ESET (NOD32): установка, настройка, проблемы в работе

[quote=ananas;267953]Сколь не тыкал флэшку с вирем - включал-выключал эту галку - разницы никакой. Не детектит, пока не ткнешь явно. Или ограниченная учетная запись мешает?[/quote]
Вот и я про то же выше говорил. А дома у меня учетная запись без ограничений и все птицы в NOD'e стоят. Вот и получается, пока гадость не зашевелится (или явно на флэшку не выйти) - NOD не реагирует на заразу с флэшки.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=santy;267963]Возможно, файловый монитор начинает проверку только после явной фокусировки в директорий сменного носителя. (аналогично проверке сетевых дисков).[/quote]
Похоже, что так (в случае "тихой" угрозы).

[QUOTE=anip;268220]Похоже, что так[/QUOTE]Похоже, что ни как - не так и не сяк. А может еще какие службы запустить надо из тех, что отключены, что бы зловреды не лезли?

[QUOTE=anip;267851]Ага, а дома ESS, то бишь NOD без добавок.
А на работе, может, у NOD'а настройки по умолчанию, или вообще "облегченные"? К тому же за NOD'ом заметил одну вещь: если втыкается флэшка с находящимся на ней вирусом (трояном), но они сидят себе тихо (не пытаются загрузится автораном или ещё как-нибудь проявиться), то NOD не обращает на него внимания до того времени, как последует попытка обращения к флэшке.
..
P.S. Хотя в Вашем случае может быть банальное отсутствие сигнатур в базе NOD'а.[/QUOTE]


Настройки стандартные (с какого пепепугу я должен был заморачиваться?)... По данным НОДа из главного окна программы - было что-то типа "Максимальная степень защиты" :) Еще раз повторюсь - йа домохозяйко! Поставил НОД со стандартными настройками - не видит, поставил Каспер - видит! :) Был бы кулцхакер - не ставил бы антивирусы ваще :)

Троян копировался автораном :) Уже это должно было насторожить антивирус... ан нет :)

Базы были всегда свежие (обновлялись с внутреннего сервака)


[QUOTE]Возможно, это было в январе-феврале 2008 года, когда ***.OnLineGames.*** был в лидерах. Обратите внимание на статистику заражений в "Помогите" ВирусИнфо.[/QUOTE]

Ага... прибл. как раз в этот период!

[QUOTE=ananas;267953]Сколь не тыкал флешку с вирем - включал-выключал эту галку - разницы никакой. Не детектит, пока не ткнешь явно. Или ограниченная учетная запись мешает?[/QUOTE]

Надо проверить. У autorun.inf, как правило атрибуты hidden, system, read only. Был случай однажды, когда под ограниченной записью не мог удалить эти файлы, хотя антивирус блокировал запуск.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[QUOTE=NMF;268960]
Ага... прибл. как раз в этот период![/QUOTE]

Если вы общаетесь с админами, попросите у них статистический отчет о работе всех мониторов сети за период январь-февраль 2008г. Для ВирусИнфо. Из консоли управления (Remote Administrator Console) его совсем просто сгенерировать. Из отчета будет видна более-менее общая картина всевозможных атак.

Давайте еще после NOda и Kaspersky , Панду , VBA , Авиру поставим .
И в итоге будем материть все антивирусы .
Потому что найдется еще пять - сорок пять .

[QUOTE=456;272887]будем материть все антивирусы[/QUOTE]Нет. Это не честно, они же нас защищают. Давайте их всех хвалить.

Дай пять )

[b]Новая сборка EAV, ESS. 3.0.672[/b]

Changelog for ESET Smart Security and NOD32 3.0

August 22, 2008 - 3.0.672

* Fixed problem causing instability on Microsoft Windows Vista 64-bit
* Fixed problem in antispam module causing "Unexpected exception 003 and 007" error messages
---
Virus signature database: 3383 (20080824)
Update module: 1024 (20080514)
[b]Antivirus and antispyware scanner module: 1139 (20080820)[/b]
Advanced heuristics module: 1074 (20080803)
Archive support module: 1081 (20080729)
Cleaner module: 1032 (20080724)
Anti-Stealth support module: 1002 (20080723)

Слыхал, что есет идет к тому, чтобы новые сборки и даже новые версии устанавливались из инета автоматом, как сейчас обновляются базы и модули. Правда?

[QUOTE=ananas;273773]Слыхал, что есет идет к тому, чтобы новые сборки и даже новые версии устанавливались из инета автоматом, как сейчас обновляются базы и модули. Правда?[/QUOTE]
А новые сборки и новые версии, это разве не просто новые модули базы? Хотелось бы получить хоть какое-то доказательство обратного, но по моим наблюдениям последние пол-года новая сборка (версия) - это просто дистрибутив с новейшими на момент выпуска модулями и базами. Это очень удобно для новых пользователей - не нужно закачивать после установки программы еще десятки мБт обновлений. Я не прав?

[QUOTE=aleksdem;273862]новая сборка (версия) - это просто дистрибутив с новейшими на момент выпуска модулями и базами[/QUOTE][B]aleksdem[/B], т.е. если у меня версии баз и модулей, как в сообщении от [B]santy[/B], а номер сборки отличный (более ранний), все равно разницы нет?

[QUOTE=ananas;273888][B]aleksdem[/B], т.е. если у меня версии баз и модулей, как в сообщении от [B]santy[/B], а номер сборки отличный (более ранний), все равно разницы нет?[/QUOTE]
Я не могу утверждать на 100%, но, повторюсь, по моим наблюдениям и официальным описаниям изменений на сайте Eset, именно так и есть. После сборки v3.0.621.0 и расширения функций ekrn.exe.
Если бы знатоки продукции Eset (я к ним никак себя отнести не могу) подтвердили или опровергли мои выводы, был бы очень признателен.

[quote=ananas;273888][B]aleksdem[/B], т.е. если у меня версии баз и модулей, как в сообщении от [B]santy[/B], а номер сборки отличный (более ранний), все равно разницы нет?[/quote]
Каждая новая сборка - это исправление багов и глюков. А модули - обновлябтся одинаково во всех сборках. Полезно читать список изменений у сборкам. В частности к этой:

[QUOTE][B]August 22, 2008 - 3.0.672[/B][LIST][*]Fixed problem causing instability on Microsoft Windows Vista 64-bit[*]Fixed problem in antispam module causing "Unexpected exception 003 and 007" error messages[/LIST][/QUOTE]

[B]ALEX(XX)[/B], скажите пожалуйста, что Вы думаете/знаете по вопросу из поста #689?

зы. [B]aleksdem[/B], извините, что пытался обратить Ваше внимание на очевидную разницу в сборках таким неявным способом. Надеюсь, [B]ALEX(XX)[/B] разъяснил все предельно ясно.

[quote=ananas;274020][B]ALEX(XX)[/B], скажите пожалуйста, что Вы думаете/знаете по вопросу из поста #689?
[/quote]
Да, Есет хочет сделать такое. На оф. форуме уже много раз поднимался данный вопрос. Представители Есет ответили, что работают над этим. И в текущей 3-ей ветке мы это увидим. Но вот как скоро, фиг его знает.

[QUOTE=ALEX(XX);274029]в текущей 3-ей ветке мы это увидим. Но вот как скоро, фиг его знает.[/QUOTE]Да, спасибо. Вот и я об этих же обещаниях.

[QUOTE=ALEX(XX);273964]Каждая новая сборка - это исправление багов и глюков. А модули - обновлябтся одинаково во всех сборках. Полезно читать список изменений у сборкам. В частности к этой:[/QUOTE]
Мне лично совсем ничего не ясно. А что тогда означает обновление модулей программы? Eset - программа модульная. Смена соответствующих модулей на новые и есть, в принципе, исправление багов и глюков. И если замена модулей ничего не исправляет, то зачем она вообще нужна? Номер сборки означает только время её "комплектации" и не более. Хотя, может быть, уважаемый [B]ALEX(XX)[/B] и прав. Не знаю.

Про версию v.3.0.672.0 ....Технология борьбы NOD32 с руткитами претерпела существенные изменения. Прошлая версия антивируса блокировала попытки вторжения руткитов в систему. В новой версии технология защиты от подобного ПО, получившая название anti-stealth, была дополнена механизмом выявления уже имеющихся в системе руткитов...[url]http://www.ixbt.com/news/all/index.shtml?10/95/66[/url]

[quote=aleksdem;274055]Мне лично совсем ничего не ясно. А что тогда означает обновление модулей программы?[/quote]
Ок. Смотрим:
[QUOTE]Virus signature database: 3383 (20080824)
Update module: 1024 (20080514)
[B]Antivirus and antispyware scanner module: 1139 (20080820)[/B]
Advanced heuristics module: 1074 (20080803)
Archive support module: 1081 (20080729)
Cleaner module: 1032 (20080724)
Anti-Stealth support module: 1002 (20080723)[/QUOTE]
Что мы видим (по-порядку):
Базы.
Модуль обновления
Модуль сканера
Модуль расширенной эвристики
Модуль поддержки упаковщиков
Модуль, который отвечает за очистку зараженной системы
Анти-стелс.
Но это всё, как бы обвязка, подвески (если можно так выразиться). Но само ядро при этом не меняется. Службы остаются те же. Так вот обновление сборки, это [I][U]полное [/U][/I]обновление. А обновление модулей - это относится к борьбе с заразой (будем так говорить)

[QUOTE=aleksdem;274055]Eset - программа модульная. Смена соответствующих модулей на новые и есть, в принципе, исправление багов и глюков. И если замена модулей ничего не исправляет, то зачем она вообще нужна?[/QUOTE]Модульная прога - ядро - и ее отдельные модули не существуют сами по себе. Они живут на харде в окружении софта и друг друга. Они должны жить дружно - быть совместимыми и не иметь собственных ошибок. Прежде, чем модули заработают, прогу, например, надо корректно установить, и т.д. - внесенные изменения в сборку и в ее модули указаны.

А обновление отдельного модуля, это не только внесение в него "исправлений багов и глюков". Это может быть применение нового более усовершенствованного алгоритма в его работе.

С момента выхода 669 сборки, (в течение месяца) практически все модули антивируса обновились. Это видно по датам выпуска данных модулей, которые перечислил [b]ALEX(XX)[/b], поэтому логично для Eset было изменить номер версии на 3.0.672, а так же выпустить новый дистрибутив установки для пользователей. Думаю, логика изменений версии такова: изменились основные модули антивируса (исправлены баги, улучшены алгоритмы работы) - меняется версия программы. Вывод информации о модулях антивируса удобен тем, что во-первых, подтверждается модульное устройство программы, во-вторых, сообщается каких изменений_улучшений следует ожидать в работе данной программы в соответствие с заявленными анонсами, пресс-релизами и changelog-ами.

[QUOTE=ananas;274100]Модульная прога - ядро - и ее отдельные модули не существуют сами по себе. Они живут на харде в окружении софта и друг друга. Они должны жить дружно - быть совместимыми и не иметь собственных ошибок. Прежде, чем модули заработают, прогу, например, надо корректно установить, и т.д. - внесенные изменения в сборку и в ее модули указаны.

А обновление отдельного модуля, это не только внесение в него "исправлений багов и глюков". Это может быть применение нового более усовершенствованного алгоритма в его работе.[/QUOTE]
Конечно, модули не существуют сами по себе. И конечно, когда они меняются (не в сборке, а обновлением программы) тоже меняется, как Вы говорите, и алгоритм, и взаимосвязи с ядром и много чего другого. Вижу, что придется мне объяснить, что такое у Eset смена номера сборки (дистрибутива программы). И так, это, по сути, смена файлов из которых она состоит. (Можно посмотреть на дату цифровых подписей). Чаще всего - это смена именно, т.н. модулей программы. Бывает такая ситуация, что выход различных локализаций не успевает произойти до появления какого-то нового модуля, и тогда, скажем китайская версия получает номер сборки выше, чем все остальные. Так было неоднократно. Например, одно время "наиновейшей" была украинская (657, насколько помню) сборка, а английская еще недели две была только 650). Естественно, если к комплектации новой сборки подоспело изменение ядра или просто exe- файлов, имеющих отношение ко всем модулям, - они тоже в новой сборке будут новыми. Вот они то как раз никогда не изменяются через обновления. (Eset обещает в будущем это делать). Но это бывает очень редко. Eset регулярно и обязательно обновляет дистрибутивы своих программ, были изменения ядра или нет. И эти обновленные дистрибутивы всегда комплектуются самыми свежими модулями и базами сигнатур, что являетя одним из явных плюсов.

Скажите пожалуйста, NOD32 который здесь выложен он полная версия или trial?
Спасибо

[QUOTE=nelly83;274518]Скажите пожалуйста, NOD32 который здесь выложен он полная версия или trial?
Спасибо[/QUOTE]

ссылки ведут на триальные версии...

спасибо

[QUOTE=nelly83;274518]Скажите пожалуйста, NOD32 который здесь выложен он полная версия или trial?
Спасибо[/QUOTE]

Если Вы имеете ввиду продукты Eset третьей линейки, то у них триальных версий (пробных) не существует вообще и никогда не было. Под видом триальных версий компания и все партнеры распространяют обычные коммерческие версии программ для домашнего пользования (home) с предустановленным пробным ключом со сроком действия до 1,5 месяца (в зависимости от времени скачивания дистрибутива). После окончания его действия Вы можете ввести в программу любой коммерческий ключ (купленный Вами) и использовать её уже как "не триальную". Программа как с триальным, так и с коммерческим ключом обновляется с одних и тех же серверов в полном объеме (то есть и модули тоже).

[QUOTE=aleksdem;274551]Если Вы имеете ввиду продукты Eset третьей линейки, то у них триальных версий (пробных) не существует вообще и никогда не было. Под видом триальных версий компания и все партнеры распространяют обычные коммерческие версии программ для домашнего пользования (home) с предустановленным пробным ключом со сроком действия до 1,5 месяца (в зависимости от времени скачивания дистрибутива). [/QUOTE]
Угу. Так и есть

[QUOTE=SDA;274062]Про версию v.3.0.672.0 ....Технология борьбы NOD32 с руткитами претерпела существенные изменения. Прошлая версия антивируса блокировала попытки вторжения руткитов в систему. В новой версии технология защиты от подобного ПО, получившая название anti-stealth, была дополнена механизмом выявления уже имеющихся в системе руткитов...[url]http://www.ixbt.com/news/all/index.shtml?10/95/66[/url][/QUOTE]

Эта информация совершенно не касается выхода версии v.3.0.672.0
Это относится ко всем продуктам третьей линейки продуктов Eset.

А где скачать эту версию? И есть ли смысл, если модули обновлены?

[QUOTE=DISEPEAR;276136]А где скачать эту версию? И есть ли смысл, если модули обновлены?[/QUOTE]
[url]http://www.eset.com/download/registered_software.php[/url] (английская версия) Русская пока что 3.0.669. Обновлять всё же надо (всмысле ставить новую версию)

[QUOTE=ALEX(XX);276139][url]http://www.eset.com/download/registered_software.php[/url] (английская версия) Русская пока что 3.0.669. Обновлять всё же надо (всмысле ставить новую версию)[/QUOTE]
А лицензионный ключ остаётся тем же, или это уже новая лицензия?

[QUOTE=DISEPEAR;276140]А лицензионный ключ остаётся тем же, или это уже новая лицензия?[/QUOTE]

Остаётся тем же. Пока не истёк срок ключа можно обновлять версии по мере их выхода.

Ну тогда подожду выхода полной Русской версии.

[QUOTE=DISEPEAR;276143]Ну тогда подожду выхода полной Русской версии.[/QUOTE]

В принципе, основное изменение в новой версии - исправлен баг связанный с крашем под 64-х разрядной вистой. И вроде как чего-то в антиспаме подправили. Если такую висту не используете, то недумаю, что обновление сильно для Вас критично.

[QUOTE=ALEX(XX);276144]В принципе, основное изменение в новой версии - исправлен баг связанный с крашем под 64-х разрядной вистой. И вроде как чего-то в антиспаме подправили. Если такую висту не используете, то недумаю, что обновление сильно для Вас критично.[/QUOTE]
Да нет, я Вистой не пользуюсь, и в ближайшем времени и не собираюсь,
сыровата она ещё. А так выходит из вашего поста что обновлений модулей достаточно что ли?

[QUOTE=DISEPEAR;276145]А так выходит из вашего поста что обновлений модулей достаточно что ли?[/QUOTE]
Тут уже было общение на эту тему. Гляньте в районе поста №700. ИМХО, всё же новая сборка и обновление модулей - несколько отличаются. Но, думаю, чуть позже я отвечу на этот вопрос более чётко.

[QUOTE=aleksdem;274217]... Eset регулярно и обязательно обновляет дистрибутивы своих программ, были изменения ядра или нет. И эти обновленные дистрибутивы всегда комплектуются самыми свежими модулями и базами сигнатур, что являетя одним из явных плюсов.[/QUOTE]

[b]aleksdem, [/b] такая вещь непонятна: смотрю сегодня инфо об антивирусе

Virus signature database: 3397 (2008.08.28.)
Update module: 1024 (20080514)
[b]Antivirus and antispyware scanner module: 1141 (2008.08.28.)[/b]
Advanced heuristics module: 1074 (20080803)
Archive support module: 1081 (20080729)
Cleaner module: 1032 (20080724)
Anti-Stealth support module: 1002 (20080723)

Ага, изменилась дата выпуска модуля сканера после выхода новой сборки 3.0.672. смотрю, даты изменения файлов egui_Scan.dll (Eset on-demmand Scanner GUI), ekrn_Scan.dll (Eset on-demmand Scanner Kernel), ecls.exe (Eset command-line scanner), там по прежнему даты выставлены на момент установки новой сборки 20080818.

[QUOTE=santy;276184][b]aleksdem, [/b]даты изменения файлов egui_Scan.dll (Eset on-demmand Scanner GUI), ekrn_Scan.dll (Eset on-demmand Scanner Kernel), ecls.exe (Eset command-line scanner), там по прежнему даты выставлены на момент установки новой сборки 20080818.[/QUOTE]
При обновлении программы (баз и модулей) меняются только файлы em0**_32.dat. Их там около десятка. Но случай сейчас очень показательный. Один из модулей изменился (модуль резидентного сканирования), а локализованные версии есть только словатская и чешская. Какие номера версий будут присвоены следующим русским (например) версиям - 672 или выше? Или их вообще не будет, а будет какая-то общая более "высокая" версия? Ну а если выйдет русская 672 с модулем сканирования от 28.08 - значит я ошибся в своих наблюдениях, что тоже может быть, конечно.

[QUOTE=aleksdem;276188]При обновлении программы (баз и модулей) меняются только файлы em0**_32.dat. Их там около десятка. Но случай сейчас очень показательный. Один из модулей изменился (модуль резидентного сканирования), а локализованные версии есть только словатская и чешская. Какие номера версий будут присвоены следующим русским (например) версиям - 672 или выше? Или их вообще не будет, а будет какая-то общая более "высокая" версия? Ну а если выйдет русская 672 с модулем сканирования от 28.08 - значит я ошибся в своих наблюдениях, что тоже может быть, конечно.[/QUOTE]

Тогда, что такое модули (их функции), которые хранятся в файлах *.dat? (то, что вирусные базы там хранятся - это понятно). В принципе, уже сейчас можно посмотреть в русской версии 3.0.669, обновился ли модуль сканирования до версии 1141 (2008.08.28.).
---
База данных сигнатур вирусов: 3397 (2008.08.28.)
Модуль обновления: 1024 (20080514)
[b]Модуль резидентного сканирования: 1141 (2008.08.28.)[/b]
Модуль расширенной эвристики: 1074 (20080803)
Модуль поддержки архивов: 1081 (20080729)
Модуль очистки: 1032 (20080724)
Модуль Anti-Stealth: 1002 (20080723)

Как видно, модуль резидентного сканирования уже обновился, хотя сборка осталась прежней. Ок, понял вашу идею. Действительно, модуль сканирования обновился после выхода 672сборки, и по (вашей) идее следующая русская сборка должна выйти с более высоким номером.

[b]p.s.[/b] забавно, что последовательность 2008.08.28. без точек сохраняется с ошибкой, обрезаются последние символы

Появились на сайте разработчика русские 672 версии. Файлы в них идентичны английским версиям этого номера сборки. Например, модуль резидентного сканирования от 2008.08.20 (Хотя после обновления он уже от 01.09.). То есть, с точки определения номеров версий я оказался прав: если бы эти модули были более новыми, - и номер сборки был бы другим. С другой стороны, я сильно перехвалил Eset. Тот же модуль резидентского сканирования уже дважды обновился, а на сайте выкладывается сборка со сторым модулем, который, конечно, при первом же обновлении меняется. Базы тоже не свежайшие (от 2008.08.21). Да еще и лежат эти 672 сборки в глубокой "тайне" (под 669 номером). :)