ESET (NOD32): установка, настройка, проблемы в работе

[quote=aleksdem;198179]Кстати, еще одно интересное наблюдение: если создать вручную запрещающее правило, например, для 445 порта, становится невозможным снять птицу с аналогичного разрешающего, которое Eset самостоятельно поднимает выше и, естественно, оно имеет больший приоритет. [/quote]
Импортировать и экспортировать файл конфигурации даёт? Мне было бы интересно посмотреть.
[quote=aleksdem;198179] Т.е., фитча невозможности запрета контактов с Microsoft явно задумана и успешно реализована разработчиками! [b]Осталось выяснить, это относится только к русскоязычным пользователям или нет?[/b][/quote]
Вот это я не могу себе представить...

Paul

[QUOTE=p2u;198190]Импортировать и экспортировать файл конфигурации даёт? Мне было бы интересно посмотреть.

Вот это я не могу себе представить...

Paul[/QUOTE]

Файл конфигурации загрузил. А что касается второго вопроса, если только у ALEX последняя английская версия ESS, то факт налицо.

Загрузил файл конфигурации в архиве, а то что-то не прицепился..

[quote=aleksdem;198201]Загрузил файл конфигурации в архиве, а то что-то не прицепился..[/quote]
Спасибо. Сейчас посмотрю.

Добавлено:
Посмотрел.
Из раздела - <NODE NAME="EPFWDATA" TYPE="XML">
Вот это мне не очень нравится - правила без наименования.
[quote]<RULE ID="80100081" DISABLED="1" MODIFIED="2008/03/05 16:44:20" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200080" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200081" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200180" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200181" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200182" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200183" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200281" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200280" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200300" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200301" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300080" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300081" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300082" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300084" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80100180" DISABLED="0" MODIFIED="2008/03/05 16:44:57" USER_NAME="C630557E041D447\AF" />
<RULE ID="80100181" DISABLED="0" MODIFIED="2008/03/05 16:44:57" USER_NAME="C630557E041D447\AF" />
<RULE ID="80000100" DISABLED="0" MODIFIED="2008/03/05 16:44:51" USER_NAME="C630557E041D447\AF" /> [/quote]
Как я понял, это относится к файрволу. Там есть возможность:
* журнализировать ВСЁ и входщие и исходящие (хотя бы временно) для диагностики?
* дать название правилам, чтобы вы могли точно определить какое правило вызывает какую запись в журнале?

Paul

В общем, удалось закрыть порты только при помощи несовсем адекватных мер. На вкладке персональный фаервол- дополнительные настройки - снять все птицы возле правил в разрешенных службах. Хотя отношение они должны иметь только к доверенной зоне (так написано), но, как оказалось, распространяются на все зоны. Но разрешения всем системным приложениям на выход в интернет все-равно остаются.
Записать в журнал все события, регистрируемые фаерволом я не сумел, да и поймать момент, когда будет связь по 137 (например) порту сложно.

[quote=aleksdem;198231] Записать в журнал все события, регистрируемые фаерволом я не сумел, да и поймать момент, когда будет связь по 137 (например) порту сложно.[/quote]
Если он разрешил бы всё записывать (но прочитав конфиг, я подозреваю, что это не так - имеется только вариант для записи 'блокированных'), то тогда найти порт 137 в логах было бы не трудно.
P.S.: Я считаю, что файрвол, который не даёт записывать ВСЕ события в журналы - это не файрвол, а подделка...
P.S.2: Чтобы все правильно поняли - это не попытка с моей стороны развязать священную войну здесь - я это на всех форумах говорю. На форуме Comodo тогда сразу же испугались, и поправили положение... :D

Paul

[QUOTE=p2u;198240]Если он разрешил бы всё записывать (но прочитав конфиг, я подозреваю, что это не так - имеется только вариант для записи 'блокированных'), то тогда найти порт 137 в логах было бы не трудно.
P.S.: Я считаю, что файрвол, который не даёт записывать ВСЕ события в журналы - это не файрвол, а подделка...
P.S.2: Чтобы все правильно поняли - это не попытка с моей стороны развязать священную войну здесь - я это на всех форумах говорю. На форуме Comodo тогда сразу же испугались, и поправили положение... :D

Paul[/QUOTE]
В Eset для тестирования можно, приношу свои извинения. Кусочек лога прилагаю. Ну а на счет всего другого - подождем вердикта ALEX, может он что-то прояснит.

