Eset NOD32 - проблемы и решения

[gmx]

NOD32 - проблемы и решения

• Вопросы и ответы по функционированию и настройкам.
• Баги, глюки, трюки.

Все ссылки на закачку, серийники и пароли для обновления - в другой теме (кликай тута)!

Кто не понял - пеняйте на себя!
Borland.

Mini-FAQs
========================
Версия NOD32 3.* фильтрует весь HTTP и POP3 трафик через себя.

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
(оригинальный пост #1534727)

В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Поэтому, при настройках по умолчанию, Outpost больше не может контролировать соединения между браузером (и программным обеспечением, которое он считает браузерами, опять же по умолчанию) и интернетом.
Вместо этого, после установки новой линейки ESET, брандмауэр Outpost предлагает создать при "первом" запуске браузера, правило для подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).
В случае вашего согласия, Вам уже предложат создать правило для "Eset NOD32 Service connection" для его подключения к Интернету.

Таким образом, используя подобный способ, вы теряете возможность выборочного контроля подключения к Интернету для каждого конкретного "браузерного" приложения, для которого вы выразите согласие на создания "разрешающего" правила подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).

Пример записи работы из "Eset NOD32 Service connection" из журнала Outpost:

Код:

23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2974   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2976   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  TCP соединение с 217.73.200.174:80 установлено  Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  TCP соединение с 77.88.21.11:80 установлено Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2978   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Соединение завершено    (отправлено: 607, получено: 461 байт)
23:39:52    IEXPLORE.EXE: 2820  Соединение завершено    (отправлено: 461, получено: 607 байт)

Подобное поведение можно отключить!

Для этого (на примере ESET NOD32 Antivirus 3):

• Открыть ESET NOD32 Antivirus
  • Если в левом нижем углу окна программы написано "Вид: обычный режим", то кликнуть на данный пункт и выбрать "Вкл. расширенный режим" или сразу нажать кнопку на клавиатуре "F5"
• Выбрать в появившемся верхнем меню "Настройки -> Дополнительные настройки..." или нажать кнопку на клавиатуре "F5"
• Перейти в пункт меню "Защита от вирусов и шпионских программ -> фильтрация протоколов"
• Убедиться, что отмечен пункт "Порты и приложения, классифицированные как браузеры Интернета или клиенты электронной почты"
• Выше найти пункт меню "Защита доступа в интернет"
• В нём найти пункт меню "HTTP"
• В нём найти пункт меню "Веб-браузеры"
• У нужного браузера в "квадратике" поставить/выбрать красный крест [X]
• Нажать "OK"

Всё. Теперь браузер будет подключаться к интернету напрямую, минуя драйвер "Eset NOD32 Service connection" и конечно же подчиняясь правилам Outpost
========================

[kasinv]

LaserDJ
AMON - настройка - обнаружение - сними галку- (Носители - дискеты, Сканировать загрузочные секторы - при выключении)

[UserNOD]

NOD32 2.70.16 Eng Release
P.S. Ключи в соседней теме (см. шапку).

[nopresent]

Только что скачал 2,70,16 с офф сайта, хочу обновиться - мне выдаётся сообщение (причём даже не проверяя логина и пароля, рубят на корню)
Update attempt failed (Access to server denied.)
по всем стандартным исетовским сервакам. это у них что-то глючит или это грабли новой версии?

Цитата:

nopresent:

Только что скачал 2,70,16 с офф сайта, хочу обновиться - мне выдаётся сообщение (причём даже не проверяя логина и пароля, рубят на корню)
Update attempt failed (Access to server denied.)
по всем стандартным исетовским сервакам. это у них что-то глючит или это грабли новой версии?

Странно... у меня все нормально

[The_Izon]

при установки 2.70.16 перестает грузить страницы в IE, а в Опере все работает. К чему бы это?

[duke55]

Пацаны, кто нить с такой траблой связывался?

