Доброе время суток!

Предисловие: Эту тему не получилось грамотно разбить на две: о ERA и о Antivirus.

Ситуация:
Требуеться средствами "ERAS 3", "ERAC 3" и "NOD32 Antivirus 4.2" опознать подключившегося к серверу клиента (пользователя).
Т.е. к серверу подключается несколько клиентов, но сведений (имя компьютера, домен\раб. группа, ip, mac etc) для опознания (человека) не хватает.

О продукте клиента прочитал:
ESET NOD32 Antivirus 4. Руководство пользователя (для продукта версии 4.2 и более поздних версий)
*Старница 17, 4.1.5.2 Объекты сканирования.
В данном случае можно так же указать путь\директорию к папке\файлу.

Личный опыт:
Я пробовал указывать некоторые переменные (%temp% и другие), сканирование началось и завершилось сразу, но дирректория не была просканированна, т.к. цитирую:
--------------------
Журнал проверки
Версия базы данных сигнатур вирусов: 5102 (20100510)
Дaтa: 10.05.2010  Время: 20:59:25
Просканированные диски, папки и файлы: %temp%
%temp% - Ошибка открытия  [4]
Количество просканированных объектов: 0
Количество обнаруженных угроз: 0
Время выполнения: 20:59:25  Общее время проверки: 0 сек. (00:00:00)

Примечания:
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.
--------------------

Ранее для опознания использовал "Журнал сканера" ERAC, где иногда в пути упоминались имена учётных записей.

Т.к. имена пользователей у всех разные, конкретного пути нет, но было бы выходом использовать переменную среды.
Да, можно запустить сканирование всей дирректории "C:\Documents and Settings\", но процессом сканирования будут затронуты другие пути, и процесс сканирования может затянуться, не говоря уже о снижении производительности системы.
Так же не считаю, из-за долгосрочности и ресурсоёмкости, процесс сканирования логического диска (целиком).

Вопрос 1:
Можно ли в качестве объекта сканирования в поле ввода пути\дирректории использовать переменные среды Windows (XP PRO SP3), например, %temp% или что-то подобное\аналогичное?

Вопрос 2:
Могли бы ещё посоветовать способ получения имени пользователя, я подумываю о "ESET SysInspector", может быть ещё что-то подскажите?

Вопрос 3: Если поддержки переменных в Антивирусе нет, имеет ли смысл написать просьбу о введении таковой в теме "Предложения"? Т.е. Помимо меня оно ещё кому-то нужно\пригодиться или "забыть"? :)

Благодарю! А так же поздравляю с наступившими праздниками! :)

crank69, что значит словит? 1) Антивирус поймает\обнаружет\нейтрализует троян ИЛИ 2) Троян подчинит\сломает\нарушит работу антивируса...? Судя по фразе "который подменит", делаю вывод, что верно п.2.
Если верно п.1, то второго быть не может.
Если верно п.2, то возвращаемся к моему вопросу (#1) и ответу уважаемого Алексея (#3). Имхо.

Доброе время суток.
Прошу извинить меня за поднятие темы и не совсем по теме вопрос :(
Озадачен, что при, например, удалённой установке или же чего-то ещё... необходимым условием является наличие пароля у учётной записи, которая будет использована для удалённой работы. Это встречаеться здесь и в любом другом случае, когда дело касаеться удалённого доступа. Меня это озадачивает при "администрировании" обычных "юзеров", которым подавай все права, без заморочек, т.е. без паролей и назойливых окон... естественно администрированием в таком случае назвать это сложно, но всё же... установка пароля даже на стороннюю учётную запись может вызвать "конфликт", и собственно вопрос:
Кто-то как-то может посоветовать метод обхода\исключение в данном случае, как осуществлять подключения без указания пароля, или указание "пустоты", т.е. запрос пароля будет, но поле можно оставить пустым, и связь произойдёт...?
"Гуглить" пока не получается из-за отсутсвия грамотного словосочетания :( Максимум - попадаю на всякие кряки\хаки и т.д :(

[B]stopudof[/B],
Если честно, то я не знаю тонкостей данного вопроса, в связи с чем обратился. Не смотря на возможность отказа - "комерческая\"авторская" тайна".

[B]Алексей[/B],
Благодарю за ответ. Я, думаю, в таком случае можно попробовать (как понимаю, такого ещё нет) защититься "самозащитой", т.е. Антивирус должен сам как-то проанализировать эти файлы с сигнатурами. Но опять же вопрос: либо заводить вторую базу, чтоб с её помощью проверять сигнатуры - что, простите, бред, либо иметь какой-то минимум сигнатур в наличии, но и его же, скорее всего, можно будет обмануть :(
Я полагаю данная ситуация может возникнуть в [B]любом[/B] защищающем компьютер ПО и с этим, видимо, нельзя бороться, а точнее не возможно, т.к. нарушается "жизненно важный цикл" программы по оказанию защиты.

Доброе время суток.
Вопрос мой, затрагивает как не оффициальную сторону продуктов ESET, так и вполне оффициальную, вплодь до ответа "комерческая тайна":
Возможна ли ситуация на не оффициальном сервере обновлений и с продуктом (антивирусом) у конечного пользователя:
Фальсификация\фейк\подделка сигнатур (файлов содержащих обновления\сигнатуры) и публикация их как новейшие\актуальные, пользователь скачивает их, и т.к. сигнатуры теряют своё свойство, антивирус не в состоянии защитить компьютер пользователя.
Более точные вопросы:
1) Возможна ли модификация сигнатур, с целью нарушения защиты на компьютере пользователя?
2) Как поведёт себя антивирус?
Прошу ответить не за тех кто "модифицирует" и "пользуется" нелегальными обновлениями, а за возможное или не возможное поведение ПО - т.е. Антивируса.
P.S. Я пониманию и знаю, что Вы ответите примерно следующим, что в таком случае не отвечаете за продукт и не оказываете поддержку, а так же, что вообще это может быть наказуемо по отношению к модификатору и пользователю, но вопрос не в этом.

Благодарю за внимание и оказание поддержки в данном вопросе.
С уважением, Евгений.

Доброе время суток, уважаемые.
Удивляет эта некая реакция "пойти на поводу" у злоумышленников. Былоб наверное веселее, отгадывать загадки - не правда ли? Конечно это не принесёт доход, как в случае с смс...
А поделу скажу следующие, что пока антивирусы и фаерволы "обучались" борьбе с этой якобы панацеей, приходилось помогать знакомым вручную, это конечно не удивительно, но и делалось наипростое, в кратце - нашёл\вычислил\удалил - всё!
Конечно, если сравнивать затраченый ручной\не автоматизированный труд по выявлению и уничтожению этого ПО с тупым вводом кода - это да, легче не придумаешь :D А вот писать программу, которая за пользователя введёт цифры - это простите уже бред :) По крайней мере это следует из слов о "RansomHide" - "Более 1500 номеров...".
В той же программе можно было написать нормальный код уничтожения ПО.
Как сейчас дело обстоит _сейчас_ у вас и ваших "коллег" (ДрВеб, Касперский etc) я незнаю, но любопытно :) Разумеется, интересует подход к заразе не с пряником (к слову о "RansomHide" etc), а кнутом (Вычислить и удалить) ;)
А сам без антивируса посидел уже прилично, но наличие не таких просвещённых домоседов заставляет свой труд автоматизировать :(
И опять же мучает, что фаервол это одно, а антивирус - другое.