Действия при обнаружении заражения

Компьютер отправляет вредоносный трафик eset в сети что это

Сообщения: 60
Благодарности: 5

Здравствуйте!
У меня возникла проблема с антивирусом. ESET Smart Security 7 блокирует локальную сеть.
Погуглил, нашел рекомендации здесь, но не помогло. Появилось несколько уведомлений, в каждом нажал на «Разрешить» и поставил галку на запомнить и создать правило. Не помогло. При включенном файерволе на втором компе в интернет не выйти. Нашел еще тему здесь, но там картинки удалены с хостинга по закону подлости. Был-бы хлам какой-то 100% не удалился-бы ))

Раньше сталкивался с этой проблемой на Outpost Firewall Pro, решить так и не получилось. Думал, что это баг новой версии Outpost.

ЗЫ
Система Windows 7, есть общий доступ к файлам (внешний хард по локальной сети).

Сообщения: 148
Благодарности: 77

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 60
Благодарности: 5

Megalo, что толку от описания, если практически все то-же самое отображается в самой программе?
Проблема с настройкой, а не с выбором одного из режимов.

Сообщения: 60
Благодарности: 5

5. Блокирование роутера, домашних групп/сетей и т.п.
Решение.
1) Правила и зоны -> Доверенная зона -> Выбрать свою зону(сеть) и выставить «Разрешить общий доступ».
2) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку «Блокировать исходящие запросы NETBIOS».
3) Если не помогает, Правила и зоны -> Редактор зон и правил -> Переключиться в подробный режим просмотра правил -> снять галочку «Блокировать входящие запросы NETBIOS».
4) Если не помогает, Правила и зоны -> Редактор зон и правил -> вкладка Зоны -> Выбрать «Адреса исключены из активной защиты (IDS)» и нажать кнопку «Изменить» -> В появившемся окне на вкладке «Настройка зоны» добавить необходимые IP-адреса.
5) Если вдруг не помогает, выбрать раздел «Дополнительные настройки и IDS».
5.1) Снять галочку «Блокировать небезопасные адреса после обнаружения атаки».
5.2) Если не помогает, снять галочки с «Обнаружение атаки путем подделки записей кэша ARP», «Обнаружение атаки путем подделки записей кэша DNS».
5.3) Если не помогает, снять галочки с «Обнаружение атаки сканирования портов TCP» и «Обнаружение атаки сканирования портов UDP».
5.4) Если не помогает, снять галочку c «Обнаружены скрытые данные в протоколе ICMP».

Очистка и удаление.

Если действие по умолчанию для модуля защиты файловой системы в режиме реального времени не определено, пользователю предлагается выбрать его в окне предупреждения. Обычно доступны варианты Очистить , Удалить или Ничего не предпринимать . Не рекомендуется выбирать действие Ничего не предпринимать , поскольку при этом зараженные файлы не будут очищены. Исключение допустимо только в том случае, если вы уверены, что файл безвреден и был обнаружен по ошибке.

Очистку следует применять, если файл был атакован вирусом, который добавил к нему вредоносный код. В этом случае сначала программа пытается очистить зараженный файл, чтобы восстановить его первоначальное состояние. Если файл содержит только вредоносный код, он будет удален.

Если зараженный файл заблокирован или используется каким-либо системным процессом, обычно он удаляется только после освобождения. Как правило, это происходит после перезапуска системы.

Как разрешить или запретить программе доступ в интернет в NOD32?

Всем привет Поговорим сегодня о том, как запретить проге лезть в интернет или разрешить, то есть как это все настраивается в NOD32. Значит для чего это вообще может понадобиться? Сейчас я обо всем расскажу, надеюсь что все будет понятно.

