Перейти к содержанию
Tony

Firewall в Eset SmartSecurity 4.0

Recommended Posts

Tony

Вопрос по ESS 3.0 - фаервол нодовский стал выдавать такое- приложение Eset service (процесс ekrn.exe)пытается установить связь с удаленным компьютером. разрешить (исходящий трафик)? и айпи разных компов вылазят. Удаленный порт 31367 локальный порт 4565 Протокол TCP&UDP.

щас опять 2 вылез но уже удаленный порт 10751 и 35719 а локальный порт 4785 и 3348 (постоянно разные порты и айпи), чо делать запрещать и правило создавать или как

?

Что это такое раньше такого небыло последние 2 дня нод чето стал такое чудить хотя у меня все правила для приложений давно настроены - какое правило для этого создавать не знаю, и вообще зачем нод стал лезть на удаленные компы, он чо хочет спасти от вирусов не токо мой комп но и другие? . Подскажите кто знает

зы кстати щас запретил временно ему лезть туда перестал инет работать(опера страницы не открывает, а торент и аська работают) О_О тока после отключения фаера работает чо за блин раньше нод ваще был незаметен я его за это и уважал а щас начал мозг парить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

А если через WhoIs посмотреть?

Просто Опера,может попросту к сайтам соединятся,вот и вылазят такие сообщения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

@ Tony

Скорее всего это не сам Нод, а некоторые программы/виндовские службы, которые проходит через его прокси. Если я не ошибаюсь, то тогда в этой программе должен быть модуль для анализа системы (автозагрузки, и т.д.). Я бы посмотрел журнал. Я тоже посмотрел бы на правила файрвола для ваших программ. Журналы всего исходящего трафика создаются? Тоже интересно было бы...

Что за сеть у вас? Локальная сеть провайдера есть? Вы пользуетесь этими 'услугами'?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tony
@ Tony

Скорее всего это не сам Нод, а некоторые программы/виндовские службы, которые проходит через его прокси. Если я не ошибаюсь, то тогда в этой программе должен быть модуль для анализа системы (автозагрузки, и т.д.). Я бы посмотрел журнал. Я тоже посмотрел бы на правила файрвола для ваших программ. Журналы всего исходящего трафика создаются? Тоже интересно было бы...

Что за сеть у вас? Локальная сеть провайдера есть? Вы пользуетесь этими 'услугами'?

Paul

Да это айпи сети провайдера, кроме того нод фильтрует http трафик просто раньше для этого он никуда не лез а сейчас стал, возможно это связано с обновлением Модуля резидентного сканирования: 1196 (20090316), короче как я понял такое поведение нода нормально и можно разрешать исходящий трафик и создавать правило?

ps журналов исходящего трафика нет

psps кстати, а почему в форумах вендоров нету нода?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
короче как я понял такое поведение нода нормально и можно разрешать исходящий трафик и создавать правило?

Пока я ничего не увидел, ничего определённого сказать не могу.

ps журналов исходящего трафика нет

Жаль. Очень жаль.

psps кстати, а почему в форумах вендоров нету нода?

Понятия не имею. У них есть свой форум, кстати; советую и там посмотреть... http://esetnod32.ru/forum

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
psps кстати, а почему в форумах вендоров нету нода?

Потому что людей, являющихся не только поклонниками данного антивируса, но ещё и специалистами по нему, на портале практически нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
являющихся не только поклонниками данного антивируса, но ещё и специалистами по нему, на портале практически нет.

Я бы сказал, что таких вообще нет, не только на нашем портале. :) Не встречал еще профи, который бы рекомендовал ставить Eset, если только по причине низкой ресурсоемкости для очень слабых машин.

Если по теме, то firewall в Eset никакой, посмотрите на результаты теста Матюшека.

http://www.anti-malware.ru/forum/index.php?showtopic=5701

Напомню, что последний результат ESET Smart Security 3.0.672.0 - 4%, для сравнения у Online Armor Personal Firewall 3.0.0.190 и Outpost Security Suite Pro 2009 6.5.2514.381.0685 по 93% и это при большем количестве тестовых испытаний.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Могу сказать, что гибкости в фаерволе 4-ке нет никакой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tony

Спасибо за ответы - но тогда на какой фаервол можно перейти, если иметь в виду как раз ресурсоемкость у слабой машины (Celeron 2000 Mhz и 512 оперативы)?

