Eset NOD32 Antivirus

[Maikll]

Позволю себе несколько дополнить ответ Matias-а

Вот цитата из одного faq

Вопрос 42: Ни кто не сталкивался с такой ошибкой "Ошибка при связи со службой ядра NOD32", стоял на машине несколько месяцев все нормально было а тут раз и ошибка.

Ответ: Авто старт службы nod32krn переходит на отключен, в следствии чего появляется ошибка <<Ошибка при связи со службой ядра NOD32>>. Вероятно, это было сделано пользователем. Либо вирус, который остановил службу, в этом случае надо перезагрузиться в безопасном режиме, запустить вручную службу nod32krn "C:\Program Files\ESET\nod32krn.exe" -install в консоли) и произвести полную проверку компьютера (желательно при этом иметь последнюю антивирусную базу). Если не помогло, и после попытки запустить службу получаете ответ Cиcтeмe нe yдaeтcя нaйти yкaзaнный пyть. Вопрос, на диске С существует файл nod32krn.exe в папке Program Files

Затем набираем в командной строке NET START и посмотрим, есть ли там запись о "NOD32 Kernel Service" ,в кавычках. Если нет, то пишем NET START "NOD32 Kernel Service".

Если Cистемная ошибка 2 - значит нет файла nod32krn.exe по указанному в службе пути. Если Cистемная ошибка 3 - такого пути не существует ... Значит у Вас что-то с путем к файлу не в порядке ... Нет такого пути ... Проверяем ... И ещё, я надеюсь,Вы всё это делаешь как админ в системе. Если ключа нет попробуем создать ключ ImagePath - тип Расширяемый строковый параметр, в значениях ключа прописываем "C:\Program Files\Eset\nod32krn.exe" ( обязательно в кавычках) Адрес ключа HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NOD32krn и посмотри в ключе ImagePath что прописано ... По умолчанию должно быть "C:\Program Files\Eset\nod32krn.exe" Перезагружаемся.

[naxon]

Самое интересное что NOD32 Kernel Service запущен, но bod32kui при запуске все равно выдает ошибку связи с ядром

[DISEPEAR]

У меня ещё вот какой вопрсик к тем у кого стоит NOD32 Smart Security.

Он у меня установлен и запущен в расширенном режиме.

Но почему то АНТИСПАМ, Threate Sense не выдаёт никакой активности.

Каждый раз он показывает следующее.

"Общее количество сообщений 0"

"Общее количество нежелательных сообщений 0"

Подскажите как его правильно настроить для того что бы он просматривал и фильтровал почту.

[Alishka]

Вопрос такой: что делаь?

Установила условно-бесплатную версию с хитростями (увеличение текущей даты при установке)

в конце мая, в конце июня обновляться перестал. Хочу заново установить но ссылка http://www.nod32russia.com/ не работает. Посоветуйте как поступить

[DISEPEAR]

Здравствуйте, у меня стоит ESS лицензионный, регулярно обновляется. Но вот недавно почуствовал что система начала притормаживать. Скачал ради любопытства Kaspersky Virus Removal Tools, и что вы думате? Эта утилитка обнаружила у меня 126!!! троянов. Нет я понимаю один - два но не 126 же!!

Одни трояны она нашла в обновлениях BIOS от ASUS: обнаружено: троянская программа Backdoor.Win32.Agent.hjt Файл: C:\Program Files\ASUS\AsusUpdt_V71401.zip/V7.14.01/AsusSetup.exe

Другие в винде а именно System 32, в папке etc

обнаружено: троянская программа Trojan.Win32.Qhost.ajh Файл: C:\WINDOWS\system32\drivers\etc\hosts.20080623-021055.backup

И что мне делать? Куда отправить файлы для анализа, это трояны или ложное срабатывание? И почему всеми хвалимый ESS их пропустил?

[Matias]

Вопрос такой: что делаь?

Хочу заново установить но ссылка http://www.nod32russia.com/ не работает.

Официальный сайт Нода - http://www.esetnod32.ru/. Он сейчас нормально работает. Указанный вами сайт у меня тоже не работает.

Изменено 4 августа, 2008 пользователем Matias

[Maikll]

Alishka:

Вопрос такой: что делаь?

купить лицензионную версию и никак иначе. (см Правила форума)

ссылка http://www.nod32russia.com/ не работает.

Официальный сайт антивируса ESET NOD32 в России - http://www.esetnod32.ru/

DISEPEAR: "Хвалимый всеми", это кем? ;)

По тем примерам, что вы выкладываете, с большой вероятностью можно сказать что это ложные срабатывания, впрочем нужно отдать подозрительные файлы на растерзание профессионалам.

Скачайте программу HijackThis по ссылке http://www.merijn.org/files/hijackthis.zip, запустите её, нажмите кнопку “Do a system scan and save a logfile”, и отошлите нам созданный файл hijackthis.log. Он будет находиться в одной папке с файлом hijackthis.exe.

Загрузите диагностирующую программу sysinspector по адресу http://www.esetnod32.ru/download/sysinspector.php, файл отчета созданый программой вышлите нам.