Есть машинка Celeron 366 с 64М памяти... Внедрил в её XP SP2... Соптимизил (довольно быстренько грузится)... Поставил NOD (2.50.26, потом 2.51.26 пробал... результат одинаков)... После запуска вываливается эррор с надписью типа "Ошибка при запуске резидентной защиты"... Короче, AMON автоматом не стартует, но потом через несколько секунд ручками запускается без проблем...

[d3mon]

здрасте, вот такой вопрос (не знаю, задавался ранее или нет, но я не нашёл )
Имею комбинацию: The Bat! и NOD32 последней версии,
после стягивания почты и проверки их на вирусы, внизу каждого письма пишется следующее:

"__________ NOD32 1898 (20061203) Information __________

This message was checked by NOD32 antivirus system.
http://www.eset.com"

Можно ли это как-нибудь убрать?
Спасибо

[alex_ps70]

Цитата:

d3mon:
внизу каждого письма пишется следующее:

Настройка EMON - > Уведомления -> выбираешь режим добавки

[d3mon]

alex_ps70
что-то не получается
возможно не хватает моего английского.... (у меня англ. версия)
можно немножко по-конкретнее

[Cartman]

d3mon, emon, setup, notifications. Там выставляешь to infected email only ну или вообще never, если хочешь, чтобы даже при наличии вируса в письме ничего не писалось. Вирус в последнем случае все равно будет удален.

[GAS]

Когда получаешь почту TheBat! 'ом со всех ящиков почта проверяется на лету НОДом + пишет в конце письма мол все пучком, а Гугловскую почту не проверяет и не добавляет в конце письма, что мин нет.

[Borland]

Цитата:

GAS:
а Гугловскую почту не проверяет и не добавляет в конце письма, что мин нет.

Правильно. ГМайл-почта качается с нестандартных портов и в шифрованном (SSL) виде. Антивирус просто не в состоянии проверять шифрованные данные, и, к тому же, может просто-напросто не догадываться искать почту на этих портах...

[GAS]

Цитата:

Сообщение от Borland

Правильно. ГМайл-почта качается с нестандартных портов и в шифрованном (SSL) виде. Антивирус просто не в состоянии проверять шифрованные данные, и, к тому же, может просто-напросто не догадываться искать почту на этих портах...

Да ето понятно... А сделать то что можно, чтоб проверяло?

[Borland]

Цитата:

GAS:
А сделать то что можно, чтоб проверяло?

А ничего не сделаешь... Для проверки зашифруй любым стойким алгоритмом любой вирус: в зашифрованном виде он, конечно, не запустится (исключая спец. упаковщики, которые сами зачастую распознаются как вирусы). Но и ни один антивирус его не распознает. 100%.
Т.е. шифрование потока напрочь исключает (точнее - делает бессмысленной) его проверку.
При записи письма на диск (уже в расшифрованном виде) письмо всё равно проверяется (если почтовая база не внесена в список исключений антивирусного монитора и этот монитор включён). И если будет найден вирь - антивирус громко заорёт об этом (или удалит по-тихому, или оставит без изменений тоже по-тихому - опять же зависит от настроек).
Либо, чтобы эти письма проверялись в обязательном порядке, организуй сбор почты с ГМайл не напрямую, а через промежуточный сервер: либо настрой "Сборщик почты" на сервисе типа km.ru и оттуда уже её забирай, либо организуй редирект почты с ГМайл на ящик на одном из бесплатных серверов и забирай почту уже оттуда.
Других вариантов не вижу.

[sasvlad]

Прошу помощи!
Nod 32 (2.70.16) не может обновиться. После закачки апдейта из Инета выскакивает сообщение:
Error occurred while updatinng program modules (cannot replace the current file. Check the system TEMP and TMP variables.)

Проверил путь к TEMP директории,- C:\******\Local Settings\Temp и TMP адресована туда же. Пробовал задавать системе путь в С:\Windows\Temp - не помогло.

Подскажите, в чем дело?


Спасибо, разобрался сам.

[Cartman]

Цитата:

Borland:
Других вариантов не вижу.

