Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
Цитата
marshal64
В п.3 настроек можно смело заменить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

на

HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

потому что первый вариант не работает.
Изменено: w21life - 17.02.2013 19:28:56
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
За последнюю неделю, десяток раз, на разных компьютерах обнаружил, что вредоносная программа прописала адрес своего dns-сервера

в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P­arameters\Interfaces\*

Если прописать правило запрета изменения сетевых параметров в HIPS, то необходимые настройки TCP/IP нужно внести вручную предварительно. ;)
Изменено: w21life - 05.02.2013 15:05:17
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
Цитата
santy пишет:
под защитой hosts я имею ввиду это правило
http://forum.esetnod32.ru/messages/forum9/topic3141/message61767/#message61767
Понятно. Но все же вопрос остался открытым? Правило HIPS, описанное выше, распространяется на подкаталоги и файлы?

Файл hosts находится, в подкаталоге System32, который уже защищен правилом от изменений.
Изменено: w21life - 30.01.2013 10:28:20
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
santy
Правило HIPS, которое защищает системный каталог "Windows\System32" распространяется на подкаталоги и файлы? Если да, то наверное необязательно отдельно защищать файл hosts. Или все же стоит? ;)
Изменено: w21life - 29.01.2013 15:37:18
Предложения по функционалу продуктов ESET
Цитата
santy пишет:
w21life,
не хочется здесь затевать очередное "соревнование" с Касперским, но судя по разделу
http://forum.kaspersky.com/index.php?showforum=186
решено далеко не все.
Правильно, не о том речь. :)
Предложения по функционалу продуктов ESET
Цитата
Loner пишет:
Последние винлоки поумнели. Они уже не пускают в безопасный режим. При попытке туда загрузиться, или синий экран, или морда винлока.
Бывает и такое. В таком случае грузимся c "Live CD" и достаем и правим клиентский реестр специальной утилитой. Чистой работы на 5-10 минут, в зависимости от "железа".

Затем загружаемся в обычном режиме и восстанавливаем загрузку в "безопасном режиме".

P.S. Этого всего можно было бы избежать, если бы компания ESET за 6-7 лет хоть как-то бы подошла к решению проблемы с "винлоками".
Изменено: w21life - 29.01.2013 15:30:59
Решение проблем, связанных с настройкой Системы предотвращения вторжений на узел (HIPS), Система предотвращения вторжений на узел, HIPS
К пункту 3. "Защита системных записей в реестре" желательно добавить:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
Изменено: w21life - 29.01.2013 12:30:45
Предложения по функционалу продуктов ESET
Цитата
santy пишет:
скорее всего по работе с HIPS надо отдельную тему открывать, чтобы в ней фиксировать текущие проблемы и предложения. обратная связь по этому топику с разработчиками ESET достаточно низкая.
Любая здравая идея приветствуется. Важен конечный результат.
Изменено: w21life - 29.01.2013 11:10:35
Предложения по функционалу продуктов ESET
Все-таки, при установке ESET необходим выбор уровня защиты, наподобие: "базовый", "повышенный", "высокий", для начала. А по "винлокам" отслеживание подозрительного поведения файлов, в по поводу внедрения записей в определенные ветки реестра и последующее блокирование подозрительных действий и исправление реестра.

В последнее время самые ходовые "винлоки" внедряются в

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Run\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­RunOnce\*
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*

Не нужно даже антивирусом сканить, достаточно убрать руками эти записи, загрузившись в "безопасном режиме с поддержкой командной строки", если конечно вредоносной программой не испорчена загрузка в "безопасном режиме".

Если можно, то добавьте к настройкам HIPS в тему http://forum.esetnod32.ru/forum9/topic8267/
Изменено: w21life - 29.01.2013 10:55:58
Предложения по функционалу продуктов ESET
santy
"Винлок" не трагедия. Но ESET никак не реагирует на "винлокоподбоные" вредоносные файлы, которых нет в базе данных сигнатур. ;)

Loner четко представляет то, чего не хватает ESET`у. Да и поверьте, не он один. Он выражает мнение большинства, а не "клуба по интересам".
Изменено: w21life - 28.01.2013 22:50:58