» ESET NOD32 (antivirus, антивирус) часть 3

Автор: perceptron
Дата сообщения: 03.10.2008 15:40

Вопрос есть по NOD32 v2.70.39:
В сетке завёлся вирус - переписывается сам по расшаренным ресурсам. AMON его не детектит - тока сканер определяет вирус после того как выставить "Обнаруживать потенциально опасное и вредоносное ПО". В AMON данные настройки тоже стоят - но при заходе в папку с вирусом никакой реакции не происходит, если F3 или F4 на файле вируса сделать (вирус уапкован ещё UPX-ом) - наблюдаем молчание NOD-а. Тока сканирование находит ? В чём могут быть грабли ?

Добавлено:
И ещё хотел профиль создать, который потом подцепить к зеркалу - так Amon->Настройка->Методы есть пункты "Потенциально нежелательное ПО" и "Потенциально опасное ПО" а вот в конфигураторе профилей я таких пунктов не обнаружил.... ?

Автор: Palomino
Дата сообщения: 04.10.2008 18:35

Кто знает - можно ли удалить текст, добавляемый антивирусом в конце писем, при получении?

__________ Информация от ESET NOD32 Antivirus, версия базы данных сигнатур вирусов 3494 (20081003) __________

Сообщение проверено программой ESET NOD32 Antivirus.

http://www.esetnod32.ru

Автор: acro
Дата сообщения: 04.10.2008 20:58

Наконец-то решил проблему мучавшую меня в ходе принятия решение о переходе с 2.7. на тройку: NOD32 весь трафик гнал через себя, что делало файрвол вещью бесполезной. Вероятно, эта мысль была уже озвучена, хотя ИМХО, раскрытие этой темы достойно размещению в шапке.
NOD 32 antivirus (версия 3.0.672.0)
Настройка-защита доступа в сеть-фильрация протоколов
Перенаправить проверяемый трафик для:
- порты HTTP и POP3 - т.е. любой трафик по портам 80,8080, и другим которые будут заданны пользователем будет фильтроваться через Esest Servise, который и будет виден в файрволе. Этакий неконтролируемый фаерволом туннель. Подокоп под стеной.
Приложения, классифицированные как браузеры и почтовые программы - т.е. трафик идущий через программы помеченные галочкой в разделе Веб-браузеры (Настройка-защита доступа в сеть-HTTP-Веб-браузеры) будет фильтроваться через Esest Servise, который и будет виден в файрволе. И тут возможно ограничить силами фаервола полномочия Esest Servise на уровне портов. Т.е. разрешить только 80 и другие необходимые браузеру. И получаем, что прогаммы не отмеченные как браузеры в "подкоп" под стеной вырытый Esest Servise не попадают. Т.е. фильтрация трафика жестко устанавливается для конкретного приложения и конкретного порта.
Порты и приложения, классифицированные как браузеры и почтовые программы - т.е. трафик идущий через программы помеченные галочкой как браузеры ИЛИ по указанным портам будут фильтроваться через Esest Servise, который и будет виден в файрволе. Этакий огромный неконтролируемый фаерволом туннель.

Добавлено:

Цитата:

можно ли удалить текст, добавляемый антивирусом в конце писем, при получении?

Автор: Firemanser
Дата сообщения: 06.10.2008 13:29

Недавно заметил баг при сканировании NOD'ом архивов, содержащих файлы с русскими именами.

Они отображаются крякозябрами. Для интереса установил Касперского, просканировал им тот же архив- имена он показал корректно, кириллицей.
Можно ли как-нибудь исправить эту проблему с кодировкой в NOD'е?

Автор: rkhodjaev
Дата сообщения: 07.10.2008 08:28

Реябята.такой вопрос.Если лицензия на 100 пользователей и эти лицензии выдаются конкретным машинам(по имени,по ИП еще че нибудь) или же разрешается обновлятся толко 100 пользователям одновременно.Не зависимо,у тебя НОД установлен был на 110 или 120 компов?

Автор: XenoZ
Дата сообщения: 07.10.2008 09:19

antiput
Не помню я такого сообщения у НОДа: "Неправильный ответ сервера."
Обновляешься с неоф. зеркал? Тебе в Варезник.

rkhodjaev
Кол-во машин в лицензии имеет значение только для Remote Administrator'а и для соответствующих органов.

Автор: aramon
Дата сообщения: 07.10.2008 12:23

Доброго времени суток всем!

Надо удалить Нода у 20+ человек, самому бегать лениво, хочу сделать через групповую политику (компы людей в домене). Какой файл надо запускать для удаления (подозреваю, что C:\Progra~1\ESET\setup\setup.exe или другой) и с какими ключами, чтобы деинсталляция произошла незаметно для юзера? (типа, C:\Progra~1\ESET\setup\setup.exe /uninstall /quiet... или как-то так...)