Нод + например PC Tools Firewall Plus или же аутпост? На ESS перешел ИМЕННО изза пониженой ресурсозагружаемости и незаметности даже на старом компьютере, про слабый фаер у нода я слышал но всеже для обычного домашнего пользователя его должно хватать, хотя нахожусь в локальной сети в которой куча всякой заразы...

ps а тему всетаки переименовали чуть не правильно речь о ESS 3.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ничего себе слабая. У меня 1,6 Ghz.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tony
Ничего себе слабая. У меня 1,6 Ghz.

Ну просто у вас слабее, с современными компами мягко говоря сравнивать трудно :) Касперский на моем компе тормозил заметно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

У меня стоит KIS 8. Но Вы выбор, видимо, уже сделали. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Спасибо за ответы - но тогда на какой фаервол можно перейти, если иметь в виду как раз ресурсоемкость у слабой машины (Celeron 2000 Mhz и 512 оперативы)?

Фаервол в принципе на производительность сильно не влияет, поэтому в рекомендую поставить какой-либо из лидеров в тесте Матюшека. Например, те же Online Armor Personal Firewall, Outpost Firewall Pro + Jetico Personal Firewall, Comodo Firewall Pro.

Только Eset SmartSecurity тогда уже не нужен будет, в связку к фаерволу достаточно обычного антивируса Eset Nod32.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Спасибо за ответы - но тогда на какой фаервол можно перейти, если иметь в виду как раз ресурсоемкость у слабой машины (Celeron 2000 Mhz и 512 оперативы)?

Нод + например PC Tools Firewall Plus или же аутпост? На ESS перешел ИМЕННО изза пониженой ресурсозагружаемости и незаметности даже на старом компьютере, про слабый фаер у нода я слышал но всеже для обычного домашнего пользователя его должно хватать, хотя нахожусь в локальной сети в которой куча всякой заразы...

ps а тему всетаки переименовали чуть не правильно речь о ESS 3.0

Сами Есетовцы неустанно рекомендуют связку Outpost Firewall + Nod32, когда им в лоб тыкают слабостью собственного фаервола.

А ведь зараза из сетки так и лезет по неприкрытым портам. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Виталий, если выбирать по цене на softkey, то связка Eset Nod32 + Outpost Firewall обойдется в 1 080+900 = 1980 руб., а Eset SmartSecurity стоит 1690.00 руб, столько же стоит комбайн от Касперского.

Невыгодны наборные решения, в пакете всегда дешевле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

У меня друзья, кого не перевел на КИС, используют связку НОД + ZoneAlarm. При том что если не ошибаюсь ZA бесплатный. Качество ZA не могу коментировать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem
У меня друзья, кого не перевел на КИС, используют связку НОД + ZoneAlarm. При том что если не ошибаюсь ZA бесплатный. Качество ZA не могу коментировать

Мое мнение,- какая разница какой установлен FW, если пользователь будет бесконтрольно кликать по ссылкам?

Firewall, не защитит в этом случае, НОД32, тоже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Ну просто у вас слабее, с современными компами мягко говоря сравнивать трудно :) Касперский на моем компе тормозил заметно...

Присмотритесь лучше к Авире.

К ресурсам PC - этот продукт вообще не требователен - см. http://www.anti-malware.ru/node/497

+ Есть бесплатная версия.

+ Очень хорошая эвристика(одна из лучших)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon
Вопрос по ESS 3.0 - фаервол нодовский стал выдавать такое- приложение Eset service (процесс ekrn.exe)пытается установить связь с удаленным компьютером. разрешить (исходящий трафик)? и айпи разных компов вылазят. Удаленный порт 31367 локальный порт 4565 Протокол TCP&UDP.

щас опять 2 вылез но уже удаленный порт 10751 и 35719 а локальный порт 4785 и 3348 (постоянно разные порты и айпи), чо делать запрещать и правило создавать или как?

В настройках посмотрите, для каких приложений или приложений+портов включено сканирование трафика, т.е. перенаправление трафика на локальный прокси веб-антивируса нода. Какие приложения у вашего нода в списке браузеров, почтовых клиентов и т.д... и какие порты при этом прослушиваются... Все эти списки приложений и портов можно исправить вручную. Тогда вы будете знать, что именно сканируется/перенаправляется и от чьего имени выступает ekrn.exe. К примеру, все приложения посылающие исходящие тср запросы на удаленный 80 порт могут оказаться в списке браузеров, хотя не являются таковыми...