Значит дело в том, что обычная версия антивируса ESET, так бы сказать лучшая и стандартная, это версия Smart Security, потому что это и антивирус и фаервол (ну или брандмауэр). Антивирус проверяет ваш комп на вирусы, и если их находит, то делает то что нужно, то есть или удаляет, или лечит, или перемещает в карантин. В общем то что считает нужным, то и делает! А вот фаервол, это немного другое, это компонент, который следит за тем, кто идет в интернет из программ. И кому не нужно туда идти, то тем он доступ блокирует, чтобы подозрительные программы не вынесли с вашего компа ценную инфу типа паролей

Иногда бывает так, что NOD32 чудит и блокирует доступ в сеть какой-то нужной проге, то есть прога безопасная, а NOD32 думает что прога левая и подозревает ее в подозрительных хождениях в интернет, вот и блокирует ей доступ.

Вообще для этого всего есть так называемые правила, то есть правило для проги, оно может блокировать доступ в сеть, а может разрешать. Вот именно про это я и собираюсь вам сегодня рассказать. Значит так, у меня стоит версия ESET Smart Security, все пучком. Кстати, когда я поставил этот антивирус, то я узнал, что у меня какой-то левак живет на компе, ибо после включения компа появляется такое сообщение:

Тут сказано, что какая-то прога не может что-то там скачать. Она это не может сделать, потому что ESET Smart Security пронюхал что это какой-то левак и заблокировал левому процессу доступ в сеть. А я это окно не закрывал, пошел в диспетчер, нашел там на вкладке Приложение такую штуку как File Download (типа пытается что-то скачать мне на комп), нажал правой кнопкой, выбрал Перейти к процессу:

Потом уже увидел, что это процесс sm.exe, я по нему правой кнопкой нажал, выбрал пункт Открыть место хранения файла:

Ну и потом открылась вот эта папка:

Только там в пути, там VirtMachine это имя компа, ну так на всякий случай пишу, ибо у вас имя компа будет конечно другое. Что это такое? Ой ребята, честно говорю что я и близко не знаю что это, но сейчас нет времени разбираться (это комп все равно тестовый), я просто это вам показал для того, чтобы показать что типа антивирус NOD32 в принципе не плохой

Так, все, извините что отошел от темы. Значит что нужно делать? Идем в трей, там есть иконка NOD32, нажимаем по ней правой кнопкой и выбираем пункт Дополнительные настройки:

Откроется окно настроек, там выбираем раздел Персональный файервол, вот он:

Откроются настройки фаервола, то есть то, что нам нужно, тут есть все что нужно для блокировки или разрешения доступа программ в интернет:

Кстати интересно, а как правильно писать, файервол или фаервол? Я вот всю жизнь писал фаервол, а в NOD32 написано файервол… И как теперь жить дальше?

Так, ладно, как теперь добавить прогу в исключение фаервола NOD32? Значит нажимаем на Дополнительно (плюсик) и потом нажимаем Изменить напротив Правила:

Появится окно, где будут отображаться созданные правила (но у меня тут пусто, ибо никакие правила не создавал еще):

Внизу есть галочка по поводу отображения встроенных правил, вот если ее нажать, то покажется большой список уже существующих правил:

Галочку лучше снять, чтобы отображались только вручную созданные правила. Теперь, чтобы добавить новое правило, то нажимаете кнопку Добавить:

Откроется окно, теперь мы тут создадим для примера правило, которое РАЗРЕШИТ любую сетевую активность проги. Для этого заполняем все так, как вот тут показано на картинке:

Ну, название конечно можете свое задать. Дальше идем на вкладку Локальные и там вам нужно выбрать прогу, какой вы хотите РАЗРЕШИТЬ доступ в сеть навсегда, выбрать прогу можно, если нажать вот на эту кнопку:

Выбрать можно как прогу, так и ярлык ее, я вот выбрал ярлык Яндекс Браузера с рабочего стола, после чего нажал ОК:

Дальше это правило появится у вас в окне правил:

Все, Яндекс Браузеру теперь разрешен доступ в сеть. После создания правила, вам нужно закрыть окна NOD32 (ну то есть не закрыть, а нажать там везде ОК). Давайте еще раз, что мы сделали? Мы вручную создали правило, которое разрешает доступ в сеть Яндекс Браузеру. Точно таким же способом можно доступ и запретить, просто нажмите два раза по существующему правилу и в меню Действие выберите Запретить:

