Eset NOD32 - проблемы и решения

[gmx]

NOD32 - проблемы и решения

• Вопросы и ответы по функционированию и настройкам.
• Баги, глюки, трюки.

Все ссылки на закачку, серийники и пароли для обновления - в другой теме (кликай тута)!

Кто не понял - пеняйте на себя!
Borland.

Mini-FAQs
========================
Версия NOD32 3.* фильтрует весь HTTP и POP3 трафик через себя.

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
(оригинальный пост #1534727)

В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Поэтому, при настройках по умолчанию, Outpost больше не может контролировать соединения между браузером (и программным обеспечением, которое он считает браузерами, опять же по умолчанию) и интернетом.
Вместо этого, после установки новой линейки ESET, брандмауэр Outpost предлагает создать при "первом" запуске браузера, правило для подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).
В случае вашего согласия, Вам уже предложат создать правило для "Eset NOD32 Service connection" для его подключения к Интернету.

Таким образом, используя подобный способ, вы теряете возможность выборочного контроля подключения к Интернету для каждого конкретного "браузерного" приложения, для которого вы выразите согласие на создания "разрешающего" правила подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).

Пример записи работы из "Eset NOD32 Service connection" из журнала Outpost:

Код:

23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2974   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2976   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  TCP соединение с 217.73.200.174:80 установлено  Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  TCP соединение с 77.88.21.11:80 установлено Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2978   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Соединение завершено    (отправлено: 607, получено: 461 байт)
23:39:52    IEXPLORE.EXE: 2820  Соединение завершено    (отправлено: 461, получено: 607 байт)

Подобное поведение можно отключить!

Для этого (на примере ESET NOD32 Antivirus 3):

• Открыть ESET NOD32 Antivirus
  • Если в левом нижем углу окна программы написано "Вид: обычный режим", то кликнуть на данный пункт и выбрать "Вкл. расширенный режим" или сразу нажать кнопку на клавиатуре "F5"
• Выбрать в появившемся верхнем меню "Настройки -> Дополнительные настройки..." или нажать кнопку на клавиатуре "F5"
• Перейти в пункт меню "Защита от вирусов и шпионских программ -> фильтрация протоколов"
• Убедиться, что отмечен пункт "Порты и приложения, классифицированные как браузеры Интернета или клиенты электронной почты"
• Выше найти пункт меню "Защита доступа в интернет"
• В нём найти пункт меню "HTTP"
• В нём найти пункт меню "Веб-браузеры"
• У нужного браузера в "квадратике" поставить/выбрать красный крест [X]
• Нажать "OK"

Всё. Теперь браузер будет подключаться к интернету напрямую, минуя драйвер "Eset NOD32 Service connection" и конечно же подчиняясь правилам Outpost
========================

[Borland]

Цитата:

Сообщение от daimon_p

Никто не стыкался с тем - что Нод пропускает вирус ?

Цитата:

Сообщение от Borland

Это нормально. Как уже неоднократно говорилось, идеальных антивирусов не существует в природе. Для любого антивируса с самыми свежими обновлениями всегда можно найти вирус, которого он не отловит.

[Makc666]

Цитата:

Сообщение от daimon_p

Никто не стыкался с тем - что Нод пропускает вирус ? Появился какой-то - отрубает доступ к сетим

Я Вам так скажу. Всё ещё зависит от того, как Ваш антивирус настроен.
Может Вы не включили "Эврестический анализ" или "Потенциально нежелательное ПО". Ктож Вас знает.

Чтобы вирус на машине активировался, нужно или Windows XP без Пакетов обновлений держат на машине, или запускать разные файлы неизвестные, или в браузере шляться где не нужно.

И, например, версия 2.* давно уже много чего не ловит и уже не будет ловить.
3.* намного лучше справляется.

Так что на нормальной машине, за которой следит и за которой сидит человек с руками, проблем не будет в 99%.

