того что туда уже нападало. Как посмотреть откуда запускается программа в том списке, тот же svhost.exe из System32 или просто из windows.

Скажите, почему появляется эта ошибка и NOD32 не грузится при включении компа.Так получаетс почти через раз(то грузится, то нет).

error occured during communication with NOD32 kernel servise

masgak
не запускается служба "nod32 kernel service"
проверь её настройки (должен стоять старт автоматом)
хотя если через раз стартует то может просто переставить лучше))

может стоит добавить в шапку куда и как слать подозрительные объекты в вирлаб есета?

w0mbat

Цитата:

не запускается служба "nod32 kernel service"
проверь её настройки (должен стоять старт автоматом)
хотя если через раз стартует то может просто переставить лучше))

Вообщем переставлял я раза 3 nod 32, по началу грузился
автоматом, потом перестал. Добавил nod32kui.exe
в папку автозагрузка, и вот после этого так получается.

masgak
служба NOD32 Kernel Service запущена? Если нет, то на команду Запустить как реагирует?

CMDOW

У меня ловит вирь на тулзу:
_ttp://www.commandline.co.uk/cmdow/index.html
_ttp://www.commandline.co.uk/cmdow/cmdow.zip (15 K)


Базы самые последние.

F-Seure и DrWeb утверждают обратное.

VadimLou
Win32/CMDOW.143 отнесен к разряду вредоносных программ

masgak
Во-первых, nod32kui.exe - это только интерфейс, и это он и говорит "error during..."
стартует он не из папки автозагрузки а из ключа реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, если не ошибаюсь.
а ядро антивиря - это служба nod32krn.exe, так вродеб
запускаться оно должно как служба - правой кнопкой по "мой компьютер", там будет "службы", среди них должно быть "nod32 kernel service", тип запуска - "автоматически"
при загрузке компа стартуют nod32krn.exe и nod32kui.exe, если с первым какие-то траблы то второй ждет некоторое время и выводит сообщение об ошибке связи с сервисом

Gluzer
только там его нет... просто тула нужна для работы ...

VadimLou
А в чем проблема, собственно? На сайте же написано:
Цитата:

Some anti-virus software vendors now classify cmdow.exe as a hacking tool because it can hide windows. A hacking tool is NOT a virus.

Если уверен, что exe-шник чистый, - занеси его в исключения AMON'а и работай!