И вот этим мы запретили доступ в сеть Яндекс Браузеру. Таким образом можно любой программе заблокировать доступ в сеть ну или разрешить. При этом, после того как вы заблокировали доступ, то может быть такое что прога еще сможет ходить в интернет, это просто еще старые соединения открыты, когда они закончатся, то прога уже не сможет пойти в интернет. В общем я может ошибаюсь, но такая штука точно есть, я заблокировал Яндекс Браузеру доступ в интернет, но с например с ВКонтакте он смог соединится. Но когда я перезагрузил комп, то уже не смог вообще ни с кем соединится

Я еще раз проверил, снова разрешил доступ в интернет для Яндекс Браузера, а потом запретил. И таки да, некоторые сайты все равно продолжали работали, и наверно некоторое время они еще бы работали, но я сделал перезагрузку, чтобы проверить, и потом уже никакой сайт не открывался в Яндекс Браузере! Так что NOD32 работает, просто немного с опозданием..

Ну что ребята, вроде бы у меня получилось вам ответить на вопрос как разрешить или запретить проге лезть в интернет в NOD32? Ну то есть для этого нужно просто создать правило, которое будет разрешать доступ в интернет или запрещать. Если это вдруг НЕ СРАБОТАЕТ, то может быть правило уже есть, его нужно просто отредактировать, об этом я уже писал выше. В общем не думаю что у вас будут проблемы с этим, как создать правило я показал, как запретить сетевую активность или разрешить я показал, ну а как удалить правило, то да, я этого не показал, но там все просто, нажимаете один раз по правилу и потом внизу кнопку Удалить нажимаете. В общем все просто ребята!

Надеюсь что вам тут таки все было понятно, что инфа была полезной, ну а если что-то не так, то извините… Удачи вам и чтобы все у вас было хорошо

Почему появляется проблема с капчей

Проблема обычно возникает в ситуации, когда поисковиком Гугл фиксируется большое количество практически одновременных запросов с одного IP-адреса, что позволяет серверу идентифицировать активность с такого адреса как «подозрительную».

Конкретные же причины произошедшего могут быть следующими:

• Вы быстро выполняете сразу несколько поисковых запросов в Гугл;
• Вы подключены к VPN;
• На вашем ПК имеется вирус, активно содействующий возможности сети;
• Ваша сеть используйте публичные IP-адреса, к примеру, публичный прокси-сервер;
• Вы используете автоматизированную поисковую программу;
• Множество людей в вашей сети выполняют поиск одновременно;
• В фоне вашего ПК работает какой-либо процесс, активно отправляющий через сеть какие-либо данные;
• В вашем браузере установлено расширение (дополнение), активно работающее с сетью.

4 ответа 4

Я не хочу, чтобы ESET вообще могла перехватывать мой HTTPS-трафик!

Вы можете навсегда отключить «Банковская защита и защита платежей» следующим образом:

1. Откройте ESET Smart Security. Как открыть мой продукт ESET?

2. Нажмите «Настройка», затем нажмите «Инструменты безопасности»

3. Нажмите на зеленую ползунок рядом с надписью «Защита банковских и платежных услуг», чтобы включить или отключить защиту.

4. Выберите «Отключить навсегда» из выпадающего меню и нажмите «Применить».

   Если вы приостановите или отключите защиту, защищенный браузер не запустится при посещении банковского веб-сайта. Пока защита отключена, данные не шифруются, а драйвер для защиты от клавиатурных шпионов не включен.

