ESET (NOD32): установка, настройка, проблемы в работе

[XP user]

Кстати, еще одно интересное наблюдение: если создать вручную запрещающее правило, например, для 445 порта, становится невозможным снять птицу с аналогичного разрешающего, которое Eset самостоятельно поднимает выше и, естественно, оно имеет больший приоритет.

Импортировать и экспортировать файл конфигурации даёт? Мне было бы интересно посмотреть.

Т.е., фитча невозможности запрета контактов с Microsoft явно задумана и успешно реализована разработчиками! Осталось выяснить, это относится только к русскоязычным пользователям или нет?

Вот это я не могу себе представить...

Paul

[aleksdem]

Импортировать и экспортировать файл конфигурации даёт? Мне было бы интересно посмотреть.

Вот это я не могу себе представить...

Paul

Файл конфигурации загрузил. А что касается второго вопроса, если только у ALEX последняя английская версия ESS, то факт налицо.

[aleksdem]

Загрузил файл конфигурации в архиве, а то что-то не прицепился..

[XP user]

Загрузил файл конфигурации в архиве, а то что-то не прицепился..

Спасибо. Сейчас посмотрю.

Добавлено:
Посмотрел.
Из раздела - <NODE NAME="EPFWDATA" TYPE="XML">
Вот это мне не очень нравится - правила без наименования.

<RULE ID="80100081" DISABLED="1" MODIFIED="2008/03/05 16:44:20" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200080" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200081" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200180" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200181" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200182" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200183" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200281" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200280" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200300" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80200301" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300080" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300081" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300082" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80300084" DISABLED="1" MODIFIED="2008/03/05 10:46:15" USER_NAME="C630557E041D447\AF" />
<RULE ID="80100180" DISABLED="0" MODIFIED="2008/03/05 16:44:57" USER_NAME="C630557E041D447\AF" />
<RULE ID="80100181" DISABLED="0" MODIFIED="2008/03/05 16:44:57" USER_NAME="C630557E041D447\AF" />
<RULE ID="80000100" DISABLED="0" MODIFIED="2008/03/05 16:44:51" USER_NAME="C630557E041D447\AF" />

Как я понял, это относится к файрволу. Там есть возможность:
* журнализировать ВСЁ и входщие и исходящие (хотя бы временно) для диагностики?
* дать название правилам, чтобы вы могли точно определить какое правило вызывает какую запись в журнале?

Paul

[aleksdem]

В общем, удалось закрыть порты только при помощи несовсем адекватных мер. На вкладке персональный фаервол- дополнительные настройки - снять все птицы возле правил в разрешенных службах. Хотя отношение они должны иметь только к доверенной зоне (так написано), но, как оказалось, распространяются на все зоны. Но разрешения всем системным приложениям на выход в интернет все-равно остаются.
Записать в журнал все события, регистрируемые фаерволом я не сумел, да и поймать момент, когда будет связь по 137 (например) порту сложно.

[XP user]

Записать в журнал все события, регистрируемые фаерволом я не сумел, да и поймать момент, когда будет связь по 137 (например) порту сложно.

Если он разрешил бы всё записывать (но прочитав конфиг, я подозреваю, что это не так - имеется только вариант для записи 'блокированных'), то тогда найти порт 137 в логах было бы не трудно.
P.S.: Я считаю, что файрвол, который не даёт записывать ВСЕ события в журналы - это не файрвол, а подделка...
P.S.2: Чтобы все правильно поняли - это не попытка с моей стороны развязать священную войну здесь - я это на всех форумах говорю. На форуме Comodo тогда сразу же испугались, и поправили положение...

Paul

[aleksdem]

Если он разрешил бы всё записывать (но прочитав конфиг, я подозреваю, что это не так - имеется только вариант для записи 'блокированных'), то тогда найти порт 137 в логах было бы не трудно.
P.S.: Я считаю, что файрвол, который не даёт записывать ВСЕ события в журналы - это не файрвол, а подделка...
P.S.2: Чтобы все правильно поняли - это не попытка с моей стороны развязать священную войну здесь - я это на всех форумах говорю. На форуме Comodo тогда сразу же испугались, и поправили положение...

Paul

В Eset для тестирования можно, приношу свои извинения. Кусочек лога прилагаю. Ну а на счет всего другого - подождем вердикта ALEX, может он что-то прояснит.

[XP user]

Народ такой вопрос почему при простешой проверке антивируса (nod32) на тестовый сценарий от eicar (http://www.windowsfaq.ru/serv/viruses/eicar.html), он абсолютн не реагирует, хотя в тоже время другие такие как Symantec или KAV, блочат, кто что может сказать, пробежался по настройкам всё стоит даже мой Firefox в активном сканирование у антивирусника находится, но всё равно пропускает спокойно!

Проверьте в файле конфигурации, под параметр
<PLUGIN ID="1000102">
не задан ли такой параметр:
<NODE NAME="ScanPlainText" VALUE="0" TYPE="DWORD" />
По моему он должен быть не '0', а '1'...

Paul

[aleksdem]

Если он разрешил бы всё записывать (но прочитав конфиг, я подозреваю, что это не так - имеется только вариант для записи 'блокированных'), то тогда найти порт 137 в логах было бы не трудно.

