Jump to content

Проблем с Hips на NOD 32 antivirus 5


Препоръчан пост

Здравейте. Реших да изпробвам новия и прехвален NOD 32 v.5 и какво се получи:

Инсталацията мина успешно. Направих някой дребни настройки, но когато активирах Xips, оооо чудо!!!. Това нещо започна да ми трие безразборно регистрите на компа, добре че се усетих. Въпросното чудо не подлежи и на контрол и се наложи да го спра. Някъде четох, че тази версия нанасяла непоправими щети, ЗАЩО??? Че нанася щети, нанася само че при мен изтри някой явно неща, който за сега не ми се отразяват на работата на компютъра. Как се настройва това нещо HIps?

С WIN XP/ prof съм и SP/2 с ъбдейти само по сигурноста.

Link to comment
Сподели другаде

В интерес на истината не съм много сигурен какво се случва. Истината е, че компа се държи странно след инсталацията т.е възможно е и до въпрос на още настройки. Изтеглих си и упътване за инсталация за версията. Когато активирам HIPS, който съм поставил в Интерактивен режим, на десктопа се извежда екран с предложение за отхвърляне или приемане на действие, но каквато и команда да задам, то този екран не се маха при никакви обстоятелства и блокира почти напълно компа. Използвам вградената стена на XP но в случая е свалена. Нямам вируси. На приложената картинка от рег. файла на Hips, /който не е коректен поради факта, че има изтрити записи, но все пак за примера/ на някой от посочените отметки, като Допълнително действие, беше посочено - Изтриване

Изтриване на пр. svhost.exe, wuauclt.exe и някой други.

Интересното е , че за сега компа работи относително стабилно без системни грешки, като изключим една малка издънка с Nero

 

Ето и картинката http://dox.bg/files/dw?a=5596f6fe88

Link to comment
Сподели другаде

На снимката не се вижда пълноценно информацията. Иначе по описанието ти излиза, че самият HIPS модул или цялата антивирусна не се държат както трябва. Актуална версия на ESET NOD32 ли си инсталирал?

Ще може ли все пак снимка и на прозореца, който се появява и не се маха?

Link to comment
Сподели другаде

В интерес на истината не съм много сигурен какво се случва. Истината е, че компа се държи странно след инсталацията т.е възможно е и до въпрос на още настройки. Изтеглих си и упътване за инсталация за версията. Когато активирам HIPS, който съм поставил в Интерактивен режим, на десктопа се извежда екран с предложение за отхвърляне или приемане на действие, но каквато и команда да задам, то този екран не се маха при никакви обстоятелства и блокира почти напълно компа. Използвам вградената стена на XP но в случая е свалена. Нямам вируси. На приложената картинка от рег. файла на Hips, /който не е коректен поради факта, че има изтрити записи, но все пак за примера/ на някой от посочените отметки, като Допълнително действие, беше посочено - Изтриване

Изтриване на пр. svhost.exe, wuauclt.exe и някой други.

Интересното е , че за сега компа работи относително стабилно без системни грешки, като изключим една малка издънка с Nero

 

Ето и картинката http://dox.bg/files/dw?a=5596f6fe88

 

Минал си в интерактивен режим и ще те спука от въпроси за всяко нещо

Върни първоначалните настройки и изтрий създадените от теб правила и после прочети малко по въпроса.

Хипса не трие - блокира или разрешава.

Link to comment
Сподели другаде

Въпросният NOD е изтеглен от официалната страница на NOD за България, и в момента е в Trial режим, със легитимен Trial код от същата страница, а Trial защото не знаех дали ще ми хареса. Принципно, като се направят някой настройки, NOD-a се държи прилично. Подведе ме Инструкцията за активиране /взета също от официалната страница/, която ме накара да въведа XIPS в Интерактивен режим. Там започнаха и проблемите. Днес вкарах XIPS в Автоматичен режим и всичко се оправи. Притеснявам се само дали наистина XIPS докато беше в Интерактивен режим - дали изтри някой регистри. Така и не разбрах какво точно се случи, не схванах много и от рег. записа на XIPS. За сега компа не дава признаци за увреждания???

 

Night _Raven, не мога да приложа исканото от теб, защото когато се появи този прозорец, компа ми е практически блокиран. Стои си прозореца и не подлежи на управление, иска само да променя и така до рестарт от копчето. Това само при режим различен от Автоматичен за XIPS. Иначе прозореца е стандартния диалогов за XIPS, кото различното е само това което се иска да промени.

 

NIKSSi, Това което си написал е доста обнадеждаващо за мен, тъй като не мога да възтановя системата т.е. функцията е изключена, правилата мисля, че ги изтрих - не съм много сигурен. Щом казваш "не трие" то това исках да чуя, разбира се ако наистина е така.

 

 

п.с Все пак не знам как да проверя целоста на регистър, без инсталация на допълнителни програми, обяснете ама като за по-начинаещ :jokingly:

Link to comment
Сподели другаде

 

 

Аз с мойте скромни познания за пръв път чувам ХИПС да трие регистри?? Сега ако НОД е открил зарази в регистрите и иска да ги неутрализира е друг въпрос,но да ти трие регистри ни една антивирусна не съм чул да го прави,а още по малко пък ХИПС ,не се притеснявай няма от какво,отделен въпрос е че от новия НОД не съм много доволен и го махнах почти веднага...А и ХИПС-а на НОД си е гола вода доста се изписа по въпроса,най-добре го спри и си сложи стена с ХИПС,ако искаш да ползваш такъв,ако ли не си карай с НОД и Windows Firewall

 

Целоста на регистъра няма какво да го проверяваш той непрекъснато се изменя при инсталации на игри програми и други,ако има някакви проблеми Windows ще те уведоми,да сложиш диск и да дадеш Repair например....