[quote=Marielito07;197724]Народ такой вопрос почему при простешой проверке антивируса (nod32) на тестовый сценарий от eicar ([URL]http://www.windowsfaq.ru/serv/viruses/eicar.html[/URL]), он абсолютн не реагирует, хотя в тоже время другие такие как Symantec или KAV, блочат, кто что может сказать, пробежался по настройкам всё стоит даже мой Firefox в активном сканирование у антивирусника находится, но всё равно пропускает спокойно![/quote]
Проверьте в файле конфигурации, под параметр
<PLUGIN ID="[B]1000102[/B]">
не задан ли такой параметр:
<NODE NAME="ScanPlainText" VALUE="[b]0[/b]" TYPE="DWORD" />
По моему он должен быть не '0', а '1'...

Paul

[QUOTE=p2u;198240]Если он разрешил бы всё записывать (но прочитав конфиг, я подозреваю, что это не так - имеется только вариант для записи 'блокированных'), то тогда найти порт 137 в логах было бы не трудно.

Paul[/QUOTE]

Опять не прицепился. Прилагаю кусок лога в архиве. Удалось мне обуздать, но не совсем так, как хотелось бы..

[quote=aleksdem;198272]Опять не прицепился. Прилагаю кусок лога в архиве. Удалось мне обуздать, но не совсем так, как хотелось бы..[/quote]
Любопытно... Он раза 3-4 написал:
[code]Готового к использованию правила не найдено[/code]
Он при этом не спрашивает ваc ничего, и сам решит что делать?

Paul

[quote=p2u;198174]@ [B]Marielito07[/B]:

* Вы уверены, что в системе не остались старые драйвера других (уже удалённых) программ защиты?
* Какие модули ActiveX активны в IE?
Возможно имеет смысл выложить журнал [URL="http://download.sysinternals.com/Files/Autoruns.zip"]Autoruns[/URL]? Журнал можно сохранить через File - SaveAs.

Paul[/quote]

1) Нет не уверен, дело в том что тут раньше стояла Symantec AntiVirus 10.0.2.2000 а теперь снёс и поставил Nod32 3.0.621
2) Модули поотключал большинство, но в этом смысла нету так как я использую Firefox
3) Журнал выложу, чуть по-поже

[quote=Marielito07;198300] 2) Модули поотключал большинство, [b]но в этом смысла нету так как я использую Firefox[/b][/quote]
Ошибаетесь, к сожалению.
[quote=Marielito07;198300]3) Журнал выложу, чуть по-поже[/quote]
Нам журнал не нужен. Надо экспортировать файл конфигурации как сделал [b]aleksdem[/b]. (сообщение 443) :)

Paul

[QUOTE=p2u;198291]Любопытно... Он раза 3-4 написал:
[code]Готового к использованию правила не найдено[/code]
Он при этом не спрашивает ваc ничего, и сам решит что делать?

Paul[/QUOTE]

Хотя стоит интеактивный режим работы, он вообще ни разу ничего не спросил. (Кроме, как о разрешении на выход в инет сторонних приложений). За последнюю неделю пришлось тестировать последние версии Zon Alarm, Outpost (тоже, я Вам скажу, продукты с загадками), но чтобы так как Eset, - еще мне никто так голову не заморачивал.