Paul

Опять не прицепился. Прилагаю кусок лога в архиве. Удалось мне обуздать, но не совсем так, как хотелось бы..

[XP user]

Опять не прицепился. Прилагаю кусок лога в архиве. Удалось мне обуздать, но не совсем так, как хотелось бы..

Любопытно... Он раза 3-4 написал:

Код:

Готового к использованию правила не найдено

Он при этом не спрашивает ваc ничего, и сам решит что делать?

Paul

[Marielito07]

@ Marielito07:

* Вы уверены, что в системе не остались старые драйвера других (уже удалённых) программ защиты?
* Какие модули ActiveX активны в IE?
Возможно имеет смысл выложить журнал Autoruns? Журнал можно сохранить через File - SaveAs.

Paul

1) Нет не уверен, дело в том что тут раньше стояла Symantec AntiVirus 10.0.2.2000 а теперь снёс и поставил Nod32 3.0.621
2) Модули поотключал большинство, но в этом смысла нету так как я использую Firefox
3) Журнал выложу, чуть по-поже

[XP user]

2) Модули поотключал большинство, но в этом смысла нету так как я использую Firefox

Ошибаетесь, к сожалению.

3) Журнал выложу, чуть по-поже

Нам журнал не нужен. Надо экспортировать файл конфигурации как сделал aleksdem. (сообщение 443)

Paul

[aleksdem]

Любопытно... Он раза 3-4 написал:

Код:

Готового к использованию правила не найдено

Он при этом не спрашивает ваc ничего, и сам решит что делать?

Paul

Хотя стоит интеактивный режим работы, он вообще ни разу ничего не спросил. (Кроме, как о разрешении на выход в инет сторонних приложений). За последнюю неделю пришлось тестировать последние версии Zon Alarm, Outpost (тоже, я Вам скажу, продукты с загадками), но чтобы так как Eset, - еще мне никто так голову не заморачивал.

[XP user]

Хотя стоит интеактивный режим работы, он вообще ни разу ничего не спросил. (Кроме, как о разрешении на выход в инет сторонних приложений). За последнюю неделю пришлось тестировать последние версии Zon Alarm, Outpsot (тоже, я Вам скажу, продукты с загадками), но чтобы так как Eset, - еще мне никто так голову не заморачивал.

Мда... Видимо там некоторые разрешения и запреты 'жёстко запрограммированные', так сказать; то есть - не подлежат изменению. Если так, то тогда уже без ревёрс-инжиниринга ничего не сделаете...
Будем ждать ALEX'a...

Paul

[Matias]

Привет всем!
Народ такой вопрос почему при простешой проверке антивируса (nod32)
на тестовый сценарий от eicar(http://www.windowsfaq.ru/serv/viruses/eicar.html), он абсолютн не реагирует

Дело в следующем. Нод нормально реагирует на ссылку в том случае, ессли ее скопировать и вставить в адресную строку браузера. При обычном переходе по этой ссылке реакция отсутствует. В чем разница между этими двумя действиями?

[XP user]

Дело в следующем. Нод нормально реагирует на ссылку в том случае, если ее скопировать и вставить в адресную строку браузера. При обычном переходе по этой ссылке реакция отсутствует.

Это не хорошо - я думаю, что совсем немногие пользователи так работают - большинство просто щёлкает...

Paul

[Marielito07]

Я сохранил как ты гришь но млин там чёрть ногу сломит, как ты в этом разберёшься я не понимаю!

[aleksdem]

Мда... Видимо там некоторые разрешения и запреты 'жёстко запрограммированные', так сказать; то есть - не подлежат изменению. Если так, то тогда уже без ревёрс-инжиниринга ничего не сделаете...
Будем ждать ALEX'a...

Paul

Так, немного разобрался. Пришлось снести и переустановить Eset. Оказывается, по умолчанию установка (полная) и дальнейшая работа фаервола в данной программе происходит в автоматическом режиме (т.е., для все известных ему приложений он создает правила автоматом). Никаких вопросов пользователю при установке программы на счет этого не задается. Пока я после установки программы включал расширенный режим настройки, вводил пароли, ESS успел создать кучу правил для системных приложений (благо, те при постоянно подключенном интернете и такой благосклонности фаервола немедленно поспешили во всемирную сеть). Вот почему у меня и ALEX разные правила на скринах. Ну а как потом сменить эти правила, я так и не понял.

[santy]

Дело в следующем. Нод нормально реагирует на ссылку в том случае, ессли ее скопировать и вставить в адресную строку браузера. При обычном переходе по этой ссылке реакция отсутствует. В чем разница между этими двумя действиями?

Кстати, на указанную ниже сссылку любой антивирус не будет реагировать.
может, в этом все дело?
_http://www.windowsfaq.ru/serv/viruses/eicar.html

[Matias]

Кстати, на указанную ниже сссылку любой антивирус не будет реагировать.
_http://www.windowsfaq.ru/serv/viruses/eicar.html

Приведенная вами ссылка "испорчена", поэтому на нее антивирус и не будет реагировать. Я же говорю про ссылку, оставленную Marielito07. Если скопировать ее в строку браузера и нажать ввод, Нод тут же выдаст алерт, а вот если просто щелкнуть по этой ссылке он никак не отреагирует. Почему?