Вариант номер 2 (почти оффтопный). Настраиваем бат так, чтобы атачи хранились отдельно от писем. При записи атача на диск антивирус сообщит, что обнаружен вирус.
Вариант номер 3 (вообще оффтопный) использовать антивирус понимающий ключи запуска, KAV например, в бате прописывает этот антивирус для проверки писем.
НОД по моему коммандную строку не понимает.

А кто подскажет где хранятся непосредственно базы и куда их соответственно подливать, если такое вообще возможно

Цитата:

Borland:
может просто-напросто не догадываться искать почту на этих портах

Ну это очень легко решаемо настройкой IMON на закладке POP3

[Cartman]

Disciples, и что это даст? Borland вполне доступно объяснил, что проверять шифрованный трафик смысла нет никакого.

[UserNOD]

Цитата:

Cartman:
НОД по моему коммандную строку не понимает.

Нельзя так про НОД!

Цитата:

NOD32 Command Line Parameters
The parameters and their effects:
Many parameters are enabled or disabled with a plus(+) or minus (-) sign. For example, to enable the scanner self-check use “/selfcheck+” , to disable it, use “/selfcheck-”.
General
/help Display the list of program switches
/selfcheck+ (-) Self-test enable (disable)
/expire+ (-) Enable (disable) the program expiration notice
/subdir+ (-) Enable (disable) the sub-directories scanning
/sound+ (-) Sound warning enable (disable)
/list+ Create the list of all tested objects in the Log
/list- Include in the Log only the objects infected
/break+ (-) Enable (disable) testing intermission
/scroll+ (-) Enable (disable) Log scrolling
/quit+ (-) Quit/do not quit the program after scanning
Detection
/pattern+ (-) Enable (disable) testing using virus signatures
/heur+ (-) Enable (disable) heuristic analysis
/scanfile+ (-) Enable (disable) scanning of files
/scanboot+ (-) Enable (disable) boot sector scanning
/scanmbr+ (-) Enable (disable) master boot record (MBR) scanning
/scanmem+ (-) Enable (disable) scanning memory
/arch+ (-) Enable (disable) scanning archives (ZIP, ARJ, RAR, etc.)
/sfx + (-) Enable (disable) scanning self-extracting archives
/pack+ (-) Enable (disable) scanning runtime-packed files internally
/mailbox+ (-) Enable (disable) scanning mailboxes
/ntfs+ (-) Enable (disable) scanning NTFS streams
/adware Enable detection of adware, spyware and riskware
/unsafe Enable detection of potentially unsafe applications
/unwanted Enable detection of potentially unwanted applications
/local Scan all local non-removable media
/network Scan all network disks
/ext=<LIST> Add a new extension to the list of scanned files. (multiple entries are permitted, e.g., /ext=EXT1,EXT2)
/all Scan all files
/antistealth+ (-) Enable the Anti-Stealth technology against active rootkits
Heuristic analysis
/ah Enable advanced heuristics
/heur+ (-) Enable (disable) standard heuristics
Log
/log+ (-) Enable (disable) log file creation
/wrap+ (-) Enable (disable) wrapping text in log
/logappend Enable (disable) appending to log file
/logrewrite Enable rewriting of the Log file
/logsize=N Set Log file to a maximum size of N KB)
/log=<FILENAME> Set the Log file name (e.g.: /log=NOD.LOG)
Cleaning
/cleanmode Enables cleaning mode (the actions taken will depend on the action settings)
/clean Clean infected objects (if applicable)
/prompt Prompt for an action when a virus is detected
/rename Rename infected files
/delete Delete infected files
/quarantine Copy infected file to quarantine before taking further action (clean/delete)
Note: If the switches: /prompt, /rename, /delete/ or /replace are used concurrently with the /clean switch, the corresponding action will be carried out only if the threat cannot be cleaned. The further a parameter is listed, the higher priority it has. For instance, using the "/clean /delete /prompt " parameters will result in that the "/prompt " parameter will supersede the "/clean /delete" parameters.

Гы, ну извини, под рукой просто нет, а суппорт лень было читать. Тогда предыдущий пост и не оффтоп вовсе. Cartman