» ESET NOD32 (antivirus, антивирус) часть 2

justik
проверьте настройки IMON

justik

Цитата:

Если устанавливаю НОД32 с включенной резидентной защитой, перестает работать интернет.
До этого был каспер установлен.

Систему от каспера надо чистить!

а как отчистить? качал утилиту с офф сайта для удаления его, она ничего не находит после удаления.

> проверьте настройки IMON
с IMON вроде все ок, это AMON надо выключать - тогда работает

justik
Скачай утилитку WinSock XP Fix (http://www.spychecker.com/program/winsockxpfix.html)
и воспользуйся ей.
Сразу предупреждаю: что все сетевые настройки у тебя сбросятся !!
Сделай перезагрузку.
Далее восстановим(проверим) некоторые параметры Интернет монитора IMON.
Выбери IMON > настройка > далее закладка разное.
Там где Изменение кофигурации должно быть отмечено галочкой (Автоматичеки искать ...)

Можешь там же Установить галочку напротив Интернет фильтр (Лог попыток вторжения - в лог вирусов) ...

w0mbat


Цитата:

Покопай на предмет того, что у тебя еще при загрузке стартует (любые нестандартные службы\дрова\проги), может это с ними конфликт.

ок

Поставил на работе nod'a всм своим клиентоам (55 шт.). Всё было классно около месяца.. Решил проверить spybot'om и чуть не попутал! Почти у каждого клиента 1-5 активных троянов. Чё делать то? Не хочу опять на каспера пересаживаться

Как firewall Imon в Nod32 совсем не справляется. На чистой машине, поставил Nod напустил Explorer, вышел в инет. Потом сразу же в настройках Imon "совместимость клиентов" поставил для explorer.exe "высокая безопасность". Потом запустил NOD32view для обновления, и без всяких вопросов обновился. Потом смотрю, NOD32view и его компоненты занесены в список совместимости "высокая совместимость". То есть Nod32 всех пускает в сеть с машины, еще и "совместимость" прописывает. Нехорошо получается....

DOE_JOHN
кто сказал, что imon в нод имеет отношение к фаеру? его задача - проверять входящий\исходящий http и не только траф. И никакого блокирования приложений\портов (пока не обнаружен вирус), поэтому и высокая совместимость по умолчанию.

w0mbat
проверять входящий\исходящий http и не только траф.
То есть сидящий на машине троян будет спокойно передавать в сеть что ему хочется. Не сам себя, для распространения, а информацию ради которой он в системе и завелся. И Imon и слова не скажет.
Мониторить трафик это одна из функций firewall.

DOE_JOHN
Функция антивируса - проверять трафик на вирусы, а не контролировать какое приложение передает информацию. Не стоит требовать от АВ функций фаервола , а потом жаловаться что он с ними не справляется.

К вопросу включения высокой эффективности. Как включить этот режим на клиентских компах? Нужен файл конфигурации? Возможно, я чешу правое ухо левой ногой, но:
надо скопировать содержимое параметра UserAgentList в разделе KEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Imon\Settings в параметр active_ua_list в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Imon\Settings\Config000\Settings
"Параметры загрузки больших файлов" управляются значениями 0 или 1 параметров http_auto_passive и http_auto_passive_timeout_enabled в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Imon\Settings\Config000\Settings
Можно это делать вручную подключением клиентских реестров. Но хотелось бы скриптом. В скриптах я слаб, может подскажет кто? Плиз.

DOE_JOHN
покажи, где ты видел слово "firewall" применительно к ноду (не suite). imon именно что заблокирует передачу вируса в\из инета, для остального он и не предназначен.

Jagrat
настрой нод как хочешь, экспортируй нужные значения в что_то.reg, и вноси на нужные машины изменения батником с содержанием "regedit /s что_то.reg"
правда перед изменением реестра возможно нужно будет выйти из центра управления и для задействования перезапустить (можно убиением) службу

На днях обтроянился, но нодом (базы августовские, nod 2.7) и ручками удалось вроде бы прочистить машину, восстановить реестр и т.п. Все работает, но есть определенное сомнение, что вирь все же где-то засел. Протестировал Dr.Web (базы вирусные на 24.08) и он нашел в папке Eset/cache инфицированный файл fnd1.ndi (Trojan,DownLoader.19256). Что бы это могло быть? Будьте добры, подскажите пожалуйста, что делать и для чего нужна папка Cache в nod?

Tima777

Цитата:

Будьте добры, подскажите пожалуйста, что делать и для чего нужна папка Cache в nod?

Вроде в неё кэшируются подозрительные файлы перед отправкой на изучение в NOD. Но могу и ошибаться.

Цитата:

Вроде в неё кэшируются подозрительные файлы перед отправкой на изучение в NOD

Спасибо. Скорей всего наименование файла как fnd (found) тоже говорит в пользу служебности файла для отправки.

Почему при обновлении на официальных серверах (на других не пробовал) ежедневное обновление имеет такой большой размер (более 8 Mb)? Причем почти все файлы имеют одинаковый размер с предыдущим обновлением. Возможно я не настроил обновление должным образом, или это так и должно быть?