[MaxTolya]

Цитата:

Сообщение от daimon_p

Никто не стыкался с тем - что Нод пропускает вирус ? Появился какой-то - отрубает доступ к сетим

Я сталкивался. Нод 2.7 с последними обновлениями регулярно ловил вирь во вновь созданом файле, а источник заразы не цеплял даже при полной проверке. Причем сеть падала не на зараженном компьютере, а на том, к которому обращались. Лечил Trojan_Remover_6.7.4 и утилитой CureIt от DRWEB

Вчерась еще один вир ловил - нод 2.7 так же его не видел. Вир создавал на флешке к каждой папке exe-шник с тем же именем.

Может тройка ловит лучше? Кто-нибудь сравнивал?

[MaxTolya]

Цитата:

Сообщение от Makc666

Чтобы вирус на машине активировался, нужно или Windows XP без Пакетов обновлений держат на машине, или запускать разные файлы неизвестные, или в браузере шляться где не нужно.

Все верно, конечно, но не все пользователи имеют возможность ставить бесконечные заплатки на виндовые дырки. А насчет шляться где попало - сейчас можно и на вполне пристойном сайте вирь схватить. И даже просто подключившись без фаервола (что большинство юзеров и делает).

Цитата:

Сообщение от Makc666

И, например, версия 2.* давно уже много чего не ловит и уже не будет ловить.
3.* намного лучше справляется.

Обновляйте антивирус. Проверяйте дополнительно другим антивирусом. И все равно гарантии 100% не будет. Будьте бдительны

[FF]

вот такая беда - nod32 на моем компе обновляется с инета и зеркалит обновления в папку на сервере, с которой обновляются все остальные. недавно я поменял свой пароль в локалке и зеркало перестало обновлятся. никаких ошибок в логах. что это может быть ? проблема с подключением к серверу, в локальную папку все делает нормально. где он мог запомнить еще логин на подключение к серверу кроме advanced setup ? там я уже пытался поменять настройки

[Mik]

Всем привет!
Подскажите плз, как настроить "ESET Smart Security 3.0.672.0", чтобы не тормозил Осел (eMule 0.49b).

[tinto]

Непонятки с моим НОДом (тройка). Вставляю одну и ту же флешку, каждый раз красный флаг и удаление авторана Fujajack какого-то. Удаление до бесконечности... Паранойя, что ли? Что характерно, на компах с другими антивирями (в т.ч. и Каспером) никаких тревог.

[nopresent]

Цитата:

Сообщение от tinto

Непонятки с моим НОДом (тройка). Вставляю одну и ту же флешку, каждый раз красный флаг и удаление авторана Fujajack какого-то. Удаление до бесконечности... Паранойя, что ли? Что характерно, на компах с другими антивирями (в т.ч. и Каспером) никаких тревог.

Видимо вирус на компе, в который вставляется флешка. Вирус безобидно лежит в системе, при обнаружении флешки - копируется на неё - в этот момент срабатывает нод. Скачай свежий курит и прогони им систему.

[Makc666]

Цитата:

Сообщение от Mik

Всем привет!
Подскажите плз, как настроить "ESET Smart Security 3.0.672.0", чтобы не тормозил Осел (eMule 0.49b).

Добавить процесс eMule в исключения полностью.

Цитата:

Сообщение от FF

вот такая беда - nod32 на моем компе обновляется с инета и зеркалит обновления в папку на сервере, с которой обновляются все остальные. недавно я поменял свой пароль в локалке и зеркало перестало обновлятся. никаких ошибок в логах. что это может быть ? проблема с подключением к серверу, в локальную папку все делает нормально. где он мог запомнить еще логин на подключение к серверу кроме advanced setup ? там я уже пытался поменять настройки

Так что перестало обновляться:

• Зеркало на центральном компьютере?
• Или дочерние компьютеры не могут подключиться к папке-зеркалу центрального компьютера?

Или объясните схему заново, более понятным языком - по пунктам.

[Mik]

Цитата:

Сообщение от Makc666

Добавить процесс eMule в исключения полностью.

там.

Я ввел в исключения "eMule.exe". К сожалению, не помогло: для Kad сети стоит :
" Статус: Файрвол
UDP Статус: Файрвол"

Может как-то иначе надо?

[VZL]

Можно ли ставить обновление версии поверх работающий ESET Smart Security или надо все (или частично) отключать?

[Borland]

VZL, теоретически можно (и нужно).
На практике - лучше удалить имеющуюся версию и поставить новую.

[IVM]

Долго эксплуатировал 2.7, т.к. трафик ограничен, то поставил админскую версию и Зеркало. Остальные компы обновлял с флешки, копируя на неё файлы зеркала.

А как быть с 3.2?
Админской версии с зеркалом не нашёл.

Нужна возможность обновлять удалённые локальные копьютеры с флешки.

[Makc666]

Цитата:

Сообщение от IVM

А как быть с 3.2?

Мммм... что-то на сайте официальном нет такой.

А если почитать на официальном сайте?

Да и вопрос этот в этой теме уже поднимался и не раз.

http://www.esetrussia.ru/products/untitled.php

Цитата:

Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций и обеспечивает защиту файловых серверов и рабочих станций компании.

Возможность «Зеркала». Функция зеркала ESET позволяет ИТ-администратору ограничить полосу пропускания сети путем создания внутреннего сервера обновлений. В результате у рядовых пользователей нет необходимости выходить в Интернет для получения обновлений, что не только позволяет экономить ресурсы, но также сокращает общую уязвимость информационной структуры.

[IVM]

Makc666, дык вроде читать умею и даже справку открыл.

У меня Business Edition, но в Дополнительных настройках обновления вкладка Зеркало - отсутствует.

[Emelman]

IVM, Макс ведь не просто так тебе сказал:

Цитата:

Сообщение от Makc666

Да и вопрос этот в этой теме уже поднимался и не раз.

А именно цитирую пост #1235:

Цитата:

Сообщение от nopresent

для этого необходимо настроить зеркало обновлений. Зеркало включается только при наличии файла лицензии (в варезе есть ссылки на этот файл). Файл Устанавливается в SEtup - Miscellaneous. Затем переходим на вкладку Update - Advansed update setup - там появляется вкладка Mirror (если не появилась закройте нод и повторите попытку). folder mirror - это и будет путь к папке, с которой надо обновлять остальные машины. или можно включить встроенный HTTP update сервак. там же в настройках.

P.S. Ты рискуешь разбудить зверя Borland'а. Почитай его мнение по данному вопросу в комментах данного поста.

[IVM]

Emelman, спасибо. Но вышеперечисленные манипуляции (с установкой) не понадобились.

Вкладка Зеркало появилась сразу после простого копирования файла лицензии в папку License

Далее уже действительно всё просто и понятно и практически ничем не отличается от 2.х

[gromada]

Не знаю как у других, но у меня зеркало раз в 40 дней пересает отдавать обновы.
Приходится переназначать другую папку и очищать кеш.
И так по кругу.
(Файл лицензии, как и сам НОД честно купленный)

[Wicked_CAT]

Помогите пожалуйста избавиться от трояна. Измучил он меня. Я уже и систему сменил, через пару часов он снова появился. Диски все проверены, НОД ничего не находит при сканировании. Поставил дополнительно программку Ad-Aware, которая должна бы избавлять от всякого рода торянов и прочей нечисти, так-же ничего не находит.

Троян проявляет себя в виде диалера, звонилки в интернет. Как только пытаюсь установить соединение с инетом, он выкидывает вот такое окно, приходится 20-30 раз закрывать его, прежде чем пустит в инет обычной программой дозвона. НОД определяет его как Agent.NVL, удаляет, но после каждого перезагруза он снова на месте. А может это разные вирусы. Но меня больше донимает диалер. Как от него избавиться?

[Emelman]

Wicked_CAT, а традиционную проверку проводил (загрузка с LiveCD и тщательная проверка CureIt'ом)?