Link to comment
Сподели другаде

Ще споделя мнението на nikssi. HIPS (Host-based Intrusion Prevention System) следи и контролира работата на системата. Програми от този вид само блокират и/или разрешават дадени действия, които се извършват от нея.

 

Що се отнася до изискването на Night_Raven - нямате ли наличен телефон или фотоапарат с който да снимате въпросния прозороц?

Link to comment
Сподели другаде

Дааа признавам, че изобщо не съм на ясно с някой тънкости, а XIPS ми е "Пълна Индия" и колкото по- чета толкова по.се оплитам. Ще се доверя на вашите мнения. След поставянето на XIPS в режим автоматичен, нещата се кротнаха. Ще го оставя така до изтичане на Trial-a после ще видим!

Благодаря на всички за мненията и помоща. А помоща ми трябваше спешно :)

Link to comment
Сподели другаде

Никаква Индия-ХИПС е програма,която следи всяко действие на системата и пита потребителя дали да го разреши или да го блокира-при инсталиране на програми,игри,писане в регистрите и т.н. Най общо казано излишно обяснение,което няма ефект тъй като съобщенията често са неразбираеми за обикновения потребител.

 

и той ги разрешава за да не би ХИПС-а да блокира програмата или играта,която инсталира,та се получава че ХИПС е просто загуба на време..

Link to comment
Сподели другаде

HIPS не е загуба на време. Напротив, HIPS-базираните програми са изключително полезни в засилването на сигурността на дадена система. Това, че те са предназначени за по-напреднали потребители е съвсем друг въпрос. Ако се дава само Allow на всяко запитване от страна на HIPS-a, то от него няма абсолютно никакъв смисъл.
Link to comment
Сподели другаде

Знаете,че много много не харесвам продуктите на ЕСЕТ. Много негативи ми е натрупал досега,но няма как да се съглася с мнението,че Хипса на НОД не може да се настройва и не е ефективен. Може и то доста добре да се настройва,както и пази доста прилично само малко четене и експериментиране трябва.

 

Качвам Ви отчасти едно мое мнение в друг форум.

 

 

Автоматичен режим - Конфигуриране на правилата - създаваме си правилото AntiWinLock :

 

 

http://i043.radikal.ru/1109/66/306207f0f6fe.jpg

 

 

 

Автоматичен режим - Конфигуриране на правилата - Целеви регистър - Използвай за всички операции - Добави

в стойност копираме ключът от регистъра и даваме ОК и после пак ОК. Вкарваме ги един по един защото ако ги вкарате всичките ще даде,че не се поддържа операцията. Затова един по един.

 

 

 

http://s003.radikal.ru/i203/1109/80/888267fc7def.jpg

 

Може да сложим тука и тези отметки

 

http://s54.radikal.ru/i143/1109/0d/4ad1f7720946.jpg

 

 

Оставяме правилото да пита докато направим правилата за приложенията си. След като сме създали правилата си минаваме на блокирай. Така няма да има никакви въпроси. Може да отметнете горе вдясно и да ви известява и т.н. това няма да пречи но ще води дневник и ще излизат прозорци в трея,че процеса е блокиран.

 

http://s15.radikal.ru/i188/1109/b2/f2677f4e2fd4.jpg

 

 

Ето и ключовете

 

 

 

 

HKEY_LOCAL_MACHINE\BCD00000000\*\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\egui

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*\

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\*\*

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\*\

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*\

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\*\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*

 

 

 

 

Тествано е на виртуалката под Windows XP SP3 (x86) ,ако някой се сети за още нещо да го цвъка и да тества.

С тези настройки много малко поражения е имала системата и то при зверско използване run=>run=>run http://www.kaldata.com/forums/public/style_emoticons/default/smile.gif

 

http://www.youtube.com/watch?v=JiVdspttMsM

 

 

Имате възможност първо да минете в обучаващ режим и после да създадете правилата си. При създаването на правилата обърнете и внимание на допълнителните опции и ги направете както смятате за нужно.

Препоръчвам първо да си зипишите един конфигурационен файл с текущите настройки и при промяната им да го записвате пак. Така после бързо ще върнете настройките както ви харесват.

 

Приятно тестване.

Link to comment
Сподели другаде

  • 1 month later...
Здравейте, HIPS-а ми се изключи автоматично и не мога да го накарам да влезе отново в режим. Изписва се и съобщение за невалидни правила, но така или иначе не мога да вляза в менюто за управление на правилата за да направя евентуални корекции. HIPS е в автоматичен режим. MBAM не открива нищо. Иначе XP/sp2 + някой кръпки. Какво да направя?
Link to comment
Сподели другаде

Здравейте, HIPS-а ми се изключи автоматично и не мога да го накарам да влезе отново в режим. Изписва се и съобщение за невалидни правила, но така или иначе не мога да вляза в менюто за управление на правилата за да направя евентуални корекции. HIPS е в автоматичен режим. MBAM не открива нищо. Иначе XP/sp2 + някой кръпки. Какво да направя?

Стартирай отново актуалния инсталационен файл и ще ти предложи поправка на инсталацията!

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...