[quote=aleksdem;198323]Хотя стоит интеактивный режим работы, он вообще ни разу ничего не спросил. (Кроме, как о разрешении на выход в инет сторонних приложений). За последнюю неделю пришлось тестировать последние версии Zon Alarm, Outpsot (тоже, я Вам скажу, продукты с загадками), но чтобы так как Eset, - еще мне никто так голову не заморачивал.[/quote]
Мда... Видимо там некоторые разрешения и запреты 'жёстко запрограммированные', так сказать; то есть - не подлежат изменению. Если так, то тогда уже без ревёрс-инжиниринга ничего не сделаете... ;)
Будем ждать ALEX'a...

Paul

[quote=Marielito07;197724]Привет всем!
Народ такой вопрос почему при простешой проверке антивируса (nod32)
на тестовый сценарий от eicar([URL]http://www.windowsfaq.ru/serv/viruses/eicar.html[/URL]), он абсолютн не реагирует[/quote]
Дело в следующем. Нод нормально реагирует на ссылку в том случае, ессли ее скопировать и вставить в адресную строку браузера. При обычном переходе по этой ссылке реакция отсутствует. В чем разница между этими двумя действиями?

[quote=Matias;198340]Дело в следующем. Нод нормально реагирует на ссылку в том случае, [b]если ее скопировать и вставить в адресную строку браузера[/b]. При обычном переходе по этой ссылке реакция отсутствует.[/quote]
Это не хорошо - я думаю, что совсем немногие пользователи так работают - большинство просто щёлкает...

Paul

Я сохранил как ты гришь но млин там чёрть ногу сломит, как ты в этом разберёшься я не понимаю!

[QUOTE=p2u;198330]Мда... Видимо там некоторые разрешения и запреты 'жёстко запрограммированные', так сказать; то есть - не подлежат изменению. Если так, то тогда уже без ревёрс-инжиниринга ничего не сделаете... ;)
Будем ждать ALEX'a...

Paul[/QUOTE]

Так, немного разобрался. Пришлось снести и переустановить Eset. Оказывается, по умолчанию установка (полная) и дальнейшая работа фаервола в данной программе происходит в автоматическом режиме (т.е., для все известных ему приложений он создает правила автоматом). Никаких вопросов пользователю при установке программы на счет этого не задается. Пока я после установки программы включал расширенный режим настройки, вводил пароли, ESS успел создать кучу правил для системных приложений (благо, те при постоянно подключенном интернете и такой благосклонности фаервола немедленно поспешили во всемирную сеть). Вот почему у меня и ALEX разные правила на скринах. Ну а как потом сменить эти правила, я так и не понял.

[QUOTE=Matias;198340]Дело в следующем. Нод нормально реагирует на ссылку в том случае, ессли ее скопировать и вставить в адресную строку браузера. При обычном переходе по этой ссылке реакция отсутствует. В чем разница между этими двумя действиями?[/QUOTE]

Кстати, на указанную ниже сссылку любой антивирус не будет реагировать.
может, в этом все дело?
_http://www.windowsfaq.ru/serv/viruses/eicar.html

[quote=santy;198413]Кстати, на указанную ниже сссылку любой антивирус не будет реагировать.
_http://www.windowsfaq.ru/serv/viruses/eicar.html[/quote]
Приведенная вами ссылка "испорчена", поэтому на нее антивирус и не будет реагировать. Я же говорю про ссылку, оставленную Marielito07. Если скопировать ее в строку браузера и нажать ввод, Нод тут же выдаст алерт, а вот если просто щелкнуть по этой ссылке он никак не отреагирует. Почему?

[quote=Marielito07;198348]Я сохранил как ты гришь но млин там чёрть ногу сломит, как ты в этом разберёшься я не понимаю![/quote]
Следов от старых программ защиты не вижу.

Paul

[QUOTE=Matias;198340]Нод нормально реагирует на ссылку в том случае, ессли ее скопировать и вставить в адресную строку браузера. При обычном переходе по этой ссылке реакция отсутствует. В чем разница между этими двумя действиями?[/QUOTE]
С точки зрения проверки трафика - только в реферере.

А в новом окне ссылку открывать не пробовали?