С уважением,

Служба технической поддержки ESET Russia

Опишите свою проблему, добавьте в логам пару подозрительных файлов в архиве с паролем "virus" а так же желательно приложить лог работы Kaspersky Virus Removal Tools

Письмо отправьте на адрес support(@)esetnod32.ru (без скобок)

В письме укажите свой лицензионный код.

[DISEPEAR]

Кстати отправил первый файл ASUS на анализ в http://www.virustotal.com/ru/analisis/ и вот какие результаты получил после проверки 34 антивирусами.

Fortinet 3.14.0.0 2008.08.04 W32/Agent.HJT!tr.bdr

CAT-QuickHeal 9.50 2008.08.02 Backdoor.Agent.hjt

При этом НОД всё пропустил.

[DISEPEAR]

Опишите свою проблему, добавьте в логам пару подозрительных файлов в архиве с паролем "virus" а так же желательно приложить лог работы Kaspersky Virus Removal Tools

Письмо отправьте на адрес support(@)esetnod32.ru (без скобок)

В письме укажите свой лицензионный код.

Ага, пробывал отослать, что то не выходит, возвращается назад с уведомлением такого типа,

"This is the mail system at host gw.esetnod32.ru.

I'm sorry to have to inform you that your message could not

be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can

delete your own text from the attached returned message.

The mail system

<support@esetnod32.ru>: host 192.168.0.7[192.168.0.7] said: 552 5.3.4 Message

size exceeds fixed maximum message size (in reply to MAIL FROM command)"

Я в английском не очень силён, поэтому ни гу-гу не понял, но понял что просьбу отклонили. Хотя логи и файлы я защитил паролем "infected" всё по интсрукции, что я не так сделал?

[Maikll]

Messagesize exceeds fixed maximum message size

Размер сообщения превышает установленный максимальный размер

Попробуйте уменьшить размер письма до 4-5 Мб.

[DISEPEAR]

Messagesize exceeds fixed maximum message size

Размер сообщения превышает установленный максимальный размер

Попробуйте уменьшить размер письма до 4-5 Мб.

Спасибо! ;) Дурень я и ламер ;) , но я уже через рамблер отправил, там без проблем.

[Maikll]

Кстати отправил первый файл ASUS на анализ

Если не трудно, вышлите этот архив этого файла на maikl7587(@)ya.ru - я хотел бы проверить его на своем НОДе

[DISEPEAR]

Если не трудно, вышлите этот архив этого файла на maikl7587(@)ya.ru - я хотел бы проверить его на своем НОДе

Не вопрос!!

[Maikll]

могу только отметить, что у продуктов лаборатории Касперского весьма высокий уровень срабатывания эвристики, как следствие требующий от пользователей знаний, помогающих правильно интерпретировать полученные сообщения о "страшных троянах".

AsusSetup.exe, программа использует низкоуровневый доступ к системе, когда сканирует ее перед обновлением биос, ничего удивительного, что один из компонент, входящих в ее состав определяется как Backdoor.

Имхо, ложное срабатывание. В Nod видимо входит в исключения - вот и не реагирует.

Файл: C:\WINDOWS\system32\drivers\etc\hosts - открыв его блокнотом, видим в конце файла строчку - # End of entries inserted by Spybot - Search & Destroy, в файл были добавлены записи установленной у вас программой Spybot - Search & Destroy, что в классификации Касперского - Trojan.Win32.Qhost.ajh (!) :)

остальные 120 с лишним из той же папки - архивные копии все того же hosts, чесно сделанные Spybot - Search & Destroy

Вердикт: аналогично предыдущему.

Подождите ответа из техподдержки, но мне кажется он будет в целом аналогичным.

Ищите причину тормозов в другом.

З.Ы, я не хочу сказать, что nod в чем-то лучше kav(kis), но те из наших клиентов, которым мы устанавливили его, гораздо реже звонят в техподдержку с воплями: "А вот у нас опять страшный вирус, антивирь говорит, что все совсем плохо!" :)

А защита в обоих случаях в итоге одинаковая почти.

[DISEPEAR]

Начал я сканировать комп утилитой Curiet от Dr.Web, в безопасном режиме и опять сюрприз.

ВОТ.

RegUBP2b-reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;;

A0010215.reg;C:\System Volume Information\_restore{71FDD0D5-3FCE-4FFB-A233-940EDAA037A1}\RP15;Trojan.StartPage.1505;;

A0007030.reg;C:\System Volume Information\_restore{71FDD0D5-3FCE-4FFB-A233-940EDAA037A1}\RP3;Trojan.StartPage.1505;;

A0020755.reg;C:\System Volume Information\_restore{71FDD0D5-3FCE-4FFB-A233-940EDAA037A1}\RP32;Trojan.StartPage.1505;;

A0007398.reg;C:\System Volume Information\_restore{71FDD0D5-3FCE-4FFB-A233-940EDAA037A1}\RP6;Trojan.StartPage.1505;;

RegUBP2b-reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;;

Я не жалуюсь на НОД вообще, так то он мне нравится как антивирусник.

Но вот троянов он что то плохо отлавливает последнее время.

[DISEPEAR]

Ага, просканировал я значит ещё скачанной Panda Active Scan и она обнаружила зловредов!

Это что же делается в ЕСЕТ?

Вот описания.

ANALYSIS: 2008-08-05 10:02:14

PROTECTIONS: 1

MALWARE: 5

SUSPECTS: 1

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

00003428 adware/memorywatcher Adware No 0 Yes No hkey_classes_root\vbrad.trayicon

00045952 spyware/media-motor Spyware No 1 Yes No hkey_local_machine\software\mm

00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\\Cookies\@yadro[1].txt

00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Documents and Settings\\Cookies\@server.iad.liveperson[1].txt

00207862 Cookie/did-it TrackingCookie No 0 Yes No C:\Documents and Settings\\Cookies\@did-it[1].txt

No C:\Program Files\Total Commander\Sfxhead.sfx

VULNERABILITIES

Id Severity Description

Изменено 5 августа, 2008 пользователем akoK

[Matias]

Начал я сканировать комп утилитой Curiet от Dr.Web, в безопасном режиме и опять сюрприз.

Перед сканированием рекомендуется отключить восстановление системы, это удалит точки восстановления, в которых находятся зловреды. Что касается объектов обнаруженных в каталоге Спайбота, то это резервные копии удаленных им зловредов, они не представляют опасности, но вы можете удалить их, если хотите.

[Matias]

Ага, просканировал я значит ещё скачанной Panda Active Scan и она обнаружила зловредов!

Я ничего опасного в приведенном вами логе не увидел. Там, где речь идет об адваре и спайваре приводятся лишь ключи реестра, которые сами по себе не могут быть опасными. Трекинговые куки также не представляют никакой опасности, поскольку это лишь текстовые файлы, они не содержат исполняемого кода.

[DISEPEAR]

А кто нибудь знает что из себя представляет BitDefender? И как он комбинируется с ESS? Я вот скачал себе free 10.v вроде понравился.

[Matias]

что из себя представляет BitDefender?

Битднфендеру посвящена отдельная тема. Пожалуйста, не мешайте все в кучу.

[Maikll]

DISEPEAR: что за маниакальное стремление установить у себя максимально возможное число антивирей? :greedy:

раньше drweb, теперь битдифендер... не будут они коомбинироваться, если не отключать у кого-то резидентную защиту.

[DISEPEAR]

DISEPEAR: что за маниакальное стремление установить у себя максимально возможное число антивирей? :greedy:

раньше drweb, теперь битдифендер... не будут они коомбинироваться, если не отключать у кого-то резидентную защиту.

Так я же не антивирус устанавливаю а bitdefender freeedition v 10 OEM, просто сканер

[DISEPEAR]

А вот что у меня опять произошло недавно, начало вообщем меня из интернета выкидывать. Связь резко обрывается и не могу обратно включить. Только при перезагрузке компа. Просканировал я значит сканнером BitDefendor v 10 free edition OEM, и вот что он обнаружил в папке модема.

C:\Documents and Settings\\Рабочий стол\modem\data2.cab=>(IShield Module 4) Detected: Dialer.Generic.19851

C:\Documents and Settings\\Рабочий стол\modem\data2.cab=>(IShield Module 4) Disinfection failed

Порылся в журнале персонального фаерволла, он красным указывает на одну ошибку,

09.08.2008 22:59:12 Неверная контрольная сумма пакета ethernet 0

09.08.2008 22:59:12 Неверная контрольная сумма пакета ethernet 0

09.08.2008 21:10:26 Готового к использованию правила не найдено 192.168.1.55 224.0.0.22 IGMP

Что это такое? Опять вирус пропущенный ESS? Или ложное срабатывание? И что за глюки файерволла, подскажите что делать.

Отправил на анализ на он-лайн сканирование в http://www.virscan.net/

из всех только BitDefender задетектил Dialer. Дело в том что раньше у меня была такая проблема, когда стоял DrWeb, он при сканировании постоянно детектил Dialer Adiras, и самое интересное что этот Dialer размножался, пытался его вылечить Доктором но он неизлечим, пришлось удалить. Потом сканировал иногда Curiet и вё было нормально, но вот опять он вернуля. Это вирус или ложное срабатывание?

И почему файерволл иногда перекрывает инет?

[Maikll]

судя по логам, неправильно настроен фаерволл, вот и блокирует соединение. Сбросьте его настройки и переключите в режим обучения снова.

Изменено 10 августа, 2008 пользователем Maikll

[DISEPEAR]

Слышал что вышла новая версия Eset Smart Security 3.0.672. С обновлёнными модулями, и вроде что то новое добавлено...

В принципе модули программы у меня обновились и так, через обновление. Но на некоторых форумах пишут что этого недостаточно, а необходимо скачать именно новую версию ESS. Так ли это?

И если да, никто не знает где можно скачать руссифицированный вариант?