Заранее сорри, если такой вопрос уже поступал, просто читать 17 страниц обсуждения очень напряжно =(

Автор: XenoZ
Дата сообщения: 07.10.2008 12:46

aramon
"C:\PROGRA~1\ESET\SETUP\SETUP.EXE" /UNINSTALL /SILENTMODE
где-то так...

Автор: aramon
Дата сообщения: 07.10.2008 13:06

Цитата:

"C:\PROGRA~1\ESET\SETUP\SETUP.EXE" /UNINSTALL /SILENTMODE

Не прокатило =( Пишет, что "There is nothing to uninstall".
Ему setup.xml надо спецовый писать для этого, что ли?

Автор: XenoZ
Дата сообщения: 07.10.2008 13:34

aramon
Там же в папке должен лежать файл uninst.xml

Автор: rkhodjaev
Дата сообщения: 07.10.2008 13:55

XenoZ

Цитата:

rkhodjaev
Кол-во машин в лицензии имеет значение только для Remote Administrator'а и для соответствующих органов.

То есть,если больше указанного будет,то все равно они будут обновлятся? А что будет с консолем Remote Administrator Console при таком случае,не будет работат что ли?

Автор: aramon
Дата сообщения: 07.10.2008 14:12

Цитата:

Там же в папке должен лежать файл uninst.xml

Все прошло отлично, спасибо! НОД удалился после перезагрузки.

Автор: DiZka
Дата сообщения: 08.10.2008 08:55

Пришел утром сегодня на работу все nod32 у кого стоит FireFox орут:

08.10.2008 9:48:56 Фильтр HTTP файл http://ban.ads2008.info/office.htm JS/TrojanDownloader.Small.NBC троянская программа соединение прервано - изолирован diz_nout\diz Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

Не знаю как это расценивать или FF что то незаконное качает или Nod32 решил что это не законно...

З.Ы.:
Еще и AdMunch Ломится туда же... Нод32 принял фильтр рекламы за троян?

08.10.2008 10:03:13 Фильтр HTTP файл http://ban.ads2008.info/flash.htm JS/TrojanDownloader.Iframe.NBK троянская программа соединение прервано - изолирован diz_nout\diz Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Ad Muncher\AdMunch.exe.

Автор: zRPG
Дата сообщения: 08.10.2008 09:41

Здравствуйте. А можно как нибудь eset по ftp обновлять.

Например есть ftp://5ty:dsfgd@ftp.adress.ru/folder1/folder2/eset_upd/
вот можно eset отсюда заставить обновлятся. Если да то что надо написать в настройках.

Автор: DiZka
Дата сообщения: 08.10.2008 09:49

zRPG
по FTP Eset Не обнавляется

Автор: zRPG
Дата сообщения: 08.10.2008 10:04

Жаль, но все равно спасибо.

Автор: vadimkara
Дата сообщения: 08.10.2008 12:01

есть проблемка с интерентом есть связка utorrent opera nod v3 так вот при включеном ноде работает или только опера или только торент, немного покопавшись я понял что глюк в ноде, так как он пропускает через себя весь трафик оперы и создает оч много конектов, из за этого опера ниче не грузит пока открыт торент, отключив защиту интернета они заработали вместе, но все таки мне не хочеца вируса словить, можно как то заставить работать их вместе не отключая защиту?

Автор: XenoZ
Дата сообщения: 08.10.2008 13:17

DiZka
http://www.virustotal.com/ru/analisis/cb8dee704e9cad91e5d5302449b6ced9
Расценивать можно так: в коде страницы найден эксплойт. Насколько это достоверно - вопрос другой...

Автор: DiZka
Дата сообщения: 08.10.2008 13:19

XenoZ
ну я понял что там чет не чисто а почему туда FF ломится... хотя это навереное вопрос другую ветку....

Автор: XenoZ
Дата сообщения: 08.10.2008 14:46

DiZka
Навскидку два варианта:
1. хост прописан в FF стартовой страницей
2. в системе зверек, к-рый и запускает FF на эту страницу

Автор: DiZka
Дата сообщения: 08.10.2008 16:21

XenoZ

Цитата:

Навскидку два варианта:
1. хост прописан в FF стартовой страницей
2. в системе зверек, к-рый и запускает FF на эту страницу

1. 100% нет
2. Сканил анитвирями nod32, DrWeb чисто (завтра попробую еще другие)

Автор: antiput
Дата сообщения: 08.10.2008 19:23

XenoZ

Цитата:

Не помню я такого сообщения у НОДа: "Неправильный ответ сервера."
Обновляешься с неоф. зеркал? Тебе в Варезник.

Дело в том, что какое зеркало бы я не выбрал ошибка все равно имеет место. Полная переустановка антивируса не помогла. На другой машине все работает. Может вирус какой? портящий nod

Автор: flowersmax
Дата сообщения: 09.10.2008 09:26

сорри - если не в тему. 2,7. закрыли сервера обновлений. у кого есть рабочий?