[quote=pig;198441]А в новом окне ссылку открывать не пробовали?[/quote]
Попробовал. Реакция Нода нулевая.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 2 минуты[/I][/B][/color][/size]

Вопрос немножечко не по теме. Почему при поднесении мыши к ссылке (например, Скачать Нод32) на русскоязычном сайте Есета всплывающие подсказки отображаются какими-то иероглифами вместо нормальных русских букв? на англоязычном сайте Есета такого не замечено.

[quote=Matias;198494] Почему при поднесении мыши к ссылке (например, Скачать Нод32) на русскоязычном сайте Есета всплывающие подсказки отображаются какими-то иероглифами вместо нормальных русских букв? на англоязычном сайте Есета такого не замечено.[/quote]
Видимо шрифт на эти ссылки забыли кодировать в Cyrillic (Windows-1251), кодировка главных страниц на русском сайте. Браузер, конечно же, не адаптируется для показа таких деталей. А на английском сайте кодировка Western (ISO-8859-1), совсем другой. Причём, я даже никаких подсказок там не вижу когда я мышку туда направляю...

Paul

[quote=santy;198159]С моими настройками модуля IMON нормальная реакция на все три варианта eicar: *.rar, *.zip, *.com[/quote]
На эти три варианта Нод реагирует, как и полагается. Ниже на странице проверки антивируса есть ссылка на страницу со сценарием, содержащим последовательность эйкара. На указанную страницу Нод реагирует только в том случае, если ссылку скопировать в окно браузера. При обычном переходе по указанной ссылке никакой реакции Нода не заметно.

Здравствуйте! как нужно настроить ESS 3.0.636 rus чтобы защита была выше....???

ранее стоял 3.0.621 en после него другие антивирусы находили несколько вирусов...
была проблема с доступом к диспетчеру задач... из-за вируса какого-то... перепробовал кучу антивирусов... KIS, Avira, Symantec, но решил вернуться к НОДу т.к. удобнее и быстрее...
Сейчас все нормально , обновляюсь каждый день, система работает стабильно, но уверенности нет, раньше тоже все было нормально,а после того как сменил ESS 3.0.621 на Symantec endpoint protection нашел несколько вироусов...
после менял антивирусы для проврки...и все что-то находили после друг друга... все настройки стояли по умолчанию
Вывод:
-Либо я не так что-то делал.
-Либо все антивирусы сейчас плохо защищают.
P.S. в настройках ESS всегда выключал систему своевременного обнаружения ThreatSense.Net по определенным причинам...

[quote=AleXact;199578]-Либо я не так что-то делал.
-Либо все антивирусы сейчас плохо защищают.
[/quote]
Ни один антивирус не защищает на 100%.

ну а какой на ваш взгляд хорошо сегодня защищает? у меня простой вопрос... что поставить чтобы хотяб на 90% защититься от вирусов....

Задача: защита домашнего компьютера, локальной сети нет, постоянно подключен к интернету, серфинг, торрены... и т.д. и тп.

ESS - устраивает по удобству...скорости... .но по защите получается не очень.... может как то нада настройки изменить..чтото слышал что там в стандартных настройках не все включено... или скиньте просто файл с вашими настройками на Ess 3.0.636 rus ([email protected]) если есть....

еще не пробовал Dr.Web... думаю его с Comodo поставить.... посмотреть как они защищать будут...

может как то на защиту в ESS повлиять отключенная система своевременного обнаружения ThreatSense.Net - что она делает....только статистику и вирусы отправляет на анализ.... или еще какуюто защиту обеспечивает???

ThreatSense.Net действует как система своевременного обнаружения. Как сообщает ESET ThreatSense® Technology это - [url]http://www.nod-32.ru/threatsense.html[/url]
Так что лучше систему не отключать.

[quote=AleXact;199738]ESS - устраивает по удобству...скорости... .но по защите получается не очень.... может как то нада настройки изменить..чтото слышал что там в стандартных настройках не все включено... или скиньте просто файл с вашими настройками на Ess 3.0.636 rus ([email protected]) если есть....
[/quote]
Настройки в скором времени будут. На данный момент физически не успеваю.

