Размещено 05.11.2011 18:36:44
RP55, названия - нет, а расширение - да: *.exe :) Мне было важно оставить "софт"... Ибо только он пострадал в следствии "эпидемии".
Иными словами - другие продукты оставили файлы заражёнными? :))
Алгоритм Антивируса: удалить или всё же лечить?, Чаще Антивирус удаляет файлы с вирусом, в отличии от решений конкурирующих продуктов.
Алгоритм Антивируса: удалить или всё же лечить?, Чаще Антивирус удаляет файлы с вирусом, в отличии от решений конкурирующих продуктов.
Алгоритм Антивируса: удалить или всё же лечить?, Чаще Антивирус удаляет файлы с вирусом, в отличии от решений конкурирующих продуктов.
Размещено 05.11.2011 00:23:59
Приветствую, уважаемые!
Кто-то возможно вспомнит мои компрометирующие сообщения, но напомню, основания таких вопросов не первого взгляда ;)
Итак, ещё раз: Целью темы является:
1) Выяснение приоритетов и возможностей Антивируса NOD32 (возможно, проблема касается и др. продуктов);
2) Пожелания к улучшению алгоритма.
И никак не цель ущемить в правах или рекламировать конкурентов.
Был (не недавно, но и не так давно) случай, необходимо было проверить на вирусы большой объём информации (файлов - программы, архивы и документы) ~40 ГБ. В процессе проверки обнаружились вирусы, чему были рады :)
Но... что касаемо программ (exe-файлы), данный антивирусный продукт [B]удалял[/B] их ([I]путём изолирования или ещё как-то - не суть важно[/I]). Возможно, лечение было не возможно ([I]я не дезасемблировал, за сим не в курсе[/I]).
[I]Но другой продукт, другого производителя вылечил большинство, и программы в последствии были исправны\работопригодны.[/I]
Встал вопрос, почему такой хороший (буквально и без стёба) продукт как NOD... не лечит, по крайней мере в этом случае ([I]в других случаях не было приоритета сохранить\исправить[/I]).
*Как и "положено", каких-то подтверждений\подробностей сообщить не могу, ибо вопрос задан скорее "поставить точку над "и"" и спать спокойно :) Исправил - доволен, но вопрос коробит, как будет проходить ситуация далее, [I]не важно где\у кого - вообще[/I]. [U]Будет\может ли продукт лечить[/U], а не (приоритетно) удалять?
С уважением, Евгений.
Кто-то возможно вспомнит мои компрометирующие сообщения, но напомню, основания таких вопросов не первого взгляда ;)
Итак, ещё раз: Целью темы является:
1) Выяснение приоритетов и возможностей Антивируса NOD32 (возможно, проблема касается и др. продуктов);
2) Пожелания к улучшению алгоритма.
И никак не цель ущемить в правах или рекламировать конкурентов.
Был (не недавно, но и не так давно) случай, необходимо было проверить на вирусы большой объём информации (файлов - программы, архивы и документы) ~40 ГБ. В процессе проверки обнаружились вирусы, чему были рады :)
Но... что касаемо программ (exe-файлы), данный антивирусный продукт [B]удалял[/B] их ([I]путём изолирования или ещё как-то - не суть важно[/I]). Возможно, лечение было не возможно ([I]я не дезасемблировал, за сим не в курсе[/I]).
[I]Но другой продукт, другого производителя вылечил большинство, и программы в последствии были исправны\работопригодны.[/I]
Встал вопрос, почему такой хороший (буквально и без стёба) продукт как NOD... не лечит, по крайней мере в этом случае ([I]в других случаях не было приоритета сохранить\исправить[/I]).
*Как и "положено", каких-то подтверждений\подробностей сообщить не могу, ибо вопрос задан скорее "поставить точку над "и"" и спать спокойно :) Исправил - доволен, но вопрос коробит, как будет проходить ситуация далее, [I]не важно где\у кого - вообще[/I]. [U]Будет\может ли продукт лечить[/U], а не (приоритетно) удалять?
С уважением, Евгений.
sys inspector проблемма
Размещено 26.05.2010 09:27:21
[QUOTE]Алексей пишет: Удалите данную задачу...[/QUOTE]
В ERAC [B]в закладке "Задачи" данное действие не отображается[/B]. В связи с чем, относительно вкладки - запрос SI не являеться (видимой) задачей. Хотя логически и физически мы подаём комманду-задачу...
[B]Проблема:[/B] Зацикливание создания снимков на клиенте при запросе в ERAC.
[B]Подробно: При запросе данных с установленной галочкой "Создать снимок..." происходит зацикливание создания снимков на клиенте, и "зафлуживание\спамирование" сервера.[/B]
[B]Выход (ы) из этой ситуации:[/B]
1.
- Правый клик мыши (ПКМ, контекстное меню) на клиенте,
- Запрос данных, Запрос данных SysInspector, [B]не ставить галок[/B], а если стоят, то снять и нажать Продолжить.
- После чего создасться ещё 1 снимок, последний. На нём цикл завершиться.
2.
- Правый клик мыши (ПКМ, контекстное меню) на клиенте,
- Свойства\Конфигурация, Вкладка SysInspector, [B]не ставить галок[/B] в "Запрос параметров", а если стоят, то снять и нажать Запрос.
- После чего создасться ещё 1 снимок, последний. На нём цикл завершиться.
[B]Пожелание:[/B] Правый клик мыши (ПКМ, контекстное меню) на клиенте, Запрос данных, Запрос данных SysInspector... [B]Сделайте кнопку "Отмена" или "Выход"[/B]. [I]При создании сей мессаги испытал дискомфорт в +1 снимке ^^)[/I] И смех и грех (что выход реально нужен).
[B]ПО:[/B]
ESET Remote Administrator Server и Console [B]3.0.118[/B] Rus x86 - ОС Windows XP PRO SP3
ESET NOD32 Antivirus Business Edition [B]4.2.40.10[/B] Rus x86 - ОС Windows Vista Basic
В ERAC [B]в закладке "Задачи" данное действие не отображается[/B]. В связи с чем, относительно вкладки - запрос SI не являеться (видимой) задачей. Хотя логически и физически мы подаём комманду-задачу...
[B]Проблема:[/B] Зацикливание создания снимков на клиенте при запросе в ERAC.
[B]Подробно: При запросе данных с установленной галочкой "Создать снимок..." происходит зацикливание создания снимков на клиенте, и "зафлуживание\спамирование" сервера.[/B]
[B]Выход (ы) из этой ситуации:[/B]
1.
- Правый клик мыши (ПКМ, контекстное меню) на клиенте,
- Запрос данных, Запрос данных SysInspector, [B]не ставить галок[/B], а если стоят, то снять и нажать Продолжить.
- После чего создасться ещё 1 снимок, последний. На нём цикл завершиться.
2.
- Правый клик мыши (ПКМ, контекстное меню) на клиенте,
- Свойства\Конфигурация, Вкладка SysInspector, [B]не ставить галок[/B] в "Запрос параметров", а если стоят, то снять и нажать Запрос.
- После чего создасться ещё 1 снимок, последний. На нём цикл завершиться.
[B]Пожелание:[/B] Правый клик мыши (ПКМ, контекстное меню) на клиенте, Запрос данных, Запрос данных SysInspector... [B]Сделайте кнопку "Отмена" или "Выход"[/B]. [I]При создании сей мессаги испытал дискомфорт в +1 снимке ^^)[/I] И смех и грех (что выход реально нужен).
[B]ПО:[/B]
ESET Remote Administrator Server и Console [B]3.0.118[/B] Rus x86 - ОС Windows XP PRO SP3
ESET NOD32 Antivirus Business Edition [B]4.2.40.10[/B] Rus x86 - ОС Windows Vista Basic
Изменено: ZeLiK ZLK - 26.05.2010 09:28:50
Фейк-обновления, возможно ли?, Возможна ли подмена и как бороться?
Размещено 26.05.2010 05:16:42
crank69, Да, Вы верно поняли. Пример (один из не многих): Выдать в качестве новых баз, ужасно старые.
Я займу позицию "отчаянного халявщика", в вопросе о лицензионности, скажу так, если взять у "соседа" лицензионное ПО, оно будет так же прекрасно работать и у меня, но: я нарушаю права\закон, и мне не обязаны оказывать поддержку etc. Программа же по прежнему "чиста и верна" - без "инъекций", т.е. работоспособна :) Имхо, далее будет долгий спор))
Предполагаю, что при наличии пароля на доступ к настройкам ПО, и при включённой самозащите - сменить сервер давольно проблемотично.
- Внести изменения через ПО, блокируеться паролем, если его нет - не знаю.
- Внести изменения в реестр не даст самозащита. Пароль, насколько я помню от ПО, тоже храниться в реестре, и думаю, тоже защищён. Единственный ход трояну, загрузиться в Безопасном режиме ОС.
- Модифицировать сигнатуры [B]скаченные\зеркала[/B], думаю, возможно, если не контроллируются самозащитой.
p.s. Надеюсь вышеописанное [B]не будет[/B] расценяно как инструкция к действию, плагиат, х@к и т.д. По мне логичные мысли, жаль мат. части не хватает.
Я займу позицию "отчаянного халявщика", в вопросе о лицензионности, скажу так, если взять у "соседа" лицензионное ПО, оно будет так же прекрасно работать и у меня, но: я нарушаю права\закон, и мне не обязаны оказывать поддержку etc. Программа же по прежнему "чиста и верна" - без "инъекций", т.е. работоспособна :) Имхо, далее будет долгий спор))
Предполагаю, что при наличии пароля на доступ к настройкам ПО, и при включённой самозащите - сменить сервер давольно проблемотично.
- Внести изменения через ПО, блокируеться паролем, если его нет - не знаю.
- Внести изменения в реестр не даст самозащита. Пароль, насколько я помню от ПО, тоже храниться в реестре, и думаю, тоже защищён. Единственный ход трояну, загрузиться в Безопасном режиме ОС.
- Модифицировать сигнатуры [B]скаченные\зеркала[/B], думаю, возможно, если не контроллируются самозащитой.
p.s. Надеюсь вышеописанное [B]не будет[/B] расценяно как инструкция к действию, плагиат, х@к и т.д. По мне логичные мысли, жаль мат. части не хватает.
Больше сведений о клиенте, переменные среды Windows
Размещено 26.05.2010 04:27:08
Доброе время суток :)
Поэкперементировал: Сначала, конечно, путного мало: где-то есть, где-то нет, потом выяснилось:
Пользователь [B]отображается[/B] в продуктах версии 4.0.474 (+).
И [B]не[/B] отображаеться в версии (~) 3.0.695.
Все пользователи логинятся автоматически, т.к. на каждом из компьютеров по 1 пользователю\администратору (гостевая выключена), без пароля на уч.записе*.
*Есть, кажется, один клиент с включённой учёткой гостя, но там версия 3.0.695 (но всё-равно проверил).
Поэкперементировал: Сначала, конечно, путного мало: где-то есть, где-то нет, потом выяснилось:
Пользователь [B]отображается[/B] в продуктах версии 4.0.474 (+).
И [B]не[/B] отображаеться в версии (~) 3.0.695.
Все пользователи логинятся автоматически, т.к. на каждом из компьютеров по 1 пользователю\администратору (гостевая выключена), без пароля на уч.записе*.
*Есть, кажется, один клиент с включённой учёткой гостя, но там версия 3.0.695 (но всё-равно проверил).
Полтики клиентов, Несколько политик одному клиенту
Размещено 25.05.2010 05:23:40
Не ругайте, но листал мануал, как раз по теме, мне кажеться:
ESET Remote Administrator. Инструкция по установке и руководство пользователя. [B]Страницы 41-42[/B] (на с. 42 изображения происходящих слияний и результирующие).
[QUOTE]У каждой политики есть два базовых атрибута: «Переопределитьвсе дочерние политики» и «Реплицируемая вниз политика». Эти атрибуты определяют наследование дочерними клиентами активных параметров конфигурации.
«Переопределитьвсе дочерние политики» — принудительное изменение всех активных параметров в унаследованных политиках. Если в дочерней политике имеются отличия, [B]объединенная политика будет содержать все активные параметры из родительской политики[/B] (даже если для дочерней политики включен параметр «Переопределитьвсе дочерние политики»). [B]Все неактивные параметры из родительской политики перейдут в дочернюю политику[/B]. Если атрибут «Переопределитьвсе дочерние политики» не активирован, в[B] объединенной политике настройки дочерней политики будут иметь более высокий приоритет, чем настройки родительской политики[/B]. Такие объединенные политики применяются к другим политикам, если они связаны с ними как родительские.
«Реплицируемая вниз политика» — включение репликации на дочерние политики, т. е. такая политика может служить политикой по умолчанию для подчиненных серверов, а также назначаться клиентам, подключенным к подчиненным серверам.[/QUOTE]
ESET Remote Administrator. Инструкция по установке и руководство пользователя. [B]Страницы 41-42[/B] (на с. 42 изображения происходящих слияний и результирующие).
[QUOTE]У каждой политики есть два базовых атрибута: «Переопределитьвсе дочерние политики» и «Реплицируемая вниз политика». Эти атрибуты определяют наследование дочерними клиентами активных параметров конфигурации.
«Переопределитьвсе дочерние политики» — принудительное изменение всех активных параметров в унаследованных политиках. Если в дочерней политике имеются отличия, [B]объединенная политика будет содержать все активные параметры из родительской политики[/B] (даже если для дочерней политики включен параметр «Переопределитьвсе дочерние политики»). [B]Все неактивные параметры из родительской политики перейдут в дочернюю политику[/B]. Если атрибут «Переопределитьвсе дочерние политики» не активирован, в[B] объединенной политике настройки дочерней политики будут иметь более высокий приоритет, чем настройки родительской политики[/B]. Такие объединенные политики применяются к другим политикам, если они связаны с ними как родительские.
«Реплицируемая вниз политика» — включение репликации на дочерние политики, т. е. такая политика может служить политикой по умолчанию для подчиненных серверов, а также назначаться клиентам, подключенным к подчиненным серверам.[/QUOTE]
Больше сведений о клиенте, переменные среды Windows
Больше сведений о клиенте, переменные среды Windows
Размещено 12.05.2010 19:11:59
Со временем, конечно, "пользователь" может сам проявить свою активность подобным способом:
ERAC, Журнал угроз
Имя колонки Значение
Имя компьютера Sanya-zpc
Уровень Предупреждение
Сканер Фильтр HTTP
Объект файл
Пользователь SANYA-ZPC\Саня
В основном в качестве "Пользователя" - "NT AUTHORITY\SYSTEM", но бывает "везёт" :)
Но вопрос всё же не в долгосрочных методах, а в краткосрочных\срочных.
ERAC, Журнал угроз
Имя колонки Значение
Имя компьютера Sanya-zpc
Уровень Предупреждение
Сканер Фильтр HTTP
Объект файл
Пользователь SANYA-ZPC\Саня
В основном в качестве "Пользователя" - "NT AUTHORITY\SYSTEM", но бывает "везёт" :)
Но вопрос всё же не в долгосрочных методах, а в краткосрочных\срочных.
Больше сведений о клиенте, переменные среды Windows
Размещено 12.05.2010 18:35:53
[QUOTE]AcS пишет: ... ESET NOD32 Antivirus\ecls.exe /clean-mode=standard %temp% ...[/QUOTE]
Работает! Спасибо :) Одно "но", что это проделать придёться у клиента, т.е. "придя к нему домой" :(
Помогло бы удалённо запустить коммандную строку, но такого доступа не имею.
AcS, Благодарю :)
Работает! Спасибо :) Одно "но", что это проделать придёться у клиента, т.е. "придя к нему домой" :(
Помогло бы удалённо запустить коммандную строку, но такого доступа не имею.
AcS, Благодарю :)