Eset NOD32 - проблемы и решения

[gmx]

NOD32 - проблемы и решения

• Вопросы и ответы по функционированию и настройкам.
• Баги, глюки, трюки.

Все ссылки на закачку, серийники и пароли для обновления - в другой теме (кликай тута)!

Кто не понял - пеняйте на себя!
Borland.

Mini-FAQs
========================
Версия NOD32 3.* фильтрует весь HTTP и POP3 трафик через себя.

• Порты используемые протоколом HTTP: 80, 8080, 3128 (по умолчанию)
• Порты используемые протоколом POP3: 110 (по умолчанию)

Линейка продуктов ESET 3.* и Agnitum Outpost Security Suity / Firewall 2008
(оригинальный пост #1534727)

В обновленном программном обеспечение ESET NOD32 Antivirus 3 и ESET Smart Security используется встроенный локальный прокси-сервер!

Поэтому, при настройках по умолчанию, Outpost больше не может контролировать соединения между браузером (и программным обеспечением, которое он считает браузерами, опять же по умолчанию) и интернетом.
Вместо этого, после установки новой линейки ESET, брандмауэр Outpost предлагает создать при "первом" запуске браузера, правило для подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).
В случае вашего согласия, Вам уже предложат создать правило для "Eset NOD32 Service connection" для его подключения к Интернету.

Таким образом, используя подобный способ, вы теряете возможность выборочного контроля подключения к Интернету для каждого конкретного "браузерного" приложения, для которого вы выразите согласие на создания "разрешающего" правила подключения к "Eset NOD32 Service connection" (локальному прокси-серверу).

Пример записи работы из "Eset NOD32 Service connection" из журнала Outpost:

Код:

23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2974   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2976   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  TCP соединение с 217.73.200.174:80 установлено  Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  TCP соединение с 77.88.21.11:80 установлено Allow All Outbound TCP
23:39:52    EKRN.EXE: 1412  Входящее TCP-соединение на 127.0.0.1:2978   Eset NOD32 Service connection
23:39:52    IEXPLORE.EXE: 2820  TCP соединение с 127.0.0.1:30606 установлено    ~Автоматически созданное правило для соединения
23:39:52    EKRN.EXE: 1412  Соединение завершено    (отправлено: 607, получено: 461 байт)
23:39:52    IEXPLORE.EXE: 2820  Соединение завершено    (отправлено: 461, получено: 607 байт)

Подобное поведение можно отключить!

Для этого (на примере ESET NOD32 Antivirus 3):

• Открыть ESET NOD32 Antivirus
  • Если в левом нижем углу окна программы написано "Вид: обычный режим", то кликнуть на данный пункт и выбрать "Вкл. расширенный режим" или сразу нажать кнопку на клавиатуре "F5"
• Выбрать в появившемся верхнем меню "Настройки -> Дополнительные настройки..." или нажать кнопку на клавиатуре "F5"
• Перейти в пункт меню "Защита от вирусов и шпионских программ -> фильтрация протоколов"
• Убедиться, что отмечен пункт "Порты и приложения, классифицированные как браузеры Интернета или клиенты электронной почты"
• Выше найти пункт меню "Защита доступа в интернет"
• В нём найти пункт меню "HTTP"
• В нём найти пункт меню "Веб-браузеры"
• У нужного браузера в "квадратике" поставить/выбрать красный крест [X]
• Нажать "OK"

Всё. Теперь браузер будет подключаться к интернету напрямую, минуя драйвер "Eset NOD32 Service connection" и конечно же подчиняясь правилам Outpost
========================

[d3mon]

Cartman
у меня вроде всё так и настроенно, только всё равно подпись есть

[tinto]

Прошу помощи NOD-гуру. На сабж пересел несколько дней назад, до этого был Битдефендер (на десятой версии жуткие глюки случились). Дистриб сабжа скачал в прошлом году ("шоб було"), теперь открыл и поставил. Смотрю, триальная версия, и до истечения триала осталось 16 миллионов (sic!) с копейками тысяч дней (надо бы дожить и посмотреть, что будет :-)). В реестре сидит ключик имени тов. Крюкова (поклон ему низкий!). Недельку уже обновляется без проблем. Вопрос: 1. Будет ли это удовольствие длится почти 46 тысяч лет или внезапно окончится? 2. Чем триальная версия отличается от full?
С наилучшими

Цитата:

Сообщение от Cartman

Disciples, и что это даст? Borland вполне доступно объяснил, что проверять шифрованный трафик смысла нет никакого.

Я не гововорил про шифрованный трафик с Gmail.com.
Но не исключена возможность работы пользователя с нестандартными портами и мой пост говорил именно о этой ситуации

[Cartman]

d3mon, значит не твой нод ее цепляет. Где-то по дороге она цепляется.
tinto, я не знаю сколько раз об этом уже говорилось...
Триальная от обычной пользовательской версии по функциональности ничем не отличается, только сроком работы. От админской отличается еще и невозможностью создания зеркала для обновлений.

[tinto]

Cartman
Спасибо, конечно, но это общие слова. Мой вопрос о данном конкретном NOD'е - возможна ли "забанка" обновлений по истечению обычного триала? Наверняка ведь статистика по триалам на сервере ведется, хотелось бы видеть отклики аналогичных товарисчей, сидящих на том же кряке...
С наилучшими

[AGT]

tinto, статистика на серверах обновлений врядли ведётся, а вот сам
NOD по окончании триала не даёт возможности произвести проверку и лечение компа, хотя сам Control Center при этом загружается. Живи
46 тысяч лет, потом узнаешь и расскажешь на форуме.

[map]

версия 2.7.16 - запарился уже, чесс слово, все время при архивации юзеров пытается грохнуть комовский файлик от старой бухгалтерской проги для пенсионного фонда. сам файл ессно стоит в AMONE в исключениях, но все равно всплывает окошко с руганью что там подозрение на вирус и или удалить или закрыть. как победить?
и еще заметил небольшой трабл - 1С 7.7 он очень долго мучает при запуске с сетки... минуты 2-3 идет проверка 1Cv7.MD файла...
его исключение ессно тож не помогает.

[Alex Dark]

Цитата:

map:
он очень долго мучает при запуске с сетки

сними в настройках галку "обнаружение носители сетевые"

[Cartman]

map, сделай исключение по маске *.MD, *.DD, *.DBF, *.CDX.

[Piot]

Люди добрые
Извените (возможно) за глупый вопрос

Поставил НОДх64 на 64 винду
и он мне закрыл доступ к всем расшареным в сети папкам
мапинг естестно тоже делать не дает
Рылся рылся в настройках так и неодолел

Снес нод
доступ к папкам востоновился

Присоветуйте где чего нажать чтоб заработало

[Panzer2]

О проверке ГМайл-почты -
Вариант номер 4 (оффтопный) - некоторые АВ делают плагины под конкретные почтовые клиенты (Outlook, Bat, ...). Такой плагин будет вызываться почтовиком в нужный момент, и ему все равно, шифрована почта или нет. Есть ли такой плагин у НОД, или у него только общий монитор почтового трафика, я не знаю.

[Bram]

Цитата:

Сообщение от d3mon

Cartman
у меня вроде всё так и настроенно, только всё равно подпись есть

Поддерживаю d3mon'a.
У меня тоже так настроено. До вчерашнего дня стоял другой антивирус. Решил перейти на НОД. По "дороге" другого НОДа нет, но все равно подпись есть во всех сообщения -

Код:

__________ Информация NOD32 1928 (20061219) __________

Это сообщение проверено Антивирусной системой NOD32.
_http://www.eset.com

хотя EMON настроен вот так -

[Cartman]

Цитата:

Bram:
По "дороге" другого НОДа нет

Отруби Emon, чтобы удостоверится, что точно не твой NOD эту штуку цепляет.

[Bram]

Цитата:

Сообщение от Cartman

Отруби Emon, чтобы удостоверится, что точно не твой NOD эту штуку цепляет.

Отрубил EMON - подписи на вновь полученных письмах пропали. Значит вставлял именно мой NOD. Где грабли, куда смотреть?

[Emelman]

Bram
У меня все настроено так, что EMON включен и такие сообщения не добавляются. Попробуй зайти в раздел IMON -> POP3 поставить "точку" на "Только инфицированные сообщения". Как это написано по английски не знаю, потому как использую русскую версию.

А там по-моему написано почти дословно то же самое. Ещё можно снять все флажки, чтобы он просто ничего не еплял вообще ни в каких случаях.

[Emelman]

Андрюха
В таком случае исчезает смысл установки NOD'а. Если снять все "галки", он просто не будет проверять почту на вирусы, а это чревато последствиями...

[Alex007]

С помощью редактора конфигурации пытаюсь добавить в файле настроек, раздел расписание/планировщик, ежедневное сканирование. В последнем окне мастера стоит галка в пункте "показывать диалог специальных параметров" и снять её почему-то нельзя. После нажатия кнопки "готово" появляется диалоговое окно "Специальные параметры".

Вопросы: почему не снимается галка и о каких параметрах идёт речь?

[tachyon]

Люди прдскажите п-та : можно ли для NOD скачивать антивирусные базы в zip и устанвливать их каталог проги ? Я хочу установить прогу дома , а скачивать базы на работе . Но на работе стоит другой антивирус , отключать низзя , а вместе будут явные конфликты .

Цитата:

Эксперты по информационной безопасности обнаружили уязвимости в антивирусе NOD32, которые позволяют злонамеренному пользователю осуществить атаку, прводящую к отказу в обслуживании, или скомпрометировать уязвимую систему.

Целочисленное переполнение при обработке DOC-файлов позволяет переполнить динамический буфер через специально обработанный DOC-файл и выполнить произвольный код на целевой системе.

Ошибка деления на ноль при обработке CHM-файлов позволяет вызвать отказ в обслуживании через специально обработанный CHM-файл.

«Дырам» присвоен рейтинг опасности «критическая». Уязвимы NOD32 for Domino 2.x, NOD32 for DOS 1.x, NOD32 for FreeBSD 1.x, NOD32 for Linux 1.x, NOD32 for MS Exchange Server 0.x, NOD32 for NetBSD 1.x, NOD32 for Novell Netware Server 1.x, NOD32 for OpenBSD 1.x, NOD32 for Windows 95/98/ME 2.x, NOD32 for Windows NT/2000/XP/2003 2.x. Для использования уязвимостей нет эксплойта. Для решения проблемы установите NOD32 1.1743 или более высокую версию антивируса, сообщил Securitylab.

http://safe.cnews.ru/news/line/index...6/12/25/229673