[quote]может как то на защиту в ESS повлиять отключенная система своевременного обнаружения ThreatSense.Net - что она делает....только статистику и вирусы отправляет на анализ.... или еще какуюто защиту обеспечивает???[/quote]
Повлияет, но косвенно. Вы отметили правильно, то, что она делает. Но это означает, что с её помощью, Вы можете отправить подозрительный файл напрямую в ESET, что даст возможность быстрее добавить сигнатуру вируса в базы.

[quote=AleXact;199738]ну а какой на ваш взгляд хорошо сегодня защищает? у меня простой вопрос... что поставить чтобы хотяб на 90% защититься от вирусов....[/quote]
Всё начинается с этого: [url=http://security-advisory.virusinfo.info/][B]Безопасный Интернет[/b][/url] от [url=http://virusinfo.info/member.php?u=5506][B]Николая Головко[/B][/url]; если вы принципы понимаете и применяете, то тогда это будет ваши 90%.

Потом можно (для остальных 10%) поставить то, [i][b][color=green]что вам больше по душе[/color][/b][/i] из следующих: [url=http://virusinfo.info/showthread.php?t=1550][B]Рекомендуемые антивирусы[/B][/url].

Paul

Спасибо всем за ответы....!!!
щас пробую Dr.web с Comodo.... видимо вирусов у меня нет...после ESS проверил Dr.web -все чисто.... но мне показалось неочень удобным отдельное
использ файервола и антивируса.. т.к. доктор в трее аж тремя иконками обзавелся...+ comodo

Думаю поставлю обратно ESS ... удобней как то.. и буду проверять периодически каким нибуть сканером отдельным...

по поводу настроек ESS 3.0.636 rus ... я выставил на вкладках всех защит.. галки на все обьекты... и очистку везде тщательную...
файервол поставил в интерактивный режим....
еще как могут повлиять на защиту различные Fixы ....?

[quote=AleXact;200055]как могут повлиять на защиту различные Fixы ....?[/quote]
Эмм.. Фиксы чего?

fix антивируса ...патчи...продливающие лицензию

[QUOTE=Matias;198903]На эти три варианта Нод реагирует, как и полагается. Ниже на странице проверки антивируса есть ссылка на страницу со сценарием, содержащим последовательность эйкара. На указанную страницу Нод реагирует только в том случае, если ссылку скопировать в окно браузера. При обычном переходе по указанной ссылке никакой реакции Нода не заметно.[/QUOTE]

Ясно. Интересно, использует ли IMON сигнатурный анализ при проверке html-файлов.

Народ кто подскажет, где nod32 хранит свои файлы для карантина, а то по адрессу
C:\Program Files\ESET\ папки Infected нету, и нигде на диске C:\ нету, но в журнале сами файлы есть!

В настройках антивируса должен быть указан путь к папке карантина.
---
только похоже папка эта должна быть предварительно создана. Сам журнал возможно хранится в другой папке.

[QUOTE=Marielito07;200319]Народ кто подскажет, где nod32 хранит свои файлы для карантина, а то по адрессу
C:\Program Files\ESET\ папки Infected нету, и нигде на диске C:\ нету, но в журнале сами файлы есть![/QUOTE]
Еле нашел: C:\Documents and Settings\(пользователь)\Local Settings\Application Data\ESET\ESET Smart Security\Quarantine

Есть ли в третьем Ноде возможность удаления зараженных архивов?

[QUOTE=aleksdem;200482]Еле нашел: C:\Documents and Settings\(пользователь)\Local Settings\Application Data\ESET\ESET Smart Security\Quarantine[/QUOTE]

В 3версии автоматически создается, если добавить файл в карантин: ****\ESET\ESET Nod32 antivirus\Quarantine

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Matias;200494]Есть ли в третьем Ноде возможность удаления зараженных архивов?[/QUOTE]

Надо проверить. 3версия пока у меня живет на виртуальной машине. Завтра.