Это принятый ответ

Ниже приведен ответ Дэвида об отключении функции «Защита банков и платежей». Однако мой вопрос был более общим. Чтобы полностью отключить фильтрацию HTTPS, которая выполняется с помощью сертификата ESET «SSL Filter CA», необходимо сделать следующее:

1. Open Smart Security 9
2. Нажмите Настройка
3. Нажмите Защита Интернета
4. Нажмите на значок шестеренки рядом с защитой веб-доступа.
5. Нажмите на веб-протоколы
6. Отключить проверку HTTPS

Я обнаружил, что это отключает сертификат ESET при просмотре веб-сайтов HTTPS, что я и хотел.

Ответ на вопрос «Что здесь происходит?«:

На самом деле он не перехватывает ваш HTTPS-трафик. Ну, по крайней мере, не в этот момент. Если вы посмотрите на свою адресную строку:

Понятно, что вы перенаправлены на eset.com , а не перехвачены ! Он работает точно так же, как коммерческие горячие точки или брандмауэры, перенаправляющие вас на портал авторизации.

Но как он перехватывает вашу связь? А как узнать, перехвачен ли ты или нет? Брандмауэр, перехватывающий ваше соединение, на самом деле соединяется с целевым сайтом с использованием действующего сертификата SSL, а затем представляет вам целевую веб-страницу (за исключением использования своего собственного сертификата, вместо целевого веб-сайта, как прокси-сервер сайта). Но это не так просто, потому что центр сертификации вашего браузера должен доверять сертификату. Если он еще не использует доверенный сертификат в вашем ЦС, вы получите предупреждение системы безопасности, в котором указано «Сертификат недействителен» (и имеется возможность добавить исключение). Если он использует уже действующий сертификат, такой как сертификат для eset.com , он загружает веб-страницу, но если вы проверите сертификат, вы увидите сертификат для ESET, а не для PayPal.

Этот метод также используется при сканировании HTTPS WAF (брандмауэр веб-приложений) и функции блокирования контента CyberGhost VPN: «Удалите социальные плагины, такие как кнопка« Мне нравится »в Facebook, которые могут анализировать поведение в Интернете» .

Блог Андрея Ткаченко

Так что же нажимать если вдруг установленный у Вас антивирус выдал Вам вот такое окошко? Пусть даже оно будет не в зеленой, а в красной рамке. Красная или зеленая рамка зависит от входящего или исходящего трафика.

На рисунке сверху красной чертой около которой единичка подчеркнуто название программы которая пытается выйти в Интернет. В данном случае это Opera Internet Browser. Затем нужно решить: будем ли мы выпускать эту программу в интернет или заблокируем ей доступ? И обязательно поставить галочку “Запомнить действие (создать правило)”. Если этого не сделать, то выскакивать такое окошко будет каждый раз, как только программа будет выходить в Интернет. И вы просто устанете каждый раз нажимать кнопочку Разрешить или Запретить. И будете жаловаться что Вас достают эти окошки. А вот не забывайте ставить галку “Запомнить действие” и всё будет в порядке. Ну может не один, может 2-3 раза придется сделать это для одной и той же программы. Но не постоянно же!
Следующее. Кому разрешать а кому запрещать?

Тип программы	Иконки этих программ	Название программ	Что с ней делать
Браузеры		Опера, Google Chrome, Mozilla, Internet Explorer, Браузер Интернет (на движке Chrom’а вроде бы) и другие подобные программы	Конечно же, разрешать! Ведь если этим программам запретить выход в Интернет, то браузеры не смогут отображать сайты в Интернете
Программы для общения		Skype, Google Talk (мало распространен), Mail.Ru Агент, ICQ, QIP (русский аналог ICQ, довольно популярен) и другие подобные программы	Тоже разрешать, иначе мы не сможем общаться через эти программы.
Закачка		uTorrent, Download Master (наша, отечественная программка), FlashGet (когда-то была достаточно популярна), MediaGet, Zona (не нашел её иконки) и подобные им программки	Правильно! Тоже разрешать! Иначе они не смогут скачивать нам фильмы, музыку и все остальное!
Игрушки!		Касается только online игрушек. Потому что, к примеру, FarCry взломанный если поставить, то его нельзя в Интернет выпускать. А то его запустить не получится. А всякие World Of Tanks и подобные им онлайн-игрушки конечно нужно выпускать. КонтрСтрайк нужно выпускать, а то не получится поиграть по сети	Смотря кому. Он-лайн игрушкам разрешаем, остальным на всякий случай запрещаем.
Всякие редакторы и офисные программы		Microsoft Word, Microsoft Excel, Adobe Photoshop, Corel Draw (типа фотошопа, но еще и с векторной графикой, короче графический редактор), Abbyy Finereader (программа для распознавания текста со сканера или pdf), Nero (програма записи на диски), Lingvo (словарь), Promt (словарь), Pragma (не нашел иконки, такая зеленая решетка) ну и подобные программы	Как правило, все эти программы платные. И взломанные. И часто пытаются проверить правильность своей установки или активации. Конечно же, через Интернет. Крайне желательно запретить! Нечего этим программам делать в Интернете!
Проигрывател Aimp, The KMPlayer и т.д.		Aimp (спорный вопрос, плеер этот бесплатный, и может воспроизводить онлайн радио, например, для этого его нужно выпускать в Интернет. А так – ни к чему), то же и с TheKMPlayer – вроде бесплатный, если не для онлайн просмотра, то запрещать. И VLC Media Player – тоже безопасный вроде.	Решать вам
Просмотрщик Picasa		Через этот просмотрщик можно опубликовывать свои фотографии и картинки на сайт, так что если это необходимо, то разрешаем. Если нет, то запрещаем	Решать вам
Проигрыв-атель Windows Media Player		Абсолютно ни к чему! Являясь частью Виндовса может нарушить активацию винды если вылезет в Интернет	Конечно, запрещать
SkyNet VPN		Если окошко с запросом выскакивает ИМЕННО В МОМЕНТ ПОДКЛЮЧЕНИЯ К SkyNet VPN то, естественно разрешать. Поразрешаете им немного, не забывая ставить галочку “Запомнить действие”, потом этих запросов не будет	Конечно, разрешать!

Если какой-то программы нет в списке, то обращаем внимание на: 1) платная ли программа? если платная то нельзя ей в Интернет. 2) нужен ли ей для работы Интернет? если это какой-то редактор, просмотрщик, плеер то скорее всего нет – не нужен ей выход в Интернет (кроме случаев, описанных выше)
Можно еще попробовать отключить Интернет и запустить программу. Запустится? Работает? Значит и Интернет для работы ей не нужен – значит, запрещаем.
Ну вот и всё! Итак, если вдруг выскочило окошко, то делаем всё по пунктам.
1. Смотрим что за программа
2. Ставим галочку “Запомнить действие”
3. Рассуждаем и выбираем “Запретить” или “Разрешить” выход этой программы в Интернет.
Если вспомню еще что-то, добавлю в табличку.
И кстати, у всего есть обратный ход. Если вдруг Вы создали правило и у Вас что-то перестало работать, то правило всегда можно удалить. Для этого нужно:
1) нажать правой кнопкой на значке Антивируса и выбрать пункт “Открыть окно”

2) Слева выбрать Настройка – потом она прираскроется и там выбрать Персональный фаервол и потом справа уже “Настроить правила и зоны”

К примеру мы ошибочно запретили Опере выходить в Интернет. Тогда находим в этом списке правило для Оперы. Оно будет называться Opera Internet Browser (по имени программы) и рядышком будет иконка Оперы.

Видно что напротив в некоторых столбцах стоит красный крестик и написано “Запретить”. Нам нужно это правило удалить. Для этого раскрываем слева строчку с Оперой (1). Выделяем запрещающее правило (2) и нажимаем кнопочку Удалить (Del) (3).

После этого внизу окошка жмем кнопочку ОК. И закрываем главное окно Антивируса. Теперь как только мы запустим Оперу снова и попытаемся загрузить какой-то сайт, сразу выскочит запрос. В котором мы уже не ошибемся и выберем правильное действие – разрешим Опере сетевую активность.