Перейти к содержанию
Ummitium

NIS 2010 вопросы и неясности...

Recommended Posts

Ummitium

У меня возникли вопросы по поводу работы NIS 2010 и в этой теме я хочу получить разъяснения от опытных пользователей. Также, наверное, будет неплохо, если и другие пользователи будут задавать свои вопросы по работе продукта NIS 2010 в этой теме.

Почему у меня стало не доступно отключение Автоматической защиты от вирусов из трея?

nis5.jpg

И вообще, при ее отключении не работает только сигнатурный поиск вредоносных программ?

Norton File Insight удаляет некоторые невредоносные утилиты с пометкой Trojan-Horse, я их восстанавливаю, а он опять удаляет.

NIS детектит их сигнатурно или как?

NIS 2010 позволяет некоторым программам спокойно загружать свои драйвера и не предупреждает об этом (Quick Unpack, Filemon, Regmon, а также HideToolz (даже если исполняемый HT файл внесен в исключения автоматической защиты - загрузка драйвера-руткита не препятствуется))

Как настроить NIS 2010 таким образом, чтобы он все-таки хотябы предупреждал о том, что та или иная программа пытается загрузить свой драйвер: Запретить/Разрешить?

Спасибо.

post-6265-1253341357.jpg

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Если у кого-то возникает проблема (как правило - на Windows Vista или Windows 7), что после восстановления из Карантина файла, помещенного туда с помощью SONAR, при исключении его этот файл удаляется снова - то для исправления этого уже выпущен Фикс:

Описание.

Фикс.

По поводу недоступности пункта меню: какая ОС, как выполнялась установка: поверх или с нуля?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Почему у меня стало не доступно отключение Автоматической защиты от вирусов из трея?

ОС? Скриншот Главного Окна?

Norton File Insight удаляет некоторые невредоносные утилиты с пометкой Trojan-Horse, я их восстанавливаю, а он опять удаляет.

Norton File Insight - это информационная панель, удаляет АВ сканер реального времени, нужно добавить папку где у вас лежат "средства взлома ПО" в исключения, это возможно сделать прямо в разделе Карантин при восстановлении файла

NIS детектит их сигнатурно или как?

Сигнатурно по сигнатуре класса Trojan Horse

Как настроить NIS 2010 таким образом, чтобы он все-таки хотябы предупреждал о том, что та или иная программа пытается загрузить свой драйвер: Запретить/Разрешить?

Такой возможности нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Такой возможности нет

А если это вредоносное ПО пытается сделать (внедрить свой драйвер)? Получается, что если в сигнатурах такого вируса нет, а Сонар "проспит" такое внедрение - все? Драйвер загружен и может делать в системе что угодно? Или, даже если драйвер будет внедрен, Сонар будет отслеживать его поведение и "прибивать" когда он будет делать какое-нибудь непотребство?

А если нет, то, получается, внедряй свои злые драйверы и делай что хочешь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А если это вредоносное ПО пытается сделать (внедрить свой драйвер)? Получается, что если в сигнатурах такого вируса нет, а Сонар "проспит" такое внедрение - все? Драйвер загружен и может делать в системе что угодно? Или, даже если драйвер будет внедрен, Сонар будет отслеживать его поведение и "прибивать" когда он будет делать какое-нибудь непотребство?

А если нет, то, получается, внедряй свои злые драйверы и делай что хочешь?

сначала нужно внедрить :) и 100% защиту никто не обещает, ни один антивирус

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
сначала нужно внедрить :) и 100% защиту никто не обещает, ни один антивирус

Про 100% это я понимаю. Это я даже на данный момент и не требую (кстати, только сейчас нашел на av-comparatives августовский тест. Нортон там - МОЛОДЦОМ показал себя - ПОЗДРАВЛЯЮ! http://www.av-comparatives.org/images/stor...c_report23.pdf).

Но что значит: "сначала нужно внедрить"?. Кто ж помешает, если Norton по этому поводу не побеспокоится?

Оно, конечно, под ограниченной учетной записью вряд ли, а ну как под админом кто будет работать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
Но что значит: "сначала нужно внедрить"?. Кто ж помешает, если Norton по этому поводу не побеспокоится?

deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Ай, спасибо большое за пояснение. Стало существенно спокойнее.

А сможете отреагировать на вопросы здесь: http://www.anti-malware.ru/forum/index.php?showtopic=9546 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Драйвер AVZ даёт внедрить?

Если да, AVZ в белом списке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
deviss, был задан вопрос о возможности настроить NIS 2010 таким образом, чтобы отображалось предупреждение

о попытке установки драйвера с возможностью выбора действия.

Ответ Кирилла об отсутствии такой возможности относился лишь к отображению подобного предупреждения,

и НЕ означал того, что Norton 2010 не блокирует установку драйвера вредоносными программами.

Естественно блокирует - просто происходит это в автоматическом режиме, без необходимости беспокоить пользователя.

