Eset NOD32 Antivirus

[Yezhishe]

ставлю себе, потом даю диск с ключами своему другу

Какое-то время проработает... Пока не отследят IP, с которых производится обновление...

К тому же - это нарушение условий лицензии...

[Sanitar]

Какое-то время проработает... Пока не отследят IP, с которых производится обновление...

Хм, а если мой провайдер поменяет IP (что он периодически и делает) то получается я не смогу получать обновления? Как они фиксируют своих клиентов?

[Saule]

Там уже ент ничего. Вот ТУТ у них много утилит-какую лучше качнуть?

Эти утилиты предназначены для удаления различных наиболее распространенных вирусов. Т.е. скачивать утилиту нужно конкретно под тот вирус, который ты, допустим, поймал (например, поймал Agent trojan > скачивай Agent trojan cleaner, поймал Agent.AC trojan > Agent.AC trojan cleaner и т.д.).

Новый сканер: NOD32 Anti-Virus 2007-04-12 (только учти, что долго она также не проработает, т.к. как только заливается более новая версия, старую удаляют).

[Yezhishe]

Хм, а если мой провайдер поменяет IP (что он периодически и делает) то получается я не смогу получать обновления? Как они фиксируют своих клиентов?

Всё это давным-давно автоматизировано... Фиксируется регион, группа (пул) IP-адресов, а поскольку каждый провайдер имеет ограниченное количество сменных IP - то через пару-тройку обращений за обновлением уже более или менее ясно, кто откуда и как...

Для всего этого даже человеческого присутствия в общем-то не надо.

[Sanitar]

Эти утилиты предназначены для удаления различных наиболее распространенных вирусов. Т.е. скачивать утилиту нужно конкретно под тот вирус, который ты, допустим, поймал (например, поймал Agent trojan > скачивай Agent trojan cleaner, поймал Agent.AC trojan > Agent.AC trojan cleaner и т.д.).Новый сканер: NOD32 Anti-Virus 2007-04-12 (только учти, что долго она также не проработает, т.к. как только заливается более новая версия, старую удаляют).

Скачал, запустил, что то он мне там написал. Скрин сделать немогу (почему то не делается), просто строки не копируются.

ЗЫ, заодно уже: почему комп скрин перестал делать? и после лазутчиков по моему компьютеру (с желанием помочь) в папке мои рисунки вместо картинок или фоток - иконки, что бы посмотреть надо два раза кликать, можно ли сделать как раньше? что бы картинки были видны?

[Saule]

Скачал, запустил, что то он мне там написал. Скрин сделать немогу (почему то не делается), просто строки не копируются.

ЗЫ, заодно уже: почему комп скрин перестал делать? и после лазутчиков по моему компьютеру (с желанием помочь) в папке мои рисунки вместо картинок или фоток - иконки, что бы посмотреть надо два раза кликать, можно ли сделать как раньше? что бы картинки были видны?

По поводу лога:

Кликни правой кнопкой мыши по той строке, которую хочешь скопировать и выбери в меню "Information".

Затем:

-----------

По поводу иконок вместо картинок:

Если это не помогает, то нажми на Start > Run (Пуск > Выполнить)

Скопируй в строку: regsvr32 shimgvw.dll

И затем на ОК или клавишу ENTER.

[Delphi]

Вопрос по поводу обновления

Если у меня идет корпоративный ключ на несколько машин и одна из этих машин ноут, и к примеру поехал в командировку в Детройт, и там через ихнего провайдера решил базу обновить, как тогда будет, сервер нода увидит что обновление происходит совсем из разных мест, что он будет банить ключь?

P.S. все данные выдуманые для примера

[Sanitar]

По поводу лога:

-----------

По поводу иконок вместо картинок:

С картинками оказалось все просто.Спасибо.

Теперь, что выдал сканер:

C:\Documents and Settings\Владислав\Application Data\Tor\cached-routers - error opening (File locked) [4]

C:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

C:\WINDOWS\system32\config\default - error opening (File locked) [4]

C:\WINDOWS\system32\config\SAM - error opening (File locked) [4]

C:\WINDOWS\system32\config\SECURITY - error opening (File locked) [4]

C:\WINDOWS\system32\config\software - error opening (File locked) [4]

C:\WINDOWS\system32\config\system - error opening (File locked) [4]

C:\WINDOWS\Temporary Internet Files\Content.IE5\492NS56V\zaSuiteSetup_70_337_000_en[1].exe »WISE »WISE0132.DLL - archive damaged

C:\WINDOWS\Temporary Internet Files\Content.IE5\4TIB09AN\swflash[1].cab »CAB »Flash9c.ocx - archive damaged - the file could not be extracted.

C:\WINDOWS\Temporary Internet Files\Content.IE5\4TIB09AN\swflash[1].cab »CAB »FlashUtil9c.exe - archive damaged - the file could not be extracted.

C:\WINDOWS\Temporary Internet Files\Content.IE5\4TIB09AN\swflash[1].cab »CAB »Restart.exe - archive damaged - the file could not be extracted.