короче как я понял такое поведение нода нормально и можно разрешать исходящий трафик и создавать правило?
Номера портов какието "левые". Я б не сказал что однозначно "можно".
  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Номера портов какието "левые". Я б не сказал что однозначно "можно".

Я бы закрыл ... какого фига. -))

я так и делаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Я бы закрыл ... какого фига. -))

Поделитесь, пожалуйста: как вы закрываете удалённые порты? ;)

P.S.: Когда топик-стартер запрещает эти походы, сеть пропадает. Похоже на заражение какое-то. Но мы даже не знаем название ОС...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
seevbon
людей, являющихся не только поклонниками данного антивируса, но ещё и специалистами по нему, на портале практически нет.

Пока топик-стартер отсутствует можно еще вопросик?..

Хочу заметить что не отношусь к первым и тем более ко вторым. Однако справедливости ради стоит упомянуть что у топик-стартера проблемы с анти-лик вроде бы нету. Балуны ж появились на новую сетевую активность -фаервол не спит и не зевает. Осталось только разобраться что пытается вырваться в сеть.

Если по теме, то firewall в Eset никакой, посмотрите на результаты теста Матюшека.
Сами Есетовцы неустанно рекомендуют связку Outpost Firewall + Nod32, когда им в лоб тыкают слабостью собственного фаервола.

А ведь зараза из сетки так и лезет по неприкрытым портам.

Ради интереса -на сколько фаервол есета хуже на пробиваемость снаружи чем некоторые остальные и где у Матюшика про это или в каких других тестах?

Tony

а вы не пробовали отключить сканирование почты и веб чтобы не было перехватов трафика на локалхост и поглядеть что фаервол пробалонит?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tony
Поделитесь, пожалуйста: как вы закрываете удалённые порты? ;)

P.S.: Когда топик-стартер запрещает эти походы, сеть пропадает. Похоже на заражение какое-то. Но мы даже не знаем название ОС...

Paul

Решил перейти на другой фаер после нодовского. Он пропустил червя из локалки (хотя не знаю может фаеры его не могут задержать-или хороший фаервол его бы не пустил?), и нод его почемуто тоже не заметил - только после поставленых заплаток на xp 2sp - нод вдруг завопил что

Защита файловой системы в режиме реального времени файл

D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GY5GVAPK\smmjcftw[1].png Win32/Conficker.Z червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: D:\WINDOWS\System32\svchost.exe.

Так что буду пробовать другие фаеры....Пока на PC Tools Firewall plus free...

А еще вопрос немного не в тему - процессов svchost.exe чтото многовато аж 5 - это нормально, и новый фаер ругается что процесс запрашивает соединение через UDP 1900? Где вобще про эти процессы можно узнать поподробнее?

ps нодовский фаер радует своей незаметностью и легкой настройкой но по безопасности он видимо и вправду пока слабоват, тем более что в локальной сети куча всякой заразы тот же конфликтер пропустил...

seevbon - нет не пробовал - я временно разрешил процесс (не создавая правила) и он больше не спрашивал (прошарил еще комп AVZ свежим он никаких зловредов не нашел так что возмножно там не было ничего страшного)-а потом вскоре снес нодовский фаер и решил попробовать другие в связке с нодом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tony

Попробовал нод + пару фаеров: PC TOOLS хорош но через VPN не пустил не спрашивая в глоб не понял как разрешить пришлось снести, Outpost хорош но параноидален - не пустил пару программ в инет хотя разрешения были, да и систему он подгружает всетаки заметно оперативу в частности. Comodo подтормаживает онлайн игру почемуто...

В итоге снова вернулся на ESS как на самый легкий быстрый и не параноидальный фаер, нащет надежности согласен не самый лучший НО за почти за 2 года всего 2 косяка с этим вирусом конфликтером и процессом лезущим в инет (и не факт что это было чтото зловредное) это немного. Короче до новых косяков решил всетаки остатся на ЕSS, возмножно есет всетаки подработает фаер свой и сделает его понадежнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tony

И еще хотелось бы узнать были ли тесты фаервола 4-ки ESS, а то тройкин фаер слабоват - а вот что нащет четверки - добавили несолько настроек расширили уведомления, вроде бы добавили hips - может быть и качество защиты стало лучше? а то тестов четверки я еще не видел...

Отредактировал Tony

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×