Tima777

Цитата:

На днях обтроянился, но нодом (базы августовские, nod 2.7) и ручками удалось вроде бы прочистить машину, восстановить реестр и т.п. Все работает, но есть определенное сомнение, что вирь все же где-то засел. Протестировал Dr.Web (базы вирусные на 24.08) и он нашел в папке Eset/cache инфицированный файл fnd1.ndi (Trojan,DownLoader.19256). Что бы это могло быть? Будьте добры, подскажите пожалуйста, что делать и для чего нужна папка Cache в nod?

Точно fnd1.ndi ? Наверное ты ошибся либо fnd1.nfi или fnd1.ngi
Эти файлы (.nfi и .ngi) содержат только информацию о файлах, которые находятся в карантине.
Данный файл можешь свободно удалить, если нет такого файла fnd1.nqf

Labean_Hesv

Цитата:

Почему при обновлении на официальных серверах (на других не пробовал) ежедневное обновление имеет такой большой размер (более 8 Mb)? Причем почти все файлы имеют одинаковый размер с предыдущим обновлением. Возможно я не настроил обновление должным образом, или это так и должно быть?

Как правило самое большое - это первое обновление (скачивается целая база данных). Дальнейшие обновления не столь вилики по размерам и как правило составляют несколько сотен кб.

Может подскажете, в чем проблема ? NOD32 использую давно, сейчас версия 2.7 стандарт. Поскольку надоели заморочки с поиском ключей для обновлений, использовал следующую схему - зарегился на бесплатном хостинге, написал скрипт, который высасывает обновы с работающих, но забаненых серверов обновлений. Прописал свой хостинг как сервер обновлений в NOD. Всё работало на ура до 16 числа этого месяца. После этого пишет, что уже самая новая версия и обновления не требуются, хотя я вижу по датам и по содержанию файла update.ver что вышла уже версия от 24 числа. Буду признателен за мысли по поводу такого странного поведения нода.

Добавлено:
прошу прощения, похоже проблемы с бесплатным сервером обнов. разобрался сам.

Orgazmator
Поделись скриптом =P

есть вопросик

C:\>sc query nod32krn

SERVICE_NAME: nod32krn
TYPE : 110 WIN32_OWN_PROCESS (interactive)
STATE : 1 STOPPED
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 1077 (0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

это описание сервиса сервисконтроллером

можно ли как нть изменить параметры NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN на диаметрально противоположные ? и если можно, то как ?

Всем привет.
Подскажите пожалуйста.

Есть 5 файлов - точно вирусы.
Нод в упор не видит, как выслать их в есет что бы нод знал про эти вирусы. Пытался вылечить нодом пришлось только Drweb использовать.

Спасибо.

slech
Информацию о вирусах или других связанных с вредоносным ПО угрозах следует отправлять по адресу samples@esetnod32.ru. Разработчики и эксперты Eset обращаются с просьбой к пользователям пересылать всю информацию о вирусах и другом вредоносном ПО, включая источник получения, реакцию на угрозу различных антивирусов, тело вируса и прочие детали.

Для обновления офф-лайн достаточно скачать базы и сбросить в соответствующую папку?

cepry
Это вопрос для Варезника.
зайди в соответствующий топик и почитай шапку, там все описано

Gluzer спасибо.

Цитата:

Информацию о вирусах или других связанных с вредоносным ПО угрозах следует отправлять по адресу samples@esetnod32.ru. Разработчики и эксперты Eset обращаются с просьбой к пользователям пересылать всю информацию о вирусах и другом вредоносном ПО, включая источник получения, реакцию на угрозу различных антивирусов, тело вируса и прочие детали.

думаю стоит добавить в шапку адресок.

Новый nod32 v3 beta

http://rapidshare.com/files/51995273/ea_nt32_ENU_.msi.html

cepry

Цитата:

Новый nod32 v3 beta

По ESET Smart Security существует отдельная тема

Добавлено:
Ах вот оночто ...

Цитата:

ESET has released a new beta version of Eset Smart Security beta 2 and introduced a stand-alone antivirus ESET NOD32 Antivirus (beta 2).

ESET NOD32 Antivirus beta 2
32-bit version: http://download1.eset.com/special/essbeta2/ea_nt32_ENU.msi
64-bit version: http://download1.eset.com/special/essbeta2/ea_nt64_ENU.msi

slech
Цитата:

думаю стоит добавить в шапку адресок.

Немного уточнил.

IMON-Настройка-HTTP-Совместимость клиента-Установка совметимости

я там выставил высокая эффективность для браузеров, которыми пользуюсь. Но вот выходит новая версия такого браузера и нод заносит его в список как новое приложение и по умолчанию ставит высокая совместимось. Как можно избежать этого

еще раздражает что он добавляет в свой список и не чистит автоматом те приложения которые уже давно удалены

Цитата:

IMON-Настройка-HTTP-Совместимость клиента-Установка совметимости

я там выставил высокая эффективность для браузеров, которыми пользуюсь. Но вот выходит новая версия такого браузера и нод заносит его в список как новое приложение и по умолчанию ставит высокая совместимось. Как можно избежать этого

еще раздражает что он добавляет в свой список и не чистит автоматом те приложения которые уже давно удалены

Никак, придется все время устанавливать каждый раз самому ...