Автор: XenoZ
Дата сообщения: 09.10.2008 09:45

Автор: flowersmax
Дата сообщения: 09.10.2008 09:56

2,7 работает без логина с паролем. а тут он спрашивет.

Добавлено:
и даже "Локальная сеть" и на ней выставляем переключатель в «Текущий пользователь»

Автор: XenoZ
Дата сообщения: 09.10.2008 10:22

flowersmax
Все коммерческие офсервера работают только с логин/пасс'ом. За остальным топай в Варезник. Ссылка - в шапке.

antiput
Скриншот ошибки выложи. Уточни версию НОДа, а так же: комм или триал.
(А для начала невредно сделать попытку обновиться с офсервера)

Автор: flowersmax
Дата сообщения: 09.10.2008 10:57

вот я слажал.... я искал тему по варезнику. а открыл почему то эту. уже по инету нашел пару серверов.... все пока работает. всем спасибо.

Автор: KYPA
Дата сообщения: 09.10.2008 13:35

Цитата:

Фильтр HTTP файл http://ban.ads2008.info/office.htm JS/TrojanDownloader.Small.NBC троянская программа соединение прервано

Фильтр HTTP файл http://ban.ads2008.info/flash.htm JS/TrojanDownloader.Iframe.NBK троянская программа соединение прервано

Со вчерашнего дня такая же проблема.
При этом Nod32 полностью блокирует интернет соединение...
Сканил Nod32, Dr.web CureIT, Ad-Aware 2008 - ничего подозрительного не нашли ...

Автор: Drol
Дата сообщения: 09.10.2008 16:29

Кто знает или почему Nod32 не ловлит трояны и черви, хотя касперсикий их давно выливает.
Стоит Nod 2.7 обновления 3506

- Троян создает на флаш носителях файлы
autorun.inf
Recycled.exe
папка с файлом x:/system~1/OSAMA.PIF

- на HDD создаеться файл (после "xp-" номер рандом)
c:\windows\system32\xp-654565.exe

- В файле autorun.inf разное содержание
1)
[AutoRun]
open=Recycled.exe
shell\1=_тїЄ(&O)
shell\1\Command=Recycled.exe
shell\2\=дЇАА(&B)
shell\2\Command=Recycled.exe
shellexecute=Recycled.exe

---
2)
[AutoRun]
;XARx8hsRFn6&3}iktwgg&XEVB+H\vk<tNQ7JPivLUcbYz>EfiAQekG0K8gpWY@DIq2DTc u0q3dWnrD#*@uV+aiJ94c&ejAy.6sPx86c78j<@WmA%qn6aQ8H4U\ONL2PAf[#
;DneLwbmJkO2q&p\m1MW<DwZA&9\{#/JHVMnl|]8b9&OX&L*]}oJg6IW2AAwEdOO7nOA8lHjIR.rP3Fu>kRCmz#<n*e%PCpp}S@
shellexecute=SYSTEM~1\osama.pif
;ASB#u0.Fqkc.&k*PwAAWB.Ojj3F56FpMDoWsMxo8wrK
;#iI]]]n/c]pA*JveWUh*pw>zgkquEDJ}uMh58.TLd\8AZq>G@yo52eAO2UIW.dh2jJ\U/P\uXZ\{/m]O6Uvs8u6fA2LjMz3h/5Hx*Eozikqst+aS3k>r|{ak@#@9{bA
shell\about=Open
;.*XclGA*Pg1an}%c*SA2P7NAcCKi/+/Hr5.ATr+gdY+UhWgpo]0+zZk>.[ElW1f7AM/Y8Ao{jcS&txfH0l+eGA@>z8kuu1dhaPRev#X|A#}UedPvRw[AW%}%1i/4+rP66{lcc\4Zls693uQ+qydw{@2&X1[urj
;ibyuUaleGotE\AwMHCBX.M
shell\about\command=SYSTEM~1\osama.pif
;X@MAy57pQ\tA7|ys7f[<
;6y[MHy{6egfwjNvi4YJ7#34Xyj.>B}*Up2zQ5Xhta|[MA3rusl5uP27k|hy*w#U|{7s%EH.Gzm2nMDjYA/9XZ0/T5X\>il9/P5Qy9+sT<xV6FaqfPZmEG.>|[5Uo]2J

-----

Вот нашел статейку http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AUTORUN.ALD&VSect=Sn
Червь появился числа (Pattern release date: Sep 10, 2008)

Автор: ComradG
Дата сообщения: 09.10.2008 17:25

Во-первых, последняя версия проги уже за тройку перевалила, поэтому вопрос относительно того, почему? зачем? не респектабелен. Во-вторых, есть такие вещи, как настройки. И в третьих, если тебе нравится Каспер(в версии 2009 которого якобы обновили двиг(который недалеко ушел от предшественника)), пользуйся им. Лично я пользуюсь ни Каспером, ни Нодом, хотя последний довольно хороший антивирь. Жаль что хачится быстро.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67

Предыдущая тема: VMware application virtualization (Thinstall)

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.