C:\WINDOWS\Temporary Internet Files\Content.IE5\OTIJWLU7\dodge_ram_srt10-psp[1].zip »ZIP »._M4V04508.THM - archive damaged

C:\WINDOWS\Temporary Internet Files\Content.IE5\UHR0HON2\ustav31_10_06[1].zip »ZIP »ustav.doc - archive damaged

D:\Program Files\КартИнформ\Планета Москва\Data\Reclame\Html\Стройинформ\soft\demo\bizplan\bppl.exe »RAR »BizPlanPL\Chapt7.pd_ - next archive volume not found

D:\Program Files\КартИнформ\Планета Москва\Data\Reclame\Html\Стройинформ\soft\demo\bizplanm\bpm.exe »RAR »BizPlanM\MSVBVM50.dl_ - next archive volume not found

D:\Program Files\КартИнформ\Планета Москва\Data\Reclame\Html\Стройинформ\soft\demo\folio\folio.exe »RAR »Folio\Winfs.pak - next archive volume not found

D:\Program Files\КартИнформ\Планета Москва\Data\Reclame\Html\Стройинформ\soft\demo\winab\winabepc.exe »RAR »winabepc\winexp.ex_ - next archive volume not found

D:\Program Files\КартИнформ\Планета Москва\Data\Reclame\Html\Стройинформ\soft\demo\ws2000\winsmeta2.exe »RAR »WS2000\setup2000.exe - next archive volume not found

D:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

E:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

F:\System Volume Information\MountPointManagerRemoteDatabase - error opening (Access denied) [4]

[4] File cannot be opened. It may be in use by another application or operating system.

Интересно, что сканер хотел от Картинформ, Volume Information и при вирусе присутствует и сейчас.

[Saule]

С картинками оказалось все просто.Спасибо.

Теперь, что выдал сканер

error opening (File locked) [4] - ошибка при открытии файла (Файл заблокирован)

error opening (Access denied) [4] - ошибка при открытии (К файлу нет доступа)

Пояснение к этим двум пунктам [4]:

[4] File cannot be opened. It may be in use by another application or operating system - [4] Файл не может быть открыт, так как на данный момент он используется другим приложением или операционной системой.

archive damaged - архив поврежден

the file could not be extracted - файл не может быть распакован

next archive volume not found - не найден следующий фрагмент (том) данного архива

Так что вирусов найдено не было.

А то, что некоторые файлы не были распакованы (и следовательно проверены) - это уже проблемы НОДа.

[Delphi]

Насчет этих ошибок это помойму не проблеммы нода это что-то с архивами он к ним доступа неможет получить, если заархивирывать файл вируса и на архив установить пароль то его антивирусник и ненайдет вирус так как не сможет найти вирус

Изменено 23 апреля, 2007 пользователем Delphi

[Saule]

Насчет этих ошибок это помойму не проблеммы нода это что-то с архивами он к ним доступа неможет получить, если заархивирывать файл вируса и на архив установить пароль то его антивирусник и ненайдет вирус так как не сможет найти вирус

В случае выше - это проблемы НОДа.

[Delphi]

Я так понял что нод не работает с архивами, тоесть он в них вирусы не находит?

[Saule]

Я так понял что нод не работает с архивами, тоесть он в них вирусы не находит?

NOD работает с архивами. Но в некоторых случаях у него возникают проблемы с их распаковкой.

[makar]

Скачал ESET Smart Security 3.0 beta 1, в нём- Nod32 v3, Firewall и антиспам модуль.

Проблема- надо отключать firewall а то он блокирует выход в интернет, кто-нибудь смог настроить?

[redmon]

Ох, как все любят НОДа...

Поставил я его на виртуальную машину и решил потестировать. Начал с проверки компьютера. Я под столом лежу - он нем ожет проверит файл подкачки А ведь любая зараза может в пэйджфайл встроиться. Ну да ладно, идем дальше. Захотел проверить его самозащиту (сможет ли он устоять, если какая-нить зараза начнет его грохать). И я опять под столом - удалось выбить его простейшим батником.

Вот, записал видео, если кто не верит - http://rapidshare.com/files/35609961/NOD.rar.html (978 KB)

Операция простейшая:

Выгружаем НОДа из системы;

Создаем тестовый вирус EICAR (Если кто не знает - http://www.viruslist.com/ru/viruses/encycl...a?virusid=55843 );

Запускаем этот EICAR.

Вместо тестового вируса может быть настоящий и система будет перед ним бессильна. ;)

[Brox]

Захотел проверить его самозащиту (сможет ли он устоять, если какая-нить зараза начнет его грохать). И я опять под столом - удалось выбить его простейшим батником.

На такой случай там пароль на выгрузку вроде как ставится.

[redmon]

На такой случай там пароль на выгрузку вроде как ставится.

Да хоть ставь пароль - батник просто выгружает НОДовский процесс и все.

[Brox]

Да хоть ставь пароль - батник просто выгружает НОДовский процесс и все.

Если установлен пароль, то для того чтобы произошла выгрузка, этот пароль сначала нужно будет ввести.

Ваши опыты показывают только то, насколько безполезными могут быть проги защиты в руках у людей, которые не умеют с этими прогами обращаться.

[redmon]

Если установлен пароль, то для того чтобы произошла выгрузка, этот пароль сначала нужно будет ввести.

Ваши опыты показывают только то, насколько безполезными могут быть проги защиты в руках у людей, которые не умеют с этими прогами обращаться.

Пожалуйста - хотите я поставлю пароль и выгружу НОДа в два счета? А заодно создам и запущу после этого eicar для пущего веселья.

[Saule]

Пожалуйста - хотите я поставлю пароль и выгружу НОДа в два счета? А заодно создам и запущу после этого eicar для пущего веселья. :sm(100):

Могу вас разочаровать. На вашем видео совершенно некорректный тест с рядом ошибок.

Во-первых, вы выгрузили только GUI - nod32kui.exe (видимый пользователю интерфейс антивируса). При этом его ядро - nod32krn.exe - осталось полностью работоспособным (откройте обычный Task Manager и убедитесь).

Во-вторых, никакой реакции от НОДа на создание "вируса" не последовало по той простой причине, что вы сделали в коде EICAR две ошибки, благодаря чему для антивируса (любого) этот код уже не представляет угрозы. Попробуйте сначала запустить этот "вирус" с активным НОДом (или любым другим ав), чтобы удостоверится в том, что он точно также не будет проигнорирован.

Если же вы перепишите вирусный код без ошибок, то запись EICAR на диск будет невозможной, даже при выгруженном GUI.

[redmon]

Какие еще ошибки в eicar'e? Где?

Записал такое же видео. http://rapidshare.com/files/35757160/NOD.rar.html (1209 KB)

Преспокойно записываю тестовый вирус на рабочий стол и запускаю. А в конце проверяю eicar онлайн-сканером через Интернет.

Вопросы? :sm(100):

[Saule]

Записал такое же видео.

Преспокойно записываю тестовый вирус на рабочий стол и запускаю. А в конце проверяю eicar онлайн-сканером через Интернет.

Вопросы? :sm(100):

Мне не нужно такое же видео :D

Объясняю еще раз:

1. Покажите, как НОД детектирует ваш EICAR до того, как вы его выгружаете с помощью вашего батника (в противном случае, это не только не убедительно, но и немного нелепо). Т.е. создайте EICAR точно таким же образом, как вы это делаете затем, чтобы была возможность убедиться в том, что НОД действительно должен на него реагировать :)

2. Когда вы выгружаете НОД, то при этом должен быть открыт хотя бы Task Manager (чтобы было видно, что ядро НОДа - nod32krn.exe - после запуска батника действительно нет среди активных процессов).

[redmon]

Мне не нужно такое же видео :)

Объясняю еще раз:

1. Покажите, как НОД детектирует ваш EICAR до того, как вы его выгружаете с помощью вашего батника (в противном случае, это не только не убедительно, но и немного нелепо). Т.е. создайте EICAR точно таким же образом, как вы это делаете затем, чтобы была возможность убедиться в том, что НОД действительно должен на него реагировать :)

2. Когда вы выгружаете НОД, то при этом должен быть открыт хотя бы Task Manager (чтобы было видно, что ядро НОДа - nod32krn.exe - после запуска батника действительно нет среди активных процессов).

Хорошо, как скажете :)

Другое видео -

Открываю тот самый батник, вырезаю из него кусок, отвечающий за выгрузку НОДа. Оставляю только кусочек. который создаетти запускает eicar'a.

Запускаю батник - тестовый вирус успешно помещается в карантин.

Опять открываю батник в блокноте. Вставляю обратно вырезанный кусок, выгружающий НОДа.

Запускаю. НОД выгружается.

Создается eicar и тут же запускается.

Открываю диспетчер задач - nod32krn.exe живой, но, какая жалость, молчит почему-то. :D

С чего бы это могло быть, а? :sm(100):

Извиняюсь, Инет глючит. Вот ссылка - http://rapidshare.com/files/35771102/NOD.rar.html (1306 KB)

[Brox]

Открываю диспетчер задач - nod32krn.exe живой, но, какая жалость, молчит почему-то. :)

С чего бы это могло быть, а? :sm(100):

А ты получше подумай с чего бы. :D Ядро с пользователем не разговаривает. У него нет таких функций, да и они ему не нужны. Разговаривать должен интерфейс - оболочка, которая была выгружена.

Проделал у себя на компе тоже самое. Не смотря на то, что оболочка НОДА была выгружена, вирус был помещен в карантин автоматом, без предупреждений. Так что ядро справилось со своими задачами и я теперь знаю точно, НОД - не тупой, тупой здесь кто-то другой. :)

[redmon]

Проделал у себя на компе тоже самое.

Вы создавали точно такой же батник? Символ в символ? :)

НОД с выгруженным GUI не мог поместить вирь на карантин. Я этот вирь даже попробовал зарустить несколько раз. Успешно :)