Показать сообщение отдельно

Re: NOD32 - вопросы, проблемы, обсуждения
Старый 13.06.2014, 17:26   #958
Форумчанин
 
Аватар для кот Баюн

 
Регистрация: 22.03.2013
Адрес: город Пенза
Сообщений: 886

кот Баюн вне форума

ESET - вопросы, проблемы, обсуждения


Цитата:
Сообщение от KONDOR88 Посмотреть сообщение
Настройки для ESET
Нажмите чтобы раскрыть спойлер
<?xml version="1.0" encoding="utf-8"?>
<ESET>
<SECTION ID="1000103">
<SETTINGS>
<PLUGINS>
<PLUGIN ID="1000001">
<PROFILES>
<NODE NAME="@My profile" TYPE="SUBNODE">
<NODE NAME="enabled" VALUE="1" TYPE="DWORD" />
<NODE NAME="selfdefense" VALUE="1" TYPE="DWORD" />
<NODE NAME="debug" VALUE="0" TYPE="DWORD" />
<NODE NAME="filteringMode" VALUE="18" TYPE="DWORD" />
<NODE NAME="learningModeEnd" VALUE="AAAAAAAAAAA=" TYPE="BINARY" />
<NODE NAME="rulesDiff" TYPE="XML">
<OPTIONS>
<OPTION OPTNAME="LogBlocked" VALUE="1" ID="2" DESC="Р✯В✯Р✯ВµР✯С–Р✯ёСЃС‚СЂР✯ёСЂР✯С•Р✯Р †Р✯°С‚СЊ Р✯ІСЃР✯Вµ Р✯В·Р✯В°Р✯В±Р✯В»Р✯С•Р✯С”Р✯ёСЂР✯С•Р✯Р†Р✯В°Р✯Р…Р✯ ЅС‹Р✯Вµ Р✯С•Р✯С—Р✯µСЂР✯°СвЂ✯Р✯С‘Р✯С‘" DEFAULT="0" />
<OPTION OPTNAME="RegistryDefaultAllow" VALUE="1" ID="3" DESC="Р✯В✯Р✯В°Р✯В·РЎР‚Р✯µС€Р✯ёС‚СЊ Р✯С‘Р✯В·Р✯С?Р✯ВµР✯Р…Р✯ВµР✯Р…Р✯ёСЏ Р✯Р† С‡Р✯°СЃС‚СЊ РЎР‚Р✯ВµР✯µСЃС‚СЂР✯В°, Р✯ѕС‚Р✯Р…Р✯ѕСЃСЏС‰СѓСЋСЃСРЏ Р✯С” Р✯С—РЎР‚Р✯С‘Р✯В»Р✯С•Р✯В¶Р✯ВµР✯Р…Р✯ёСЏР✯С?, Р✯Т‘Р✯»СЏ Р✯С”Р✯ѕС‚Р✯ѕСЂР✯С•Р✯в„– Р✯Р…Р✯Вµ Р✯В·Р✯В°Р✯Т‘Р✯В°Р✯Р…Р✯С• Р✯С—РЎР‚Р✯В°Р✯Р†Р✯С‘Р✯В»" DEFAULT="1" />
<OPTION OPTNAME="FileDefaultAllow" VALUE="1" ID="4" DESC="Р✯В✯Р✯В°Р✯В·РЎР‚Р✯µС€Р✯ёС‚СЊ Р✯Р†Р✯Р…Р✯µСЃР✯ВµР✯Р…Р✯С‘Р✯Вµ Р✯С‘Р✯В·Р✯С?Р✯ВµР✯Р…Р✯ВµР✯Р…Р✯С‘Р✯в„– Р✯Р† С„Р✯В°Р✯в„–Р✯»С‹ Р✯Т‘Р✯В°Р✯Р…Р✯ЅС‹С…, Р✯Т‘Р✯»СЏ Р✯С”Р✯ѕС‚Р✯ѕСЂС‹С… Р✯Р…Р✯Вµ Р✯В·Р✯В°Р✯Т‘Р✯В°Р✯Р…Р✯С• Р✯С—РЎР‚Р✯В°Р✯Р†Р✯С‘Р✯В»" DEFAULT="1" />
<OPTION OPTNAME="ReportStartupChangesDefaultOff" VALUE="1" ID="6" DESC="Р✯РЋР✯С•Р✯С•Р✯±С‰Р✯ёС‚СЊ Р✯С•Р✯В± Р✯С‘Р✯В·Р✯С?Р✯ВµР✯Р…Р✯ВµР✯Р…Р✯ёСЏС… РЎР‚Р✯ВµР✯С–Р✯ёСЃС‚СЂР✯°СвЂ✯Р✯С‘Р✯С‘ Р✯В·Р✯В°Р✯їСѓСЃР✯С”Р✯В°" DEFAULT="0" />
</OPTIONS>
<RULE ID="{244D2C80-9C9F-4771-A55F-05C9740D6A9E}" NAME="AntiMbrLocker_config_by_Angel-iz-Ada" ACTION="B" DISABLED="0">
<OPERATIONS>
<OPERATION ID="File_DirectDiskAccess" />
</OPERATIONS>
</RULE>
</NODE>
</NODE>
</PROFILES>
</PLUGIN>
</PLUGINS>
</SETTINGS>
</SECTION>
</ESET>


Нажмите чтобы раскрыть спойлер
<?xml version="1.0" encoding="utf-8"?>
<ESET>
<SECTION ID="1000103">
<SETTINGS>


<PLUGINS>


<PLUGIN ID="1000001">
<PROFILES>
<NODE NAME="@My profile" TYPE="SUBNODE">
<NODE NAME="enabled" VALUE="1" TYPE="DWORD" />
<NODE NAME="selfdefense" VALUE="1" TYPE="DWORD" />
<NODE NAME="filteringMode" VALUE="18" TYPE="DWORD" />
<NODE NAME="learningModeEnd" VALUE="AAAAAAAAAAA=" TYPE="BINARY" />
<NODE NAME="rulesDiff" TYPE="XML">
<OPTIONS>
<OPTION OPTNAME="LogBlocked" VALUE="0" ID="2" DESC="Р✯егистрировать РІСЃРµ заблокированные операции" DEFAULT="0" />
<OPTION OPTNAME="ReportStartupChangesDefaultOff" VALUE="0" ID="6" DESC="Сообщать об изменениях приложений, загружаемых при запуске системы" DEFAULT="0" />
</OPTIONS>
<RULE ID="{6777071C-85A4-41D1-8C1F-6F25E11538B7}" NAME="Пользовательское правило: разрешить dmadmin.exe svchost.exe vds.exe VSSVC.exe mmc.exe wmiprvse.exe eAgentc.exe" ACTION="1" DISABLED="0">
<SOURCES>
<PE_MODULE PATH="%windir%\system32\dmadmin.exe" />
<PE_MODULE PATH="%windir%\System32\svchost.exe" />
<PE_MODULE PATH="%windir%\System32\vds.exe" />
<PE_MODULE PATH="%windir%\System32\services.exe" />
<PE_MODULE PATH="%windir%\System32\VSSVC.exe" />
<PE_MODULE PATH="%windir%\system32\mmc.exe" />
<PE_MODULE PATH="%windir%\system32\wbem\wmiprvse.exe" />
<PE_MODULE PATH="%windir%\system32\SrTasks.exe" />
<PE_MODULE PATH="%windir%\system32\ReAgentc.exe" />
</SOURCES>
<OPERATIONS>
<OPERATION ID="File_DirectDiskAccess" />
</OPERATIONS>
</RULE>
<RULE ID="{C558370A-130E-4560-A5FD-0348117AD6D7}" NAME="Пользовательское правило: разрешить ctfmon.exe msiexec.exe svchost.exe taskhostex.exe WinSAT.exe runonce.exe" ACTION="1" DISABLED="0">
<SOURCES>
<PE_MODULE PATH="%windir%\System32\msiexec.exe" />
<PE_MODULE PATH="%windir%\system32\ctfmon.exe" />
<PE_MODULE PATH="%windir%\system32\svchost.exe" />
<PE_MODULE PATH="%windir%\System32\taskhostex.exe" />
<PE_MODULE PATH="%windir%\system32\WinSAT.exe" />
<PE_MODULE PATH="%windir%\system32\runonce.exe" />
<PE_MODULE PATH="%windir%\system32\wbem\wmiprvse.exe" />
<PE_MODULE PATH="%windir%\system32\rundll32.exe" />
<PE_MODULE PATH="%windir%\system32\mshta.exe" />
<PE_MODULE PATH="%windir%\system32\msfeedssync.exe" />
</SOURCES>
<OPERATIONS>
<OPERATION ID="Registry_Delete" />
<OPERATION ID="Registry_Modify" />
</OPERATIONS>
</RULE>
<RULE ID="{BDA76E18-E124-4181-8014-756DFAAABF2C}" NAME="3) AntiLocker_config_by_Angel-iz-Ada_Hosts" ACTION="F" DISABLED="0">
<OPERATIONS>
<OPERATION ID="File_AllOperations" />
</OPERATIONS>
<TARGETS>
<FILE PATH="%windir%\System32\drivers\etc\hosts" />
</TARGETS>
</RULE>
<RULE ID="{0CD1FF5B-B154-4408-BF7A-FFA7D152E367}" NAME="2) AntiLocker_config_by_Angel-iz-Ada_Files &amp; Winlogon " ACTION="E" DISABLED="0">
<OPERATIONS>
<OPERATION ID="File_Delete" />
<OPERATION ID="File_Modify" />
<OPERATION ID="Registry_Delete" />
<OPERATION ID="Registry_Modify" />
</OPERATIONS>
<TARGETS>
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s NT\CurrentVersion\Winlogon\Userinit" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s NT\CurrentVersion\Winlogon\Shell" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s NT\CurrentVersion\Winlogon\System" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Wow6432Node\Microsoft\ Windows NT\CurrentVersion\Winlogon\Shell" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Wow6432Node\Microsoft\ Windows NT\CurrentVersion\Winlogon\Userinit" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Wow6432Node\Microsoft\ Windows NT\CurrentVersion\Winlogon\System" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows NT\CurrentVersion\Winlogon\Userinit" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows NT\CurrentVersion\Winlogon\Shell" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows NT\CurrentVersion\Winlogon\System" />
<FILE PATH="%windir%\System32\taskmgr.exe" />
<FILE PATH="%windir%\System32\userinit.exe" />
<FILE PATH="%windir%\SysWOW64\userinit.exe" />
<FILE PATH="%windir%\SysWOW64\taskmgr.exe" />
</TARGETS>
</RULE>
<RULE ID="{17D707AC-34DA-434E-9A0C-56085AE339C4}" NAME="6) AntiLocker_config_by_Angel-iz-Ada_StartPage" ACTION="B" DISABLED="0">
<OPERATIONS>
<OPERATION ID="Registry_AllOperations" />
</OPERATIONS>
<TARGETS>
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Internet Explorer\Main\Start Page" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Internet Explorer\Main\Default_Page_URL" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Intern et Explorer\Main\Default_Page_URL" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Intern et Explorer\Main\Start Page" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page" />
</TARGETS>
</RULE>
<RULE ID="{C30042BD-68F5-421E-AFBA-4FA429128474}" NAME="4) AntiLocker_config_by_Angel-iz-Ada_LANchange" ACTION="B" DISABLED="0">
<OPERATIONS>
<OPERATION ID="Registry_AllOperations" />
</OPERATIONS>
<TARGETS>
<REGKEY PATH="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\*" />
</TARGETS>
</RULE>
<RULE ID="{C11CCDC6-77AA-42CB-8DF8-B5817BD57C12}" NAME="Пользовательское правило: разрешить svchost.exe" ACTION="1" DISABLED="0">
<SOURCES>
<PE_MODULE PATH="%windir%\System32\svchost.exe" />
</SOURCES>
<OPERATIONS>
<OPERATION ID="File_Delete" />
<OPERATION ID="File_Modify" />
</OPERATIONS>
</RULE>
<RULE ID="{6DB0D2A0-80E3-4D8F-A3AA-67606F220A73}" NAME="5) AntiLocker_config_by_Angel-iz-Ada_MBR" ACTION="B" DISABLED="0">
<OPERATIONS>
<OPERATION ID="File_DirectDiskAccess" />
</OPERATIONS>
</RULE>
<RULE ID="{FE2817C2-EBB1-4C8F-A652-411A4E87A37C}" NAME="1) AntiLocker_config_by_Angel-iz-Ada_Autorun, Tasks, Policies,HostsBase,Proxy &amp; Other" ACTION="F" DISABLED="0">
<OPERATIONS>
<OPERATION ID="File_Delete" />
<OPERATION ID="File_Modify" />
<OPERATION ID="Registry_Delete" />
<OPERATION ID="Registry_Modify" />
</OPERATIONS>
<TARGETS>
<REGKEY PATH="HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\Explorer\*" />
<REGKEY PATH="HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Policies\System\*" />
<REGKEY PATH="HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\*" />
<REGKEY PATH="HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\RunServices\*" />
<REGKEY PATH="HKEY_CURRENT_USER\SOFTWARE\Policies\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Poli cies\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s NT\CurrentVersion\Image File Execution Options\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s NT\CurrentVersion\Windows\AppInit_DLLs" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Policies\Explorer\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Policies\System\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\RunServices\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows NT\CurrentVersion\Image File Execution Options\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows\CurrentVersion\Policies\Explorer\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows\CurrentVersion\Policies\System\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows\CurrentVersion\Run\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows\CurrentVersion\RunServices\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\mkdrv\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Newdriver\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\DataBasePath" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\*" />
<REGKEY PATH="HKEY_USERS\*\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Internet Settings\Zones\*" />
<REGKEY PATH="HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Micr osoft\Windows\CurrentVersion\Internet Settings\Zones\*" />
<REGKEY PATH="HKEY_CLASSES_ROOT\exefile\*" />
<FILE PATH="%windir%\system32\tasks\*" />
<FILE PATH="%windir%\tasks\*" />
</TARGETS>
</RULE>
</NODE>
</NODE>
</PROFILES>
</PLUGIN>










</PLUGINS>


</SETTINGS>
</SECTION>
</ESET>


Нажмите чтобы раскрыть спойлер

Настройка HIPS в ESET NOD32 5.x✯[осн]
Написал:✯Angel-iz-Ada✯16:18 25 сен 2011
В новой версии этого антивируса появилась такая функция (правильнее даже сказать технология) как HIPS и в связи с этим постараюсь немного описать как можно защитить работу ОС с помощью этой фишки.
Сначала в двух словах о технологии:
HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует, отметить, что эффективность HIPS может доходить до 100%, однако, большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.

Подробнее о HIPS написано✯здесь
Так, начнем наверное.
Для начала надо открыть окно антивируса и нажать F5 чтобы попасть в Расширенные настройки.✯
Переходим в самый первый раздел - Компьютер и выбираем пункт Система предотвращения вторжения на узел (это и есть HIPS. просто в русской локализации по идиотски назвали✯ ✯) и убеждаем что у нас включена эта функция и самозащита антивируса - Self-defense

Далее заходим в Дополнительные настройки и ставим галочки как на скрине. Это нужно для того, чтобы антивирус нас оповещал об изменениях в разделе автозагрузка - будь то служба или какая-то программа, вне зависимости где она прописалась.

После этого можем идти в Настройку правил. Кстати режим режим фильтрации в этом разделе должен оставаться как по умолчанию - Автоматический с правилами.

Здесь мы жмем на Создать и вписываем любое имя этой новой настройки. Я написал Hosts, потому что думал в этом конфиге защитить только 1 файлик, но потом подумал и решил все защищенные объекты/ветки реестра вписать в одном конфиге. Не забываем выставить нужные галочки


Теперь мы переходим во вкладку Конечные файлы, жмем Добавить и вписываем эти значение по очереди - вписали первое - нажали OK, затем опять Добавить и вписываем другое значение
(если система у вас установлена на другом разделе, то меняете буку C на другую)
%systemroot%\System32\taskmgr.exe
%systemroot%\System32\userinit.exe
%systemroot%\System32\drivers\etc\*



И теперь вписываем все эти значения по очереди - вписали первое - нажали OK, затем опять Добавить и вписываем другое значение
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\DataBasePath
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run\*
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVer sion\RunOnce\*


На этом наша настройка окончена. Нажимаем на ОК.
Теперь при любой попытке любых приложений изменить файл hosts чтобы вписать туда ненужные нам параметр - система обнаружения антивируса будет нас об этом оповещать

и уже мы будем решать - разрешать изменения (если мы знаем кто и что там пытается прописать) или заблокировать действие (если окошко возникло само по себе или при запуске подозрительной программы)

оже самое мы будем видеть при попытке добавить в реестр записи в места автозагрузки приложений или изменения параметров запуска оболочки системы или изменении пути к hosts файлу



После этих манипуляций нам не страшны будут различные порно баннеры и зловреды того плана, мы будем на 100% защищены от них


Первые две можно просто импортировать,3 надо настраивать вручную.
Далее заходим в Дополнительные настройки и ставим галочки как на скрине а СКРИН ГДЕ ?
__________________
Если мои ответы пугают тебя, перестань задавать страшные вопросы
  Ответить с цитированием
 
Яндекс.Метрика