Vadim Fedorov, я же написал в первом сообщении:

NIS 2010 позволяет некоторым программам спокойно загружать свои драйвера и не предупреждает об этом.
Скорее всего Кирилл имел в виду отсутствие возможности контролировать загрузку драйвера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
NIS 2010 позволяет некоторым программам спокойно загружать свои драйвера и не предупреждает об этом.

А почему Norton 2010 должен препятствовать легитимным программам в установке драйвера ?

Блокируется активность вредоносных программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Драйвер AVZ даёт внедрить?

Если да, AVZ в белом списке?

AVZ прибивается Сонаром как только пытаешься его запустить. При обычном сканировании ничего зловредного в AVZ Нортон не находит, что правильно.

На данный момент, если проверить AVZ в Norton Insight, то написано, что "есть указания на то, что этот файл заслуживает доверия".

У меня AVZ запускается, потому что я нажал в Нортон Инсайт "Считать надежным", однако и после этого при запуске появилось предупреждение, что, мол, файл выполняет подозрительные действия и есть выбор - прекратить или продолжить работу его. После того, как я нажал продолжить работу - он стал запускаться без дальнейших вопросов (и после перезагрузок и т.д.). В журнале Сонара написано, что файл выполняет подозрительное действие, вы выбрали Разрешить.

Кстати, у меня в связи с этим вопрос к специалистам по Нортону: а как обратно вернуть состояние, при котором Сонар снова будет подозревать подозрительные действия (пусть, к примеру, того же AVZ)?

Ну, ведь всяко же бывает, мало ли, кто-то случайно нажал разрешить, а потом спохватился, ан нет - подозрительными эти действа уже не будут считаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Почему у меня стало не доступно отключение Автоматической защиты от вирусов из трея?

nis5.jpg

Спасибо.

Для решения проблемы достаточно из учётки с правами администратора разрешить в настройках антивируса изменение параметров с неадминистративными правами. (Настройки-прочие параметры).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium
Для решения проблемы достаточно из учётки с правами администратора разрешить в настройках антивируса изменение параметров с неадминистративными правами. (Настройки-прочие параметры).

После установки продукта это строка была доступна, потом были манипуляции с выключением/включением защиты... Учетка у меня и так одна и всегда была с правами администратора. Сейчас не могу воспроизвести, потому что переустановил NIS и не могу обновить продукт через Live Update:

nis.jpg

Я ничего не выдумываю, реально не получается обновиться, когда перед прошлым удалением выбрал сохранение всех нстроек NIS.

post-6265-1253432351_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Я ничего не выдумываю, реально не получается обновиться, когда перед прошлым удалением выбрал сохранение всех нстроек NIS.

Подождите немного, бывает после первой установки что через некоторое время все обновляется без проблем, сам с этим никогда не сталкивался, но видимо такое бывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Удалил полностью NIS без сохранения настроек и установил заново - обновился без проблем.

Вопрос насчет сетевого экрана. Все приложения выходят в сеть без запроса, утилита для тестирования фаерволов с 2ip.ru успешно выходит в сеть. Как настроить NIS так, чтобы он выдавал запрос на выход в сеть? Есть такая возможность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ummitium, по умолчанию ручной режим файервола отключен, включается через Компьютер: Параметры - Параметры сети - Интеллектуальный брандмауэр - дополнительные параметры - настроить. Пункт "Автоматическое управление программами" ставим в положение "выкл".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov

--->

6bfb5a3fa03b.png

При желании, можно также перевести в положение "ON" пункт меню "Advanced Events Monitoring" -

появится возможность самостоятельного контроля дополнительных параметров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Но потом не забывать включать "тихий" режим при запуске полноэкранных приложений, иначе будут проблемы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Спасибо! Разобрался с сетевым экраном. Вот еще вопрос:

С включенной защитой NIS 2010 нелегитимные программы могут спокойно патчить файл hosts. Как включить контроль системных файлов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Спасибо! Разобрался с сетевым экраном. Вот еще вопрос:

С включенной защитой NIS 2010 нелегитимные программы могут спокойно патчить файл hosts. Как включить контроль системных файлов?

Никак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vadim Fedorov
С включенной защитой NIS 2010 нелегитимные программы могут спокойно патчить файл hosts.

А о каких нелегитимных программах идет речь ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
А о каких нелегитимных программах идет речь ?

наверное речь идет об этом http://antivirus.about.com/od/securitytips/ss/hosts.htm (как пример)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
После установки продукта это строка была доступна, потом были манипуляции с выключением/включением защиты...

Что за манипуляции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2600

При обновлении из файлика "virus definitions" скачанного с сайта Symantec, NIS 2010 не правильно проставляет дату обновления. NIS ставит - как будто обновление и сигнатуры скачаны только что. Причём интернет выключен, т.е. pulse update тут не при чём.

Так же приходится тащить почти всю антивирусную базу при полной перестановке NIS.

4.54 МБ

2.42 МБ

45.84 МБ <---- вот оно virus definitions. Хотя с сайта Symantec сигнатуры скачаны файликом 2 дня назад.

Почему бы не внедрять инкементные обновления именно тут??? Для низкоскоростных, узких линий это было бы как нельзя лучше....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×