ESET Smart Security 4

Transcription

ESET Smart Security 4
Podręcznik użytkownika
(dotyczy programu w wersji 4.2 lub nowszej)
Microsoft® Windows® 7 / Vista / XP / NT4 / 2000 / 2003 / 2008
Spis treści
1. ESET NOD32 Antivirus 4...........................4
1.1 Nowości........................................................................ 4
1.2 Wymagania systemowe.................................................. 4
2. Instalacja...............................................5
2.1
2.2
2.3
2.4
2.5
Instalacja typowa.......................................................... 5
Instalacja niestandardowa.............................................. 6
Korzystanie z oryginalnych ustawień............................... 7
Wprowadzanie nazwy użytkownika i hasła....................... 8
Skanowanie komputera na żądanie................................. 8
3. Przewodnik dla początkujących................9
Copyright © 2010 ESET, spol. s r. o.
Program ESET NOD32 Antivirus został opracowany przez
firmę ESET, spol. s r.o.
Więcej informacji można uzyskać w witrynie www.eset.com.
Wszelkie prawa zastrzeżone. Żadna część niniejszej
dokumentacji nie może być powielana, przechowywana
w systemie pobierania ani przesyłana w żadnej formie
bądź przy użyciu jakichkolwiek środków elektronicznych,
mechanicznych, przez fotokopiowanie, nagrywanie,
skanowanie lub w inny sposób bez uzyskania pisemnego
zezwolenia autora.
Firma ESET, spol. s r.o. zastrzega sobie prawo do
wprowadzania zmian w dowolnych elementach opisanego
oprogramowania bez uprzedniego powiadomienia.
Dział obsługi klienta — cały świat: www.eset.eu/support
Dział obsługi klienta — Ameryka Północna: www.eset.com/
support
REV.20100225-008
3.1
Tryby interfejsu użytkownika — wprowadzenie................. 9
3.1.1
Sprawdzanie działania systemu...............................9
3.1.2
Postępowanie w przypadku, gdy program
nie działa poprawnie............................................. 10
3.2 Ustawienia aktualizacji..................................................10
3.3 Ustawienia serwera proxy..............................................10
3.4 Ochrona ustawień.........................................................10
4. Praca z programem ESET NOD32 Antivirus.12
4.1 Antywirus i antyspyware............................................... 12
4.1.1
Ochrona systemu plików w czasie rzeczywistym.....12
4.1.1.1
Ustawienia sprawdzania........................................12
4.1.1.1.1
Skanowane nośniki ...............................................12
4.1.1.1.2 Skanowanie po wystąpieniu zdarzenia....................12
4.1.1.1.3 Dodatkowe aparatu ThreatSense dla nowo
utworzonych i zmodyfikowanych plików................12
4.1.1.1.4 Ustawienia zaawansowane....................................12
4.1.1.2
Poziomy leczenia...................................................12
4.1.1.3
Zmienianie ustawień ochrony w czasie
rzeczywistym ........................................................13
4.1.1.4
Sprawdzanie skuteczności ochrony w czasie
rzeczywistym ........................................................13
4.1.1.5
Co zrobić, jeśli ochrona w czasie rzeczywistym
nie działa................................................................. 13
4.1.2
Host Intrusion Prevention System (HIPS).................13
4.1.3
Ochrona programów poczty e-mail........................13
4.1.3.1
Sprawdzanie protokołu POP3.................................13
4.1.3.1.1 Zgodność..............................................................14
4.1.3.2
Integracja z programami poczty e-mail...................14
4.1.3.2.1 Dołączanie notatki do treści wiadomości................14
4.1.3.3
Usuwanie zagrożenia.............................................15
4.1.4
Ochrona dostępu do stron internetowych...............15
4.1.4.1
Protokoły HTTP, HTTPS...........................................15
4.1.4.1.1 Zarządzanie adresami............................................15
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.1.4.1.2 Przeglądarki internetowe.......................................15
4.1.5
Skanowanie komputera.........................................16
4.1.5.1
Typ skanowania.....................................................16
4.1.5.1.1 Skanowanie standardowe......................................16
4.1.5.1.2 Skanowanie niestandardowe.................................16
4.1.5.2
Skanowane obiekty............................................... 17
4.1.5.3
Profile skanowania................................................ 17
4.1.6
Ochrona protokołów.............................................. 17
4.1.6.1
Protokół SSL.......................................................... 17
4.1.6.1.1 Zaufane certyfikaty................................................18
4.1.6.1.2 Wykluczone certyfikaty..........................................18
4.1.7
Ustawienia parametrów technologii ThreatSense....18
4.1.7.1
Ustawienia obiektów.............................................18
4.1.7.2
Opcje....................................................................19
4.1.7.3
Leczenie................................................................19
4.1.7.4
Rozszerzenia.........................................................19
4.1.7.5
Limity....................................................................19
4.1.7.6
Inne..................................................................... 20
4.1.8
Wykryto zagrożenie.............................................. 20
Aktualizowanie programu.............................................. 21
4.2.1
Ustawienia aktualizacji.......................................... 21
4.2.1.1
Profile aktualizacji................................................. 22
4.2.1.2
Zaawansowane ustawienia aktualizacji................. 22
4.2.1.2.1 Tryb aktualizacji.................................................... 22
4.2.1.2.2 Serwer proxy........................................................ 22
4.2.1.2.3 Połączenie z siecią LAN.......................................... 23
4.2.1.2.4 Tworzenie kopii aktualizacji — kopia dystrybucyjna.... 23
4.2.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyjnej...... 24
4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacją przy
użyciu kopii dystrybucyjnej...................................... 25
4.2.2
Tworzenie zadań aktualizacji................................. 25
Harmonogram..............................................................25
4.3.1
Cel planowania zadań........................................... 25
4.3.2
Tworzenie nowych zadań...................................... 25
Kwarantanna.............................................................. 26
4.4.1
Poddawanie plików kwarantannie......................... 26
4.4.2
Przywracanie plików z kwarantanny...................... 26
4.4.3
Przesyłanie pliku z kwarantanny............................ 26
Pliki dziennika............................................................... 27
4.5.1
Administracja dziennikami.................................... 27
Interfejs użytkownika.................................................... 27
4.6.1
Alerty i powiadomienia......................................... 28
ThreatSense.Net.......................................................... 29
4.7.1
Podejrzane pliki.................................................... 29
4.7.2
Statystyka............................................................30
4.7.3
Przesyłanie...........................................................30
Administracja zdalna..................................................... 31
Licencje........................................................................ 31
5. Użytkownik zaawansowany................... 32
5.1 Ustawienia serwera proxy..............................................32
5.2 Eksportowanie i importowanie ustawień........................32
5.2.1
Eksportuj ustawienia............................................ 32
5.2.2
Importuj ustawienia............................................. 32
5.3 Wiersz polecenia...........................................................32
5.4 ESET SysInspector.........................................................33
5.4.1
Interfejs użytkownika i użycie aplikacji................... 34
5.4.1.1
Sterowanie programem........................................ 34
5.4.1.2
Nawigowanie w programie ESET SysInspector........ 34
5.4.1.3
Porównanie.......................................................... 35
5.4.1.4
SysInspector jako komponent programu
ESET NOD32 Antivirus 4......................................... 35
5.4.1.5 Skrypt usługi........................................................ 36
5.4.1.5.1 Generowanie skryptów usługi............................... 36
5.4.1.5.2 Struktura skryptu usługi........................................ 36
5.4.1.5.3 Jak wykonywać skrypty usługi............................... 37
5.5 ESET SysRescue............................................................ 37
5.5.1
Minimalne wymagania......................................... 37
5.5.2
W jaki sposób utworzyć ratunkową płytę CD.......... 37
5.5.2.1
Foldery................................................................. 38
5.5.2.2 ESET Antivirus...................................................... 38
5.5.2.3 Zaawansowane.................................................... 38
5.5.2.4 Startowe urządzenie USB...................................... 38
5.5.2.5 Nagrywanie.......................................................... 38
5.5.3
Praca z programem ESET SysRescue....................... 38
5.5.3.1
Użycie programu ESET SysRescue.......................... 39
6. Słowniczek...........................................40
6.1 Typy zagrożeń.............................................................. 40
6.1.1
Wirusy.................................................................40
6.1.2
Robaki.................................................................40
6.1.3
Konie trojańskie....................................................40
6.1.4
Programy typu rootkit...........................................40
6.1.5
Adware.................................................................41
6.1.6
Spyware................................................................41
6.1.7
Potencjalnie niebezpieczne aplikacje.......................41
6.1.8
Potencjalnie niepożądane aplikacje.........................41
1. ESET NOD32 Antivirus 4
Program ESET NOD32 Antivirus 4 jest następcą wielokrotnie nagradzanego
produktu ESET NOD32 Antivirus 2.*. Oferuje on szybkość skanowania
i precyzję narzędzia ESET NOD32 Antivirus, zapewnianą przez
najnowszą wersję technologii skanowania ThreatSense®.
Zastosowane zaawansowane techniki umożliwiają profilaktyczne
blokowanie wirusów, oprogramowania szpiegującego, koni trojańskich,
robaków, oprogramowania reklamowego i programów typu rootkit
bez spowalniania działania systemu i przeszkadzania użytkownikowi
podczas pracy lub gry na komputerze.
1.1
Inne
Funkcja
Opis
ESET SysRescue
Program ESET SysRescue umożliwia tworzenie
startowego nośnika CD/DVD/USB zawierającego
program ESET Smart Security, który działa
niezależnie od systemu operacyjnego. Umożliwia
on pozbycie się z systemu trudnych do usunięcia
zagrożeń.
ESET SysInspector
Program ESET SysInspector jest teraz
zintegrowany bezpośrednio z programem
ESET Smart Security i służy do dokładnego
sprawdzania stanu komputera. W przypadku
kontaktowania się z naszymi specjalistami
przy użyciu formularza dostępnego z poziomu
opcji Pomoc i obsługa > Skontaktuj się
z pomocą techniczną można załączyć zapis
bieżącego stanu z programu ESET SysInspector.
Ochrona
dokumentów
Ochrona dokumentów służy do skanowania
dokumentów pakietu Microsoft Office przed ich
otwarciem, jak również plików automatycznie
pobieranych przez program Internet Explorer
(np. elementów Microsoft ActiveX).
Technologia Self
Defense
Nowa technologia Self Defense chroni
składniki programu ESET Smart Security
przed próbami dezaktywacji.
Interfejs
użytkownika
Interfejs użytkownika umożliwia teraz pracę
w trybie niegraficznym, co pozwala na obsługę
programu ESET Smart Security za pomocą
klawiatury. Ulepszona zgodność z czytnikami
ekranowymi umożliwia osobom niewidomym
i niedowidzącym efektywniejszą obsługę programu.
Nowości
Wieloletnie doświadczenie specjalistów z firmy ESET pozwoliło opracować
całkowicie nową architekturę programu ESET NOD32 Antivirus, która
gwarantuje maksymalną skuteczność wykrywania zagrożeń przy
minimalnych wymaganiach systemowych.
•
•
Antywirus i antyspyware
Ten moduł działa w oparciu o technologię ThreatSense®, którą
zastosowano po raz pierwszy w nagradzanym programie NOD 32
Antivirus. W nowej architekturze programu ESET NOD32 Antivirus
zoptymalizowano i udoskonalono mechanizm ThreatSense®.
Funkcja
Opis
Udoskonalone
leczenie
Obecnie program antywirusowy w sposób
inteligentny leczy i usuwa większość
wykrytych infekcji bez konieczności działania
ze strony użytkownika.
Tryb skanowania
w tle
Skanowanie komputera może być
przeprowadzane w tle, bez obniżania
wydajności systemu.
Mniejsze pliki
aktualizacji
Optymalizacja silnika skanowania
pozwoliła na zmniejszenie rozmiarów
plików aktualizacji w stosunku do wersji 2.7.
Zwiększono również skuteczność ochrony
plików aktualizacji przed uszkodzeniem.
Ochrona
popularnych
programów
pocztowych
Można obecnie skanować wiadomości
przychodzące nie tylko w aplikacji
MS Outlook, ale również w programach
Outlook Express, Windows Mail, Windows
Live Mail i Mozilla Thunderbird.
Wiele dodatkowych
usprawnień
—Bezpośredni dostęp do systemów plików
w celu zwiększenia szybkości i wydajności
działania.
—Blokowanie dostępu do zainfekowanych
plików.
—Optymalizacja pod kątem Centrum
zabezpieczeń systemu Windows, w tym
systemu Vista.
1.2 Wymagania systemowe
Aby zapewnić płynne działanie programu ESET NOD32 Antivirus,
komputer powinien spełniać następujące wymagania dotyczące
sprzętu i oprogramowania:
ESET NOD32 Antivirus:
Windows NT4 SP6,
2000, XP
Procesor 32-bitowy (x86)/64-bitowy (x64)
o częstotliwości taktowania 400 MHz
128 MB pamięci systemowej RAM
130 MB wolnego miejsca na dysku twardym
Karta graficzna Super VGA (800 × 600)
Windows 7, Vista
Procesor 32-bitowy (x86)/64-bitowy (x64)
o częstotliwości taktowania 1 GHz
512 MB pamięci systemowej RAM
130 MB wolnego miejsca na dysku twardym
Karta graficzna Super VGA (800 × 600)
ESET NOD32 Antivirus Business Edition:
Procesor 32-bitowy (x86)/64-bitowy (x64)
Windows NT4 SP6,
2000, 2000 Server, XP, o częstotliwości taktowania 400 MHz
128 MB pamięci systemowej RAM
2003 Server
130 MB wolnego miejsca na dysku twardym
Karta graficzna Super VGA (800 × 600)
Windows 7, Vista,
Procesor 32-bitowy (x86)/64-bitowy (x64)
Windows Server 2008 o częstotliwości taktowania 1 GHz
512 MB pamięci systemowej RAM
130 MB wolnego miejsca na dysku twardym
Karta graficzna Super VGA (800 × 600)
UWAGA: Technologie Anti Stealth i Self Defense nie są dostępne na
platformie Windows NT4 SP6.
4
2. Instalacja
Po zakupie programu ESET NOD32 Antivirus z witryny internetowej
firmy ESET należy pobrać program instalacyjny w postaci pakietu msi.
Następnie należy uruchomić program instalacyjny, a kreator instalacji
poprowadzi użytkownika przez proces podstawowej konfiguracji.
Dostępne są dwa typy instalacji o różnych poziomach szczegółowości
ustawień:
Kolejnym krokiem instalacji jest konfigurowanie systemu
monitorowania zagrożeń ThreatSense.Net. System monitorowania
zagrożeń ThreatSense.Net pomaga zapewnić natychmiastowe
i ciągłe informowanie firmy ESET o nowych infekcjach, tak aby mogła
ona szybko reagować i chronić swoich klientów. System umożliwia
zgłaszanie nowych zagrożeń do laboratorium firmy ESET, gdzie są one
analizowane, przetwarzane i dodawane do bazy sygnatur wirusów.
1. Instalacja typowa
2. Instalacja niestandardowa
2.1
Instalacja typowa
Instalacja typowa jest zalecana dla użytkowników, którzy chcą
zainstalować program ESET NOD32 Antivirus z ustawieniami domyślnymi.
Ustawienia domyślne programu zapewniają maksymalny poziom
ochrony, odpowiedni w przypadku użytkowników, którzy nie chcą
konfigurować ustawień szczegółowych.
Pierwszym, bardzo ważnym krokiem jest wprowadzenie nazwy
użytkownika i hasła w celu automatycznego aktualizowania programu.
Odgrywa to istotną rolę w zapewnieniu ciągłej ochrony systemu.
Wprowadź w odpowiednich polach nazwę użytkownika i hasło, czyli
dane uwierzytelniające otrzymane po zakupie lub rejestracji produktu.
Jeśli w chwili obecnej nie posiadasz nazwy użytkownika i hasła,
zaznacz opcję Wprowadź później nazwę użytkownika i hasło. Dane
uwierzytelniające można później wprowadzić w dowolnym momencie
bezpośrednio w programie.
Domyślnie zaznaczone jest pole wyboru Włącz system
monitorowania zagrożeń ThreatSense.Net, co powoduje włączenie
tej funkcji. Aby zmodyfikować szczegółowe ustawienia dotyczące
przesyłania podejrzanych plików, kliknij przycisk Ustawienia
zaawansowane.
Kolejnym krokiem procesu instalacji jest konfigurowanie wykrywania
potencjalnie niepożądanych aplikacji. Potencjalnie niepożądane
aplikacje nie muszą być tworzone w złych intencjach, ale mogą
negatywnie wpływać na działanie systemu operacyjnego.
Te aplikacje często są dołączane do innych programów i mogą być
trudne do zauważenia podczas procesu instalacji. W trakcie instalacji
tych aplikacji zazwyczaj wyświetlane jest powiadomienie, jednak
mogą one zostać łatwo zainstalowane bez zgody użytkownika.
Wybierz opcję Włącz wykrywanie potencjalnie niepożądanych
aplikacji, aby zezwolić programowi ESET NOD32 Antivirus na
wykrywanie zagrożeń tego typu (zalecane).
5
Ostatnim krokiem instalacji typowej jest potwierdzenie instalacji
poprzez kliknięcie przycisku Instaluj.
Po wprowadzeniu nazwy użytkownika i hasła kliknij przycisk Dalej,
aby skonfigurować połączenie internetowe.
2.2 Instalacja niestandardowa
Jeśli używany jest serwer proxy, należy go prawidłowo skonfigurować
w celu poprawnego działania funkcji aktualizacji sygnatur wirusów.
Jeśli nie masz pewności, czy przy połączeniu internetowym używany
jest serwer proxy, pozostaw ustawienie domyślne Nie wiem, czy
podczas łączenia z Internetem używany jest serwer proxy. Użyj
ustawień z programu Internet Explorer. i kliknij przycisk Dalej.
Jeśli nie korzystasz z serwera proxy, wybierz odpowiednią opcję.
Instalacja niestandardowa jest przeznaczona dla użytkowników
zaawansowanych, którzy chcą modyfikować ustawienia
zaawansowane podczas instalacji.
Pierwszym krokiem jest wybór docelowej lokalizacji instalacji.
Domyślnie program jest instalowany w folderze C:\Program Files\
ESET\ESET NOD32 Antivirus\. Kliknij przycisk Przeglądaj, aby zmienić
tę lokalizację (niezalecane).
Następnie wprowadź nazwę użytkownika i hasło. Ten krok jest
identyczny jak w przypadku instalacji typowej (patrz strona 5).
6
Aby skonfigurować ustawienia serwera proxy, wybierz opcję
Korzystam z serwera proxy i kliknij przycisk Dalej. Wprowadź
adres IP lub URL serwera proxy w polu Adres. W polu Port określ
port, na którym serwer proxy akceptuje połączenia (domyślnie 3128).
W przypadku, gdy serwer proxy wymaga uwierzytelniania, należy
podać poprawną nazwę użytkownika i hasło dostępu do tego serwera.
Ustawienia serwera proxy można również skopiować z programu
Internet Explorer. W tym celu kliknij przycisk Zastosuj i potwierdź wybór.
UWAGA: Po uaktualnieniu komponentu programu zazwyczaj
wymagane jest ponowne uruchomienie komputera. Zalecanym
ustawieniem jest W razie potrzeby uruchom ponownie komputer
bez powiadomienia.
Kolejnym krokiem instalacji jest wprowadzenie hasła chroniącego
parametry programu. Wybierz hasło, które będzie chronić program.
Wpisz hasło ponownie, aby je potwierdzić.
Kliknij przycisk Dalej, aby przejść do okna Konfiguruj ustawienia
automatycznej aktualizacji. Ten krok umożliwia określenie sposobu
obsługi automatycznych aktualizacji komponentów programu
w danym systemie. Kliknij opcję Zmień, aby uzyskać dostęp do
ustawień zaawansowanych.
Jeśli komponenty programu nie mają być aktualizowane, należy
wybrać ustawienie Nigdy nie aktualizuj komponentów programu.
Wybranie opcji Pytaj przed pobraniem komponentów programu
powoduje wyświetlanie okna potwierdzenia przed pobraniem
komponentów programu. Aby włączyć automatyczne uaktualnianie
komponentów programu bez wyświetlania monitu, wybierz
opcję Wykonaj uaktualnienie komponentu programu, jeśli jest
dostępne.
Kroki obejmujące konfigurację systemu monitorowania zagrożeń
ThreatSense.Net oraz wykrywanie potencjalnie niepożądanych
aplikacji są takie same jak w przypadku instalacji typowej i nie zostały
przedstawione w tym miejscu (patrz strona 5).
W ostatnim kroku wyświetlane jest okno, w którym użytkownik
wyraża zgodę na instalację.
2.3 Korzystanie z oryginalnych ustawień
W przypadku ponownej instalacji programu ESET NOD32 Antivirus
wyświetlana jest opcja Użyj bieżących ustawień. Zaznacz tę opcję,
aby przenieść parametry ustawień z oryginalnej instalacji do nowej.
7
2.4 Wprowadzanie nazwy użytkownika i hasła
2.5 Skanowanie komputera na żądanie
Dla uzyskania optymalnej funkcjonalności ważne jest automatyczne
aktualizowanie programu. Jest to możliwe tylko wtedy, gdy
w ustawieniach aktualizacji zostały prawidłowo wprowadzone nazwa
użytkownika i hasło.
Po zainstalowaniu programu ESET NOD32 Antivirus należy wykonać
skanowanie komputera w poszukiwaniu szkodliwego kodu. Aby
szybko uruchomić skanowanie, wybierz w menu głównym opcję
Skanowanie komputera, a następnie w oknie głównym programu
wybierz opcję Skanowanie standardowe. Więcej informacji na
temat funkcji skanowania komputera można znaleźć w rozdziale
„Skanowanie komputera”.
Jeśli nazwa użytkownika i hasło nie zostały wprowadzone podczas
instalacji, można tego dokonać po jej zakończeniu. W oknie głównym
programu kliknij opcję Aktualizacja, a następnie kliknij opcję
Ustawienia nazwy użytkownika i hasła. W oknie Szczegóły licencji
wprowadź dane otrzymane wraz z licencją produktu.
8
3. Przewodnik dla początkujących
Niniejszy rozdział zawiera ogólny opis programu ESET NOD32
Antivirus i jego podstawowych ustawień.
3.1
Tryby interfejsu użytkownika — wprowadzenie
Główne okno programu ESET NOD32 Antivirus jest podzielone
na dwie główne sekcje. Znajdująca się po lewej stronie kolumna
zapewnia dostęp do łatwego w obsłudze menu głównego. Znajdujące
się po prawej stronie okno główne programu służy najczęściej
do wyświetlania informacji dotyczących opcji wybranej w menu
głównym.
Poniżej opisano opcje dostępne w menu głównym:
Stan ochrony — dostarcza informacji o stanie ochrony programu
ESET NOD32 Antivirus w formie przyjaznej dla użytkownika. Jeśli
uruchomiony jest tryb zaawansowany, wyświetlany jest stan
wszystkich funkcji ochrony. Kliknięcie funkcji powoduje wyświetlenie
informacji o jej bieżącym stanie.
Skanowanie komputera — pozwala skonfigurować i uruchomić
skanowanie komputera na żądanie.
Aktualizacja — zapewnia dostęp do funkcji aktualizacji, która
umożliwia zarządzanie aktualizacjami bazy sygnatur wirusów.
Ustawienia — umożliwia dostosowanie poziomu zabezpieczeń
komputera. Jeśli uruchomiony jest tryb zaawansowany, zostaną
wyświetlone podmenu funkcji ochrony antywirusowej i antyspyware.
Narzędzia — jest dostępna tylko w trybie zaawansowanym. Zapewnia
dostęp do plików dziennika, kwarantanny i harmonogramu.
Pomoc i obsługa — umożliwia uzyskanie dostępu do plików pomocy,
bazy wiedzy firmy ESET, witryny internetowej firmy ESET oraz
utworzenie zgłoszenia do działu obsługi klienta.
Interfejs użytkownika programu ESET NOD32 Antivirus pozwala na
przełączanie się między trybem standardowym i zaawansowanym.
Aby przełączyć między trybami, użyj łącza Wyświetlanie znajdującego
się w lewym dolnym rogu okna głównego programu ESET NOD32
Antivirus. Kliknij opcję, aby wybrać żądany tryb wyświetlania.
Tryb standardowy zapewnia dostęp do funkcji wymaganych do
wykonywania typowych operacji. Żadne zaawansowane opcje nie są
wyświetlane.
Przełączenie do trybu zaawansowanego powoduje dodanie do menu
głównego opcji Narzędzia. Opcja Narzędzia umożliwia uzyskanie
dostępu do harmonogramu i kwarantanny oraz przeglądanie plików
dziennika programu ESET NOD32 Antivirus.
UWAGA: Wszystkie pozostałe instrukcje w niniejszym podręczniku
dotyczą trybu zaawansowanego.
3.1.1
Sprawdzanie działania systemu
Aby wyświetlić informacje o stanie ochrony, kliknij opcję Stan
ochrony znajdującą się w górnej części menu głównego.
Bezpośrednio poniżej zostanie wyświetlone podmenu Antywirus
i antyspyware, a w oknie głównym programu zostanie wyświetlone
podsumowanie stanu dotyczące działania programu ESET NOD32
Antivirus. Kliknij opcję Antywirus i antyspyware, aby w oknie
głównym programu wyświetlić przegląd stanu poszczególnych
funkcji ochrony.
Jeśli włączone funkcje ochrony działają poprawnie, są oznaczone
zieloną ikoną znacznika wyboru. W przeciwnym razie wyświetlana
jest czerwona ikona wykrzyknika lub żółta ikona powiadomienia,
a w górnej części okna znajdują się dodatkowe informacje na temat
funkcji. Wyświetlany jest również proponowany sposób naprawy
funkcji. Aby zmienić stan poszczególnych funkcji, w menu głównym
kliknij opcję Ustawienia i wybierz żądaną funkcję.
9
3.1.2
Postępowanie w przypadku, gdy program nie działa
poprawnie
Jeśli program ESET NOD32 Antivirus wykryje problem dotyczący
funkcji ochrony, jest to zgłaszane w oknie Stan ochrony. Znajduje
się tam również propozycja rozwiązania problemu.
Jeśli rozwiązanie danego problemu przy użyciu wyświetlonej listy
znanych problemów i rozwiązań nie jest możliwe, kliknij opcję
Pomoc i obsługa, aby uzyskać dostęp do plików pomocy lub
przeszukać bazę wiedzy. Jeśli nadal nie można znaleźć rozwiązania,
należy wysłać zgłoszenie do działu obsługi klienta firmy ESET. Na
podstawie uzyskanych informacji zwrotnych specjaliści z firmy
mogą szybko odpowiadać na pytania i udzielać skutecznych porad
dotyczących problemu.
3.2 Ustawienia aktualizacji
Okno Ustawienia zaawansowane (dostępne po naciśnięciu klawisza
F5) zawiera szczegółowe opcje aktualizacji. W menu rozwijanym
Serwer aktualizacji należy ustawić wartość Wybierz automatycznie.
Aby skonfigurować zaawansowane opcje aktualizacji, takie jak
tryb aktualizacji, dostęp do serwera proxy, dostęp do aktualizacji na
serwerze lokalnym oraz możliwość tworzenia kopii sygnatur wirusów
(w programie ESET NOD32 Antivirus Business Edition), kliknij przycisk
Ustawienia.
3.3 Ustawienia serwera proxy
Jeśli połączenie z Internetem jest uzyskiwane za pośrednictwem
serwera proxy, musi ono zostać określone w ustawieniach
zaawansowanych (F5). Aby uzyskać dostęp do okna konfiguracji
Serwer proxy, w drzewie konfiguracji zaawansowanej kliknij
opcję Inne > Serwer proxy. Zaznacz pole wyboru Użyj serwera
proxy oraz wprowadź adres IP i port serwera proxy, a także dane
uwierzytelniające.
Aktualizacja bazy sygnatur wirusów i aktualizacja komponentów
programu są istotnymi elementami procesu zapewniania
kompleksowej ochrony przed szkodliwym kodem. Należy zwracać
szczególną uwagę na konfigurację i działanie funkcji aktualizacji.
W menu głównym wybierz opcję Aktualizacja, a następnie w oknie
głównym programu kliknij opcję Aktualizuj bazę sygnatur
wirusów, aby natychmiast sprawdzić dostępność nowej aktualizacji
bazysygnatur. Kliknięcie opcji Ustawienia nazwy użytkownika
i hasła powoduje wyświetlenie okna dialogowego, w którym należy
wprowadzić nazwę użytkownika i hasło otrzymane przy zakupie.
Jeśli nazwa użytkownika i hasło zostały wprowadzone podczas
instalacji programu ESET NOD32 Antivirus, program nie będzie
monitować o te informacje na tym etapie.
Jeśli te informacje nie są dostępne, w programie ESET NOD32 Antivirus
można podjąć próbę automatycznego wykrycia ustawień serwera
proxy, klikając przycisk Wykryj serwer proxy.
UWAGA: Opcje serwera proxy dla poszczególnych profilów aktualizacji
mogą być różne. W takim przypadku należy skonfigurować serwer
proxy za pomocą ustawień zaawansowanych aktualizacji.
3.4 Ochrona ustawień
Ustawienia programu ESET NOD32 Antivirus mogą odgrywać bardzo
ważną rolę z punktu widzenia zasad zabezpieczeń obowiązujących
w organizacji użytkownika. Nieautoryzowane modyfikacje mogą
stanowić potencjalne zagrożenie dla stabilności i ochrony systemu.
Aby chronić parametry ustawień za pomocą hasła, rozpoczynając
w menu głównym, kliknij kolejno opcje Ustawienia > Otwórz całe
drzewo ustawień zaawansowanych > Interfejs użytkownika >
Ochrona ustawień, a następnie kliknij przycisk Wprowadź hasło.
10
Wprowadź hasło, potwierdź je, wpisując ponownie, a następnie kliknij
przycisk OK. To hasło będzie wymagane w przypadku wszystkich
przyszłych modyfikacji ustawień programu ESET NOD32 Antivirus.
11
4. Praca z programem ESET NOD32 Antivirus
4.1 Antywirus i antyspyware
Ochrona antywirusowa zabezpiecza system przed szkodliwymi
atakami, sprawdzając pliki, pocztę e-mail i komunikację internetową.
W przypadku wykrycia zagrożenia zawierającego szkodliwy kod
moduł antywirusowy może je wyeliminować przez zablokowanie,
a następnie usunięcie lub przeniesienie do kwarantanny.
4.1.1.1.3
Dodatkowe aparatu ThreatSense dla nowo
utworzonych i zmodyfikowanych plików
Ochrona systemu plików w czasie rzeczywistym sprawdza wszystkie
zdarzenia związane z ochroną antywirusową systemu. Wszystkie pliki
w momencie otwarcia, utworzenia lub uruchomienia na komputerze są
skanowane w poszukiwaniu szkodliwego kodu. Ochrona systemu plików
w czasie rzeczywistym jest włączana przy uruchamianiu systemu.
Prawdopodobieństwo, że nowo utworzone pliki będą zainfekowane,
jest stosunkowo wyższe niż w przypadku istniejących plików. Z tego
powodu program sprawdza takie pliki, stosując dodatkowe parametry
skanowania. Wraz z powszechnymi metodami skanowania przy
użyciu sygnatur stosowana jest zaawansowana heurystyka, która
znacznie zwiększa wykrywalność. Oprócz nowo utworzonych plików
skanowane są również archiwa samorozpakowujące (SFX) i pliki
spakowane (wewnętrznie skompresowane pliki wykonywalne).
Domyślnie archiwa są skanowane do dziesiątego poziomu
zagnieżdżenia i są sprawdzane niezależnie od ich rozmiaru. Usuń
zaznaczenie opcji Domyślne ustawienia skanowania archiwów, aby
zmodyfikować ustawienia skanowania archiwów.
4.1.1.1
4.1.1.1.4
4.1.1
Ochrona systemu plików w czasie rzeczywistym
Ustawienia sprawdzania
Funkcja ochrony systemu plików w czasie rzeczywistym sprawdza
wszystkie typy nośników. Sprawdzanie jest wywoływane
wystąpieniem różnych zdarzeń. Podczas sprawdzania stosowane są
metody wykrywania udostępniane przez technologię ThreatSense
(opisane w części Ustawienia parametrów technologii ThreatSense).
Sposób sprawdzania nowo tworzonych plików może różnić się
od sposobu sprawdzania istniejących plików. W przypadku nowo
tworzonych plików można stosować głębszy poziom sprawdzania.
Ustawienia zaawansowane
W celu zminimalizowania obciążenia systemu podczas działania
ochrony w czasie rzeczywistym pliki, które zostały już przeskanowane,
nie są skanowane ponownie (jeśli nie zostały zmodyfikowane). Pliki
są natychmiast skanowane ponownie po każdej aktualizacji bazy
sygnatur wirusów. Ten sposób działania można konfigurować przy
użyciu opcji Skanowanie zoptymalizowane. Po jej wyłączeniu
wszystkie pliki są skanowane podczas każdego dostępu.
Ochrona w czasie rzeczywistym jest domyślnie włączana przy
uruchamianiu systemu operacyjnego i zapewnia nieprzerwane
skanowanie. W szczególnych przypadkach (np. jeśli wystąpi konflikt
z innym skanerem działającym w czasie rzeczywistym) ochronę
w czasie rzeczywistym można wyłączyć, usuwając zaznaczenie opcji
Automatyczne uruchamianie ochrony systemu plików w czasie
rzeczywistym.
Domyślnie zaawansowana heurystyka nie jest używana podczas
wykonywania plików. Jednak w niektórych przypadkach włączenie tej
opcji może być potrzebne (przez zaznaczenie opcji Zaawansowana
heurystyka podczas wykonywania pliku). Należy pamiętać, że
zaawansowana heurystyka może spowolnić wykonywanie niektórych
programów z powodu zwiększonych wymagań systemowych.
4.1.1.2
4.1.1.1.1
Skanowane nośniki
Domyślnie wszystkie typy nośników są skanowane w poszukiwaniu
potencjalnych zagrożeń.
Ochrona w czasie rzeczywistym udostępnia trzy poziomy leczenia
(aby uzyskać do nich dostęp, kliknij przycisk Ustawienia w części
Ochrona systemu plików w czasie rzeczywistym, a następnie
kliknij część Leczenie).
•
Przy pierwszym poziomie dla każdego wykrytego zagrożenia
wyświetlane jest okno alertu z dostępnymi opcjami. Użytkownik
musi osobno wybrać czynność w przypadku każdej infekcji.
Ten poziom jest przeznaczony dla bardziej zaawansowanych
użytkowników, którzy wiedzą, jakie działanie należy podjąć
w przypadku poszczególnych typów infekcji.
•
Przy średnim poziomie automatycznie wybierane i wykonywane
jest wstępnie zdefiniowane działanie (w zależności od typu
zagrożenia). O wykryciu i usunięciu zainfekowanego pliku
informuje komunikat wyświetlany w prawym dolnym rogu
ekranu. Automatyczna czynność nie jest jednak wykonywana,
jeśli infekcję wykryto w archiwum zawierającym także
niezainfekowane pliki. Nie jest ona również wykonywana
w przypadku obiektów, dla których brak jest wstępnie
zdefiniowanej czynności.
•
Trzeci poziom charakteryzuje się najbardziej agresywnym
działaniem — wszystkie zainfekowane obiekty są leczone.
Ponieważ stosowanie tego poziomu może spowodować
utratę niezainfekowanych plików, zaleca się używanie go
tylko w szczególnych sytuacjach.
Dyski lokalne — sprawdzane są wszystkie dyski twarde w systemie.
Nośniki wymienne — sprawdzane są dyskietki, urządzenia pamięci
masowej USB itp.
Dyski sieciowe — skanowane są wszystkie dyski mapowane.
Zaleca się zachowanie ustawień domyślnych i modyfikowanie ich
wyłącznie w szczególnych przypadkach, na przykład jeśli skanowanie
pewnych nośników znacznie spowalnia przesyłanie danych.
4.1.1.1.2
Skanowanie po wystąpieniu zdarzenia
Domyślnie wszystkie pliki są skanowane podczas otwierania,
wykonywania i tworzenia. Zaleca się zachowanie ustawień domyślnych,
ponieważ zapewniają one maksymalny poziom ochrony komputera w
czasie rzeczywistym.
Opcja skanowania podczas dostępu do dyskietki umożliwia sprawdzanie
sektora startowego dyskietki przy uzyskiwaniu dostępu do napędu
dyskietek. Opcja skanowania podczas wyłączania komputera umożliwia
sprawdzanie sektorów startowych dysku twardego przy wyłączaniu
komputera. Wirusy sektora startowego obecnie rzadko występują,
jednak zaleca się pozostawienie tych opcji włączonych, ponieważ nadal
istnieje ryzyko infekcji wirusami sektora startowego z innych źródeł.
12
Poziomy leczenia
Ochrona w czasie rzeczywistym nie wykrywa ani nie leczy infekcji
4.1.1.3
Zmienianie ustawień ochrony w czasie rzeczywistym
Ochrona w czasie rzeczywistym jest najbardziej istotnym
elementem umożliwiającym zapewnienie bezpieczeństwa systemu.
Dlatego należy zachować ostrożność podczas modyfikowania jej
parametrów. Zaleca się modyfikowanie ustawień ochrony wyłącznie
w szczególnych przypadkach. Na przykład w sytuacji, gdy występuje
konflikt z określoną aplikacją lub skanerem działającym w czasie
rzeczywistym, należącym do innego programu antywirusowego.
Po zainstalowaniu programu ESET NOD32 Antivirus wszystkie
ustawienia są optymalizowane w celu zapewnienia użytkownikom
maksymalnego poziomu bezpieczeństwa systemu. Aby przywrócić
ustawienia domyślne, kliknij przycisk Domyślne znajdujący się
w prawej dolnej części okna Ochrona systemu plików w czasie
rzeczywistym (Ustawienia zaawansowane > Antywirus
i antyspyware > Ochrona systemu plików w czasie rzeczywistym).
4.1.1.4
Sprawdzanie skuteczności ochrony w czasie
rzeczywistym
Aby sprawdzić, czy funkcja ochrony w czasie rzeczywistym działa
i wykrywa wirusy, należy użyć pliku z witryny eicar.com. Jest to
specjalnie przygotowany nieszkodliwy plik testowy wykrywany przez
wszystkie programy antywirusowe. Został on utworzony przez firmę
EICAR (European Institute for Computer Antivirus Research) w celu
testowania działania programów antywirusowych. Plik eicar.com
można pobrać pod adresem http://www.eicar.org/download/eicar.com
4.1.1.5
Co zrobić, jeśli ochrona w czasie rzeczywistym nie działa
W kolejnym rozdziale opisano problemy, które mogą wystąpić
podczas korzystania z ochrony w czasie rzeczywistym, oraz sposoby
ich rozwiązywania.
Ochrona w czasie rzeczywistym jest wyłączona
Jeśli ochrona w czasie rzeczywistym została przypadkowo wyłączona
przez użytkownika, należy ją włączyć ponownie. Aby ponownie
włączyć ochronę w czasie rzeczywistym, kliknij kolejno opcje
Ustawienia > Antywirus i antyspyware, a następnie kliknij opcję
Włącz w sekcji Ochrona systemu plików w czasie rzeczywistym
głównego okna programu.
Jeśli ochrona w czasie rzeczywistym nie jest włączana przy
uruchamianiu systemu, jest to prawdopodobnie spowodowane
wyłączeniem opcji Automatyczne uruchamianie ochrony systemu
plików w czasie rzeczywistym. Aby włączyć tę opcję, otwórz okno
Ustawienia zaawansowane (klawisz F5) i w drzewie Ustawienia
zaawansowane kliknij część Ochrona systemu plików w czasie
rzeczywistym. W obszarze Ustawienia zaawansowane znajdującym
się w dolnej części okna sprawdź, czy zaznaczone jest pole wyboru
Automatyczne uruchamianie ochrony systemu plików w czasie
rzeczywistym.
Należy upewnić się, że na komputerze nie ma zainstalowanych innych
programów antywirusowych. Jednoczesne włączenie dwóch funkcji
ochrony w czasie rzeczywistym może powodować ich konflikt. Zaleca
się odinstalowanie innych programów antywirusowych znajdujących
się w systemie.
Ochrona w czasie rzeczywistym nie jest uruchamiana
Jeśli ochrona w czasie rzeczywistym nie jest włączana przy uruchamianiu
systemu (opcja Automatyczne uruchamianie ochrony systemu plików
w czasie rzeczywistym jest włączona), może to być spowodowane
konfliktami z innymi programami. W takim przypadku należy
skonsultować się z personelem działu pomocy technicznej firmy ESET.
4.1.2
Host Intrusion Prevention System (HIPS)
Host Intrusion Prevention System (HIPS) chroni system przed
złośliwym oprogramowaniem oraz każdą niepożądaną aktywnością.
Używa zaawansowanej analizy zachowań połączonej z aktywną
analizą procesów systemowych, kluczy rejestru oraz zapory
sieciowej. Dzięki temu jest w stanie przeciwdziałać wszelkim próbom
niepowołanego dostępu do Twojego systemu.
4.1.3
Ochrona programów poczty e-mail
W ramach ochrony poczty e-mail sprawdzana jest komunikacja
przychodząca za pośrednictwem protokołu POP3. Przy użyciu
dodatku dla aplikacji Microsoft Outlook program ESET NOD32
Antivirus zapewnia sprawdzanie całej komunikacji realizowanej przez
program poczty e-mail (za pośrednictwem protokołów POP3, MAPI,
IMAP i HTTP). Podczas analizowania wiadomości przychodzących
program stosuje wszystkie zaawansowane metody skanowania
udostępniane przez technologię skanowania ThreatSense. Dzięki temu
szkodliwe programy są wykrywane, nawet zanim zostaną porównane
z bazą danych sygnatur wirusów. Skanowanie komunikacji za
pośrednictwem protokołu POP3 odbywa się niezależnie od używanego
programu poczty e-mail.
4.1.3.1
Sprawdzanie protokołu POP3
Protokół POP3 jest najbardziej rozpowszechnionym protokołem
używanym do odbierania wiadomości w programach poczty e-mail.
Program ESET NOD32 Antivirus zapewnia ochronę tego protokołu
niezależnie od używanego programu poczty e-mail.
Funkcja ta jest włączana automatycznie przy uruchamianiu systemu
operacyjnego, a następnie działa w pamięci operacyjnej. Aby
ochrona działała prawidłowo, należy upewnić się, że jest włączony —
sprawdzanie protokołu POP3 odbywa się automatycznie bez
konieczności zmiany konfiguracji programu poczty e-mail. Domyślnie
skanowana jest cała komunikacja prowadzona przez port 110, ale
w razie potrzeby skanowaniem można objąć również inne porty
komunikacyjne. Numery portów muszą być oddzielone przecinkami.
13
Komunikacja szyfrowana nie jest sprawdzana.
4.1.3.2
Integracja z programami poczty e-mail
Integracja programu ESET NOD32 Antivirus z programami poczty
e-mail zwiększa poziom aktywnej ochrony przed szkodliwym
kodem w wiadomościach e-mail. Jeśli dany program poczty e-mail
jest obsługiwany, integrację można włączyć w programie ESET
NOD32 Antivirus. Po włączeniu integracji pasek narzędzi programu
ESET NOD32 Antivirus jest bezpośrednio instalowany w programie
poczty e-mail, umożliwiając skuteczniejszą ochronę poczty e-mail.
Dostęp do ustawień integracji można uzyskać, klikając kolejno opcje
Ustawienia > Otwórz całe drzewo ustawień zaawansowanych >
Inne > Integracja z programami poczty e-mail. To okno dialogowe
umożliwia włączenie integracji z obsługiwanymi programami poczty
e-mail. Aktualnie obsługiwane programy poczty e-mail to Microsoft
Outlook, Outlook Express, Windows Mail, Windows Live Mail oraz
Mozilla Thunderbird.
4.1.3.1.1
Zgodność
W przypadku niektórych programów poczty e-mail mogą wystąpić
problemy z ochroną protokołu POP3 (np. z powodu sprawdzania
odbieranych wiadomości przy wolnym połączeniu internetowym
może upłynąć limit czasu). W takiej sytuacji należy spróbować
zmodyfikować sposób wykonywania sprawdzania. Zmniejszenie
poziomu sprawdzania może zwiększyć szybkość procesu leczenia. Aby
dostosować poziom sprawdzania dla ochrony protokołu POP3, kliknij
kolejno opcje Antywirus i antyspyware > Ochrona poczty e-mail >
Protokół POP3 > Zgodność.
Zaznacz opcję Wyłącz sprawdzanie po zmianie zawartości skrzynki
odbiorczej, jeśli podczas pracy z programem poczty e-mail system
działa wolniej niż zwykle. Może to mieć miejsce podczas pobierania
poczty z Kerio Outlook Connector Store.
Ochronę poczty e-mail można uruchomić, zaznaczając pole wyboru
Włącz ochronę poczty e-mail w części Ustawienia zaawansowane
(klawisz F5) > Antywirus i antyspyware > Ochrona poczty e-mail.
Po włączeniu opcji Maksymalna skuteczność infekcje są usuwane
z wiadomości, a przed oryginalnym tematem wiadomości wstawiana
jest informacja o infekcji (musi być wybrana opcja Usuń lub Wylecz
bądź ustawiony poziom leczenia Dokładne lub Domyślne).
Ustawienie odpowiadające średniej zgodności powoduje zmianę
sposobu odbierania wiadomości. Wiadomości są stopniowo
przesyłane do programu poczty e-mail — po przekazaniu ostatniej
części wiadomości jest ona skanowana w poszukiwaniu infekcji.
Przy tym poziomie sprawdzania zwiększa się jednak ryzyko infekcji.
Poziom leczenia i obsługa oznaczeń (alertów informacyjnych
dodawanych do tematu i treści wiadomości) są identyczne, jak
w przypadku ustawienia Maksymalna skuteczność.
Po wybraniu poziomu Maksymalna zgodność użytkownik jest
ostrzegany za pomocą okna alertu o odebraniu zainfekowanej
wiadomości. Do tematu ani do treści dostarczanych wiadomości nie
są dodawane żadne informacje o zainfekowanych plikach, a infekcje
nie są automatycznie usuwane. Usunięcie zagrożeń musi wykonać
użytkownik w programie poczty e-mail.
4.1.3.2.1
Dołączanie notatki do treści wiadomości
Temat lub treść każdej wiadomości sprawdzanej przez program
ESET NOD32 Antivirus mogą zostać oznaczone. Ta funkcja zwiększa
wiarygodność wiadomości dla adresata, a w przypadku wykrycia
infekcji udostępnia ważne informacje na temat poziomu zagrożenia,
jakie stanowi dana wiadomość lub nadawca.
Dostęp do opcji tej funkcji można uzyskać, klikając kolejno opcje
Ustawienia zaawansowane > Antywirus i antyspyware > Ochrona
poczty e-mail. W programie są dostępne ustawienia Oznacz
otrzymaną i przeczytaną wiadomość e-mail oraz Oznacz wysyłaną
wiadomość e-mail. Użytkownik może zdecydować, czy oznaczane
mają być wszystkie wiadomości, tylko zainfekowane wiadomości czy
nie mają one być oznaczane wcale.
Program ESET NOD32 Antivirus umożliwia również dodawanie
oznaczeń do oryginalnego tematu zainfekowanej wiadomości. Aby
włączyć funkcję oznaczania tematu, zaznacz opcje Dołącz notatkę
do tematu otrzymanej i przeczytanej zainfekowanej wiadomości
i Dołącz notatkę do tematu wysyłanej zainfekowanej wiadomości.
Treść dołączanych powiadomień można modyfikować w polu Szablon
komunikatu dołączanego do tematu zainfekowanej wiadomości.
Wymienione powyżej modyfikacje pomagają zautomatyzować proces
filtrowania zainfekowanej poczty e-mail, ponieważ umożliwiają
przenoszenie wiadomości z określonym tematem do osobnego
folderu (jeśli używany program poczty e-mail obsługuje tę funkcję).
14
4.1.3.3
Usuwanie zagrożenia
Po odebraniu zainfekowanej wiadomości e-mail wyświetlane jest
okno alertu. Zawiera ono nazwę nadawcy, wiadomość i nazwę
infekcji. W dolnej części okna znajdują są opcje dostępne w przypadku
wykrytego obiektu: Wylecz, Usuń i Pozostaw. W prawie wszystkich
przypadkach zaleca się wybór opcji Wylecz lub Usuń. W szczególnych
sytuacjach, gdy użytkownik chce odebrać zainfekowany plik, może
wybrać opcję Pozostaw. Jeśli włączona jest opcja Leczenie dokładne,
wyświetlane jest okno z informacjami, które nie zawiera żadnych opcji
dostępnych w przypadku zainfekowanych obiektów.
4.1.4
Ochrona dostępu do stron internetowych
Łączność z Internetem to standardowa funkcja komputera
osobistego. Niestety stała się ona również głównym nośnikiem
szkodliwego kodu. Z tego powodu bardzo ważne jest staranne
rozważenie stosowanej ochrony dostępu do stron internetowych.
Stanowczo zaleca się włączenie opcji Włącz ochronę dostępu do
stron internetowych. To ustawienie jest dostępne po wybraniu
kolejno opcji Ustawienia zaawansowane (klawisz F5) > Antywirus
i antyspyware > Ochrona dostępu do stron internetowych.
4.1.4.1.1
Zarządzanie adresami
W tej sekcji możliwe jest określenie adresów HTTP, które mają być
blokowane, dozwolone lub wykluczone ze sprawdzania.
Przyciski Dodaj, Zmień, Usuń i Eksportuj służą do zarządzania listami
adresów. Witryny internetowe znajdujące się na listach blokowanych
adresów nie będą dostępne. Witryny internetowe na liście adresów
wykluczonych ze skanowania są udostępniane bez skanowania
w poszukiwaniu szkodliwego kodu. W przypadku włączenia opcji
Zezwól na dostęp tylko do adresów HTTP z listy dozwolonych adresów
dostępne będą tylko adresy znajdujące się na liście dozwolonych
adresów, natomiast inne adresy HTTP będą blokowane.
4.1.4.1
Protokoły HTTP, HTTPS
W adresach na wszystkich listach można stosować symbole
specjalne * (gwiazdka) i ? (znak zapytania). Gwiazdka zastępuje
dowolny ciąg znaków, a znak zapytania — dowolny symbol.
Należy zwrócić szczególną uwagę przy wprowadzaniu adresów
wykluczonych, ponieważ lista powinna zawierać jedynie zaufane
i bezpieczne adresy. Podobnie należy się upewnić, czy symbole *
i ? są używane na tej liście w odpowiedni sposób. Aby uaktywnić
listę, wybierz opcję Lista aktywna. Aby otrzymywać powiadomienia
o wprowadzeniu adresu z bieżącej listy, wybierz opcję Powiadom
o zastosowaniu adresów z listy.
Podstawową funkcją ochrony dostępu do stron internetowych jest
monitorowanie komunikacji przeglądarek internetowych z serwerami
zdalnymi, zgodnie z regułami protokołów HTTP (Hypertext Transfer
Protocol) i HTTPS (komunikacja szyfrowana). Domyślnie program
ESET NOD32 Antivirus jest skonfigurowany do używania standardów
obsługiwanych przez większość przeglądarek internetowych.
Opcje ustawień skanera protokołu HTTP można jednak częściowo
modyfikować w części Ochrona dostępu do stron internetowych
> Protokoły HTTP i HTTPS. W głównym oknie filtra protokołu HTTP
można zaznaczyć lub usunąć zaznaczenie opcji Włącz sprawdzanie
protokołu HTTP. Można także zdefiniować numery portów używane
podczas komunikacji za pośrednictwem protokołu HTTP. Domyślnie
wstępnie zdefiniowane są porty 80, 8080 i 3128. Sprawdzanie protokołu
HTTPS może być wykonywane w jednym z następujących trybów:
Nie używaj funkcji sprawdzania protokołu HTTPS
Komunikacja szyfrowana nie będzie sprawdzana.
Używaj funkcji sprawdzania protokołu HTTPS dla wybranych
portów
Funkcja sprawdzania protokołu HTTPS sprawdza tylko porty
zdefiniowane w polu Porty, używanym przez protokół HTTPS.
Użyj funkcji sprawdzania protokołu HTTPS dla aplikacji
oznaczonych jako przeglądarki internetowe, które używają
wybranych portów
Sprawdzanie tylko aplikacji określonych w sekcji przeglądarki
i używanie portów zdefiniowanych w polu Porty używane przez
protokół HTTPS.
4.1.4.1.2
Przeglądarki internetowe
Program ESET NOD32 Antivirus wyposażono również w funkcję
Przeglądarki internetowe, umożliwiającą określenie, czy dana
aplikacja jest przeglądarką. Jeśli dana aplikacja zostanie przez
użytkownika oznaczona jako przeglądarka, cała jej komunikacja
jest monitorowana niezależnie od używanych portów.
15
Funkcja Przeglądarki internetowe uzupełnia funkcję sprawdzania
protokołu HTTP, ponieważ sprawdzanie protokołu HTTP jest
wykonywane tylko dla wstępnie zdefiniowanych portów. Wiele
usług internetowych używa jednak dynamicznie zmienianych lub
nieznanych numerów portów. W tej sytuacji funkcja Przeglądarki
internetowe umożliwia sprawdzanie komunikacji prowadzonej przez
porty niezależnie od parametrów połączenia.
Zaleca się uruchamianie skanowania na żądanie co najmniej raz
lub dwa razy w miesiącu. Skanowanie można skonfigurować jako
zaplanowane zadanie po kliknięciu kolejno opcji Narzędzia >
Harmonogram.
4.1.5.1
Typ skanowania
Dostępne są dwa typy skanowania. Opcja Skanowanie standardowe
umożliwia szybkie przeskanowanie systemu bez konieczności
dodatkowego konfigurowania parametrów skanowania. Opcja
Skanowanie niestandardowe umożliwia zastosowanie wstępnie
zdefiniowanego profilu skanowania oraz wybór skanowanych
obiektów ze struktury drzewa.
Lista aplikacji oznaczonych jako przeglądarki jest dostępna bezpośrednio
w podmenu Przeglądarki internetowe w części Protokół HTTP. W tej
części znajduje się również podmenu Tryb aktywny umożliwiające
definiowanie trybu sprawdzania przeglądarek internetowych.
Ustawienie Tryb aktywny jest przydatne, ponieważ pozwala
analizować przesyłane dane jako całość. Jeśli nie jest ono włączone,
komunikacja aplikacji jest stopniowo monitorowana w partiach.
Zmniejsza to skuteczność procesu weryfikacji danych, ale jednocześnie
zapewnia większą zgodność z wymienionymi na liście aplikacjami.
Jeśli podczas używania aktywnego trybu sprawdzania nie występują
problemy, zaleca się jego włączenie przez zaznaczenie pola wyboru
obok odpowiedniej aplikacji.
4.1.5.1.1
Skanowanie standardowe
Skanowanie standardowe to łatwa w obsłudze metoda, dzięki
której użytkownik może szybko uruchomić skanowanie komputera
i wyleczyć zainfekowane pliki bez konieczności podejmowania
dodatkowych działań. Jej główną zaletą jest prostota obsługi i brak
szczegółowej konfiguracji skanowania. W ramach skanowania
standardowego sprawdzane są wszystkie pliki na dyskach lokalnych,
a wykryte infekcje są automatycznie leczone lub usuwane. Jako
poziom leczenia automatycznie ustawiana jest wartość domyślna.
Szczegółowe informacje na temat typów leczenia można znaleźć
w części Leczenie (patrz strona 18).
Standardowy profil skanowania jest przeznaczony dla użytkowników
chcących szybko i łatwo przeskanować komputer. Stanowi on skuteczne
rozwiązanie w zakresie skanowania i leczenia niewymagające
skomplikowanego procesu konfiguracji.
4.1.5.1.2
4.1.5
Skanowanie komputera
Jeśli istnieje podejrzenie, że komputer jest zainfekowany (działa
w sposób nieprawidłowy), należy uruchomić skanowanie komputera
na żądanie w celu sprawdzenia go w poszukiwaniu infekcji.
Z punktu widzenia bezpieczeństwa jest ważne, aby skanowanie
komputera było przeprowadzane nie tylko w przypadku podejrzenia
infekcji, ale regularnie w ramach rutynowych działań związanych
z bezpieczeństwem. Regularne skanowanie umożliwia wykrywanie
infekcji, które nie zostały wykryte przez skaner działający w czasie
rzeczywistym w momencie zapisywania zainfekowanego pliku na
dysku komputera. Jest to możliwe, jeśli w momencie wystąpienia
infekcji skaner działający w czasie rzeczywistym był wyłączony lub
baza sygnatur wirusów była nieaktualna.
16
Skanowanie niestandardowe
Skanowanie niestandardowe stanowi optymalne rozwiązanie, jeśli
użytkownik chce określić parametry skanowania, takie jak skanowane
obiekty i metody skanowania. Zaletą skanowania niestandardowego
jest możliwość szczegółowej konfiguracji parametrów. Konfiguracje
można zapisywać w zdefiniowanych przez użytkownika profilach
skanowania, które mogą być przydatne, jeśli skanowanie jest
wykonywane wielokrotnie z zastosowaniem tych samych parametrów.
Aby wybrać skanowane obiekty, użyj menu rozwijanego
umożliwiającego szybki wybór obiektów lub wybierz je w strukturze
drzewa zawierającej wszystkie urządzenia dostępne w komputerze.
Ponadto można wybrać jeden z trzech poziomów leczenia, klikając
opcję Ustawienia > Leczenie. Aby przeprowadzić tylko skanowanie
systemu bez wykonywania dodatkowych czynności, zaznacz pole
wyboru Skanuj bez leczenia.
Skanowanie komputera w trybie skanowania niestandardowego jest
przeznaczone dla zaawansowanych użytkowników, którzy mają już
doświadczenie w posługiwaniu się programