ESET (NOD32): установка, настройка, проблемы в работе

[XP user]

Интересно, как Вы не увидели, что там мой пост последний и, к сожалению, без ответа.

Вы меня простите, конечно, что я не успел прочитать 29 страниц за 17 минут + ещё за это время ответить вам по теме (я же не носитель русского). Я просто по Гуглу нашёл эту тему, и думал, что это вам подходит. Жаль, что не так...

Paul

[aleksdem]

Вы меня простите, конечно, что я не успел прочитать 29 страниц за 17 минут + ещё за это время ответить вам по теме (я же не носитель русского). Я просто по Гуглу нашёл эту тему, и думал, что это вам подходит. Жаль, что не так...

Paul

Вообще, я очень признателен Вам за ответы и желание помочь. Непонятно только, почему другие форумчане (причем явные сторонники Eset), не могут (или не хотят) ответить на вопрос. Виной моя неквалифицированность или "неквалифицированность" Eset?

[ALEX(XX)]

Вообще, я очень признателен Вам за ответы и желание помочь. Непонятно только, почему другие форумчане (причем явные сторонники Eset), не могут (или не хотят) ответить на вопрос. Виной моя неквалифицированность или "неквалифицированность" Eset?

aleksdem, не обижайтесь. Я пока ещё не вник в Вашу проблему. Только вот нормально приземлился перед домашним компутером Весь день в запарах на работе.
Я постараюсь Вам помочь

[Matias]

А в настройках IMON стоит "высокая эффективность" или "высокая совместимость" напротив IE?

Напротив всех имеющихся в списке "Совместимость клиента" программ выставлена высокая совместимость.

[ALEX(XX)]

Напротив всех имеющихся в списке "Совместимость клиента" программ выставлена высокая совместимость.

Найдите iexplore.exe и щёлкните на "высокая совместимость". Она сменится на высокую эффективность.

Добавлено через 12 минут

Уважаемые специалисты, подскажите, пожалуйста

Исходя из моих наблюдений и пониманий, есть ряд предопределённых правил, назовём их системными, которые Вы не можете редактировать, а только включить/отключить. Для всей остальной сетевой активности будет выдан запрос (если у Вас выставлен режим обучения) и на основе этого запроса Вы создадите своё правило. То есть всё что не разрешено, то запрещено.

[Matias]

Найдите iexplore.exe и щёлкните на "высокая совместимость". Она сменится на высокую эффективность.

После изменения вышеупомянутой настройки Нод все равно никак не отеагировал на ссылку, ведущую на страницу с эйкаром. А какая разница между этими двумя режимами?

[ALEX(XX)]

После изменения вышеупомянутой настройки Нод все равно никак не отеагировал на ссылку, ведущую на страницу с эйкаром. А какая разница между этими двумя режимами?

Из приколов, у меня KIS 7 тоже не ругнулся на посещение этой ссылки.. Хм...
А рзница между режимами...

Установка совместимости HTTP позволяет сконфигурировать режим работы HTTP для каждого из приложений. Список создается динамически, т.е. когда какое-либо приложение пытается загрузить данные через HTTP, оно будет автоматически добавлено в список.

Bыcoкaя эффeктивнocть - если установлено, IMON будет работать в активном режиме для этого приложения.

Bыcoкaя coвмecтимocть - если установлено, IMON будет работать в пассивном (совместимом) режиме для этого приложения

В режиме высокой эффективности результат обнаружения заразы в траффике выглядит так, как на скриншоте

[aleksdem]

Исходя из моих наблюдений и пониманий, есть ряд предопределённых правил, назовём их системными, которые Вы не можете редактировать, а только включить/отключить. Для всей остальной сетевой активности будет выдан запрос (если у Вас выставлен режим обучения) и на основе этого запроса Вы создадите своё правило. То есть всё что не разрешено, то запрещено.

Это не есть хорошо. Причем, далеко не все я могу даже отключить/включить. На сколько я помню, таких ограничений прав пользователя нет ни в одном фаерволе. Это уже что-то в духе Vista. Придется все уязвимые порты типа 445 в случае необходимости закрывать другими средствами. Я правильно понял?

[Matias]

На странице теста антивирусов на windowsfaq есть 3 варианта эйкара. Среди них есть зараженный архив и Нод моментально отреагировал на него, правда, не блокировал доступ автоматически, а только предложил это сделать, поскольку в настройках IMON выбрана опция "Показать окно предупреждений с выбором действия".

[ALEX(XX)]

Придется все уязвимые порты типа 445 в случае необходимости закрывать другими средствами. Я правильно понял?

Про висту, возможно Вы правы, но не следует слишком винить ESET, это их дебют по части брандмауэров. Повторюсь, всё, что не разрешено, то запрещено. То есть, если у Вас 445 порт в правилах нигде не разрешён и не запрещён (к примеру), то при попытке соединения на этот порт, ESS спросит у Вас, что делать. Если для внешней сети у Вас выбран ограниченный режим, а не доверенный, то 445 порт закрыт извне. Смотрите скрин

выбрана опция "Показать окно предупреждений с выбором действия".

Лучше на автомат поставьте.

[Matias]

В режиме высокой эффективности результат обнаружения заразы в траффике выглядит так, как на скриншоте

Эйкара в архиве Нод поймал еще в режиме высокой совместимости. Примерно такое же окно тогда и появилось. Есть ли еще отличия между этими двумя режимами?

[ALEX(XX)]

Эйкара в архиве Нод поймал еще в режиме высокой совместимости. Примерно такое же окно тогда и появилось. Есть ли еще отличия между этими двумя режимами?

Вобщем коротко: Высокая эффективность обеспечивает надёжную работу антивируса, в то время как Высокая совместимость обеспечивает надёжную работу программы. Вот как-то так. Но проблем в работе из-за высокой эффективности ни разу не наблюдал

[aleksdem]

Про висту, возможно Вы правы, но не следует слишком винить ESET, это их дебют по части брандмауэров. Повторюсь, всё, что не разрешено, то запрещено. То есть, если у Вас 445 порт в правилах нигде не разрешён, то при попытке соединения на этот порт, ESS спросит у Вас, что делать. Если для внешней сети у Вас выбран ограниченный режим, а не доверенный, то 445 порт закрыт извне. Смотрите скрин

Странно все это. У меня, в отличие от Вашего скрина, все разрешено. Хотя зона выбрана абсолютной защиты. Птицы я то поснимал, но эффект от этого нулевой - приложениям, использующим соответствующие порты разрешен выход в интернет. Если бы было так, как у Вас, вопрос вообще бы не возник.

[santy]

На странице теста антивирусов на windowsfaq есть 3 варианта эйкара. Среди них есть зараженный архив и Нод моментально отреагировал на него, правда, не блокировал доступ автоматически, а только предложил это сделать, поскольку в настройках IMON выбрана опция "Показать окно предупреждений с выбором действия".

С моими настройками модуля IMON нормальная реакция на все три варианта eicar: *.rar, *.zip, *.com
-----
Bремя Mодуль Oбъект Имя Bирус Действие Пользователь Информация
06.03.2008 9:03:38 IMON файл _http://www.windowsfaq.ru/serv/viruses/eicar.com
Eicar тест файла Связь завершена *******

Bремя Mодуль Oбъект Имя Bирус Действие Пользователь Информация
06.03.2008 8:53:49 IMON архив _http://www.windowsfaq.ru/serv/viruses/eicar.rar
Eicar тест файла Связь завершена *******

Bремя Mодуль Oбъект Имя Bирус Действие Пользователь Информация
06.03.2008 8:54:05 IMON архив _http://www.windowsfaq.ru/serv/viruses/eicar.zip
Eicar тест файла Связь завершена *******

Добавлено через 4 минуты

Вообще, я очень признателен Вам за ответы и желание помочь. Непонятно только, почему другие форумчане (причем явные сторонники Eset), не могут (или не хотят) ответить на вопрос. Виной моя неквалифицированность или "неквалифицированность" Eset?

К сожалению, с ESS не работаю. Нод32 использую в работе достаточно давно.

[XP user]

@ Marielito07:

* Вы уверены, что в системе не остались старые драйвера других (уже удалённых) программ защиты?
* Какие модули ActiveX активны в IE?
Возможно имеет смысл выложить журнал Autoruns? Журнал можно сохранить через File - SaveAs.

Paul

[ALEX(XX)]

Странно все это. У меня, в отличие от Вашего скрина, все разрешено. Хотя зона выбрана абсолютной защиты. Птицы я то поснимал, но эффект от этого нулевой - приложениям, использующим соответствующие порты разрешен выход в интернет. Если бы было так, как у Вас, вопрос вообще бы не возник.

Вы брали сборку с оф. сайта? Поскольку я не пользуюсь ESS, то я вчера взял триальную английскую сборку с оф. сайта и псмотрел, что да как... Пока что русская сборка доступна только зарегистрированным пользователям, но у меня нет лицензии на ESS

[aleksdem]

Вы брали сборку с оф. сайта? Поскольку я не пользуюсь ESS, то я вчера взял триальную английскую сборку с оф. сайта и псмотрел, что да как... Пока что русская сборка доступна только зарегистрированным пользователям, но у меня нет лицензии на ESS

Да, с офсайта. Могу, в принципе, куда-нибудь выложить. Кстати, еще одно интересное наблюдение: если создать вручную запрещающее правило, например, для 445 порта, становится невозможным снять птицу с аналогичного разрешающего, которое Eset самостоятельно поднимает выше и, естественно, оно имеет больший приоритет. Т.е., фитча невозможности запрета контактов с Microsoft явно задумана и успешно реализована разработчиками!
Осталось выяснить, это относится только к русскоязычным пользователям или нет?

Добавлено через 10 минут

@ aleksdem:

* Вы уверены, что в системе не остались старые драйвера других (уже удалённых) программ защиты?
* Какие модули ActiveX активны в IE?
Возможно имеет смысл выложить журнал Autoruns? Журнал можно сохранить через File - SaveAs.

Paul

Извините, я не совсем понял, как это относится к моему вопросу?

[XP user]

Извините, я не совсем понял, как это относится к моему вопросу?

Простите, это я не вам. Это вопрос был про eicar. Я имел в виду @ Marielito07 Сейчас поправлю своё сообщение...

Paul

[ALEX(XX)]

Да, с офсайта. Могу, в принципе, куда-нибудь выложить. Кстати, еще одно интересное наблюдение: если создать вручную запрещающее правило, например, для 445 порта, становится невозможным снять птицу с аналогичного разрешающего, которое Eset самостоятельно поднимает выше и, естественно, оно имеет больший приоритет. Т.е., фитча невозможности запрета контактов с Microsoft явно задумана и успешно реализована разработчиками!
Осталось выяснить, это относится только к русскоязычным пользователям или нет?

Я сегодня ещё посмотрю, но скорее всего вечером, дома. Поскольку сейчас буду весь в работе. Аж самому интересно стало

[santy]

3версия аналогично детектит все разновидности eicar: (*.zip, *.rar, *.com), но наблюдается интересный эффект... если установить активный режим для браузера (в частн.Опера), то после детекта, доступ к странице прекращен, если же пассивный - то вижу многократное сообщение о детекте-прекращении доступа.