Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи w21life
Выбрать дату в календареВыбрать дату в календаре

1 2 След.
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 17.02.2013 19:27:42
Цитата
marshal64
В п.3 настроек можно смело заменить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

на

HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

потому что первый вариант не работает.
Изменено: w21life - 17.02.2013 19:28:56
Перейти
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 05.02.2013 15:03:52
За последнюю неделю, десяток раз, на разных компьютерах обнаружил, что вредоносная программа прописала адрес своего dns-сервера

в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Если прописать правило запрета изменения сетевых параметров в HIPS, то необходимые настройки TCP/IP нужно внести вручную предварительно. ;)
Изменено: w21life - 05.02.2013 15:05:17
Перейти
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 30.01.2013 10:26:54
Цитата
santy пишет:
под защитой hosts я имею ввиду это правило
http://forum.esetnod32.ru/messages/forum9/topic3141/message61767/#message61767
Понятно. Но все же вопрос остался открытым? Правило HIPS, описанное выше, распространяется на подкаталоги и файлы?

Файл hosts находится, в подкаталоге System32, который уже защищен правилом от изменений.
Изменено: w21life - 30.01.2013 10:28:20
Перейти
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 29.01.2013 15:33:52
santy
Правило HIPS, которое защищает системный каталог "Windows\System32" распространяется на подкаталоги и файлы? Если да, то наверное необязательно отдельно защищать файл hosts. Или все же стоит? ;)
Изменено: w21life - 29.01.2013 15:37:18
Перейти
Предложения по функционалу продуктов ESET
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 29.01.2013 14:39:21
Цитата
santy пишет:
w21life,
не хочется здесь затевать очередное "соревнование" с Касперским, но судя по разделу
http://forum.kaspersky.com/index.php?showforum=186
решено далеко не все.
Правильно, не о том речь. :)
Перейти
Предложения по функционалу продуктов ESET
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 29.01.2013 13:45:00
Цитата
Loner пишет:
Последние винлоки поумнели. Они уже не пускают в безопасный режим. При попытке туда загрузиться, или синий экран, или морда винлока.
Бывает и такое. В таком случае грузимся c "Live CD" и достаем и правим клиентский реестр специальной утилитой. Чистой работы на 5-10 минут, в зависимости от "железа".

Затем загружаемся в обычном режиме и восстанавливаем загрузку в "безопасном режиме".

P.S. Этого всего можно было бы избежать, если бы компания ESET за 6-7 лет хоть как-то бы подошла к решению проблемы с "винлоками".
Изменено: w21life - 29.01.2013 15:30:59
Перейти
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 29.01.2013 12:02:23
К пункту 3. "Защита системных записей в реестре" желательно добавить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
Изменено: w21life - 29.01.2013 12:30:45
Перейти
Предложения по функционалу продуктов ESET
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 29.01.2013 11:09:36
Цитата
santy пишет:
скорее всего по работе с HIPS надо отдельную тему открывать, чтобы в ней фиксировать текущие проблемы и предложения. обратная связь по этому топику с разработчиками ESET достаточно низкая.
Любая здравая идея приветствуется. Важен конечный результат.
Изменено: w21life - 29.01.2013 11:10:35
Перейти
Предложения по функционалу продуктов ESET
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 29.01.2013 10:53:51
Все-таки, при установке ESET необходим выбор уровня защиты, наподобие: "базовый", "повышенный", "высокий", для начала. А по "винлокам" отслеживание подозрительного поведения файлов, в по поводу внедрения записей в определенные ветки реестра и последующее блокирование подозрительных действий и исправление реестра.

В последнее время самые ходовые "винлоки" внедряются в

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Не нужно даже антивирусом сканить, достаточно убрать руками эти записи, загрузившись в "безопасном режиме с поддержкой командной строки", если конечно вредоносной программой не испорчена загрузка в "безопасном режиме".

Если можно, то добавьте к настройкам HIPS в тему http://forum.esetnod32.ru/forum9/topic8267/
Изменено: w21life - 29.01.2013 10:55:58
Перейти
Предложения по функционалу продуктов ESET
 
w21life
w21life
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 27.01.2013
Размещено 28.01.2013 22:50:09
santy
"Винлок" не трагедия. Но ESET никак не реагирует на "винлокоподбоные" вредоносные файлы, которых нет в базе данных сигнатур. ;)

Loner четко представляет то, чего не хватает ESET`у. Да и поверьте, не он один. Он выражает мнение большинства, а не "клуба по интересам".
Изменено: w21life - 28.01.2013 22:50:58
Перейти
1 2 След.