Eset NOD32 - проблемы и решения

[gmx]

NOD32 - проблемы и решения

• Вопросы и ответы по функционированию и настройкам.
• Баги, глюки, трюки.

Все ссылки на закачку, серийники и пароли для обновления - в другой теме (кликай тута)!

Кто не понял - пеняйте на себя!
Borland.

Mini-FAQs
========================
Версия NOD32 3.* фильтрует весь HTTP и POP3 трафик через себя.

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
(оригинальный пост #1534727)

В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Поэтому, при настройках по умолчанию, Outpost больше не может контролировать соединения между браузером (и программным обеспечением, которое он считает браузерами, опять же по умолчанию) и интернетом.
Вместо этого, после установки новой линейки ESET, брандмауэр Outpost предлагает создать при "первом" запуске браузера, правило для подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).
В случае вашего согласия, Вам уже предложат создать правило для "Eset NOD32 Service connection" для его подключения к Интернету.

Таким образом, используя подобный способ, вы теряете возможность выборочного контроля подключения к Интернету для каждого конкретного "браузерного" приложения, для которого вы выразите согласие на создания "разрешающего" правила подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).

Пример записи работы из "Eset NOD32 Service connection" из журнала Outpost:

Код:

23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2974   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2976   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  TCP соединение с 217.73.200.174:80 установлено  Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  TCP соединение с 77.88.21.11:80 установлено Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2978   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Соединение завершено    (отправлено: 607, получено: 461 байт)
23:39:52    IEXPLORE.EXE: 2820  Соединение завершено    (отправлено: 461, получено: 607 байт)

Подобное поведение можно отключить!

Для этого (на примере ESET NOD32 Antivirus 3):

• Открыть ESET NOD32 Antivirus
  • Если в левом нижем углу окна программы написано "Вид: обычный режим", то кликнуть на данный пункт и выбрать "Вкл. расширенный режим" или сразу нажать кнопку на клавиатуре "F5"
• Выбрать в появившемся верхнем меню "Настройки -> Дополнительные настройки..." или нажать кнопку на клавиатуре "F5"
• Перейти в пункт меню "Защита от вирусов и шпионских программ -> фильтрация протоколов"
• Убедиться, что отмечен пункт "Порты и приложения, классифицированные как браузеры Интернета или клиенты электронной почты"
• Выше найти пункт меню "Защита доступа в интернет"
• В нём найти пункт меню "HTTP"
• В нём найти пункт меню "Веб-браузеры"
• У нужного браузера в "квадратике" поставить/выбрать красный крест [X]
• Нажать "OK"

Всё. Теперь браузер будет подключаться к интернету напрямую, минуя драйвер "Eset NOD32 Service connection" и конечно же подчиняясь правилам Outpost
========================

[Cartman]

VIB, лучше в обоих программах, если в почтовике будет включена проверка - сервак будет сразу отфутболивать письма с вирусами, а не выкусывать вирус при отправке.

[Jaded]

Что-то никак не найду где отключается возможность отправки подозрительных файлов в Eset?

[Emelman]

Jaded, для этого тебе нужно зайти по следующему пути:
"Служебные программы NOD32" -> "Настройки системы NOD32" -> затем нажать на кнопку "Настройки" и в открывшемся окне найти вкладку "Система своевременного обнаружения". Английских названий данных разделов не знаю, т.к. пользуюсь русской версией.

[DrTm]

А имеется ли в NOD модуль проверки почты под The Bat ?

[Cartman]

DrTm, imon и так проверяет почтовый траффик. Если соединение идет по шифрованным протоколам можно настроить почтовый ящик так, чтобы он сохранял атачи не в базе а отдельными файлами, тогда amon будет материться при сохранении батом файлов с вирусами.

[Emelman]

DrTm, а какая разница под чем ты принимаешь почту? NOD32 проверяет все, что идет через почтовые порты (110 и 25). Естесственно при условии, что ты правильно настроил антивирус.
Пример настройки NOD32 лежит здесь: _http://www.wilderssecurity.com/showthread.php?t=37509&page=1&pp=25

[Masterrs]

распространенная проблема при загрузке системы:ошибка при связи со службой ядра nod32. на вирусы проверял, на другой машине тоже самое. что еще может быть?

[nextstep]

Что-то не так? Последнее загруженное обновление у меня датируется срединой мая. По последним работающим ключам нет обновлений (с официала). Неужели ЕСЕТ в течении месяца не выложил ни одного обновления сигнатурной базы??? У остальных таже картина или только я такой уникальный? Кто знает в чёт причина?

[kasinv]

Цитата:

Сообщение от nextstep

Что-то не так?

Обновления идут ежедневно, вот последняя информация -
Bepcи виpуcнoй бaзы ныx: 2335 (20070616)
Дaтиpoвaнa: 16 июня 2007 г.
Cбopкa виpуcнoй бaзы дaнныx: 10058

Цитата:

Сообщение от ЭнеРгеТиК

Доброго времени суток!!!

Возникла такая проблема стоит
NOD32.W.NT.2000.XP.2003.Vista.32.64.BIT.administrator.2.70.25.RUS

при вводе ключей он начинает загрузку обновлений но завершить ее он никак не может, так вот уже почти месяц не обновленный.

В чем может быть проблема и как ее можно решить???

Заранее спасибо!!!

файерволл стоит? если да пропиши НОД в исключения!

прочел , что можно его повесить на внешний интерфейс шлюза, как его необходимо настроить.. Стоит траф инспектор (Traffic Inspector). Можно ж? Совместно прилагающаяся к TI необновляемая Панда слегка гложит. Есть практика такая у кого-нибудь?

[gmx]

Цитата:

Сообщение от BadIM

прочел , что можно его повесить на внешний интерфейс шлюза, как его необходимо настроить.. Стоит траф инспектор (Traffic Inspector). Можно ж? Совместно прилагающаяся к TI необновляемая Панда слегка гложит. Есть практика такая у кого-нибудь?

Ну дык IMON на сооветствующий порт настрой...
На 80 и 8080 и так уже настроен.
Еще можно понизить уровень совместимости и повысить уровень эффективности TI.
Проверяется, что входящий, что исходящий траф. Чтобы каждый раз не отвечать вручную остается настроить действие, чтобы запрос отклонялся автоматически. Вот и все...

...попробовал все, в общем, трабл следующий, качаю архив со 100 вирусами, 99 из них NOD, тот, что на шлюзе, показывает, что они присутствуют, нО позволяет пролезть архиву до % 90 - даже 100 на машину пользователя... потом зависает скачка с клиентской машины..... и то, что он "типа успел скачать" (файл с вирями, архив) - валяется на сохраняемом месте с возможностью извлечь заразу.........

...повторюсь, на шлюзе IMON детектировал 99 вирусов, но архив этот NOD пропустил до конечной тачки.. пчему не удалил, не залочил? ...есть версии?


...на конечной машине начинает визжать Trend ...OfficeScan

[Emelman]

BadIM, архив с вирусами на конечную машину дошел полностью? Есть возможность его распаковать? Или же там лежит кусок (который успел проскочить) архива оборванный на пол-пути? У меня лично при скачивании "кряка" к программе, NOD обнаружил троян, и на жестком диске остался лишь кусок архива без возможности распаковки. И второе: Если рисковать не хочешь, то в настройках NOD'а (а именно IMON'а) на закладке "HTTP" можно поставить опцию "Автоматически отклонить загрузку файла". (По-умолчанию стоит "Показать окно предупреждения с выбором действия").

Emelman, повторюсь.
Этот НОД стоит на шлюзе. Включен IMON на порты 80, 8080, 1080. Качаю архив со 100 вирусами с клиентской машины (на кот. стоит свой АВ - Trend). Начинает !тянуться архив (сразу отвечу на второй вопрос: опция "Отклонить" конечно включена, раз НОД на серваке находится), докачивает до 90% и виснет закачка.... нО. недокачаный архив - лежит себе спокойно со всей базой дряни и распаковать его Можно. (Это при условии, что Trend выгружен, иначе Он начинает хафкать).

Лезу на сервак - смотрю:
"проверено стока-то"
"инфецировано - 99"
"очищено - 12"

Пчемуж он не отфутболил файл на подходе, раз заметил.
...от такая вот ситуейшн

[Alex Dark]

размер архива какой? Под определение большого файла оне у тебя не попадает?

добавлено через 4 минуты
а может ты даш ссылку на файлец, я посмотрю как у меня среагирует?
Вообщето, сколь ко раз грузил заразу из инета, на клиентской машине находил только название от архива (размер 0).

[Cartman]

BadIM, поситай правила в частности что у нас бывает за распостранение вирусов и вредоносных программ.

Alex Dark, фигли людей провоцировать ? Еще раз увижу - погон повешу

Alex Dark, архив 1.4 метра.. сцыль могу в личку кинуть, если хочешь.

Такой вопроси: при отсутствии интернета на дому, как можно объновить базу? На каспере, на авасте знаю можно файл базы скачать и обновление произвести. А в ноде есть ли такая возможность? У меня на работе стоит английский нод 2.70.31, а дома 2.70.25 русский, можно ли создать базу, чтоб подходила к 2.70.25? Не хочу экспериментировать в рабочем компе, он начальника. Подскажите, что и как? Благодарю.

[ZAHAL]

Подскажите последнюю хорошую версию NOD32,которая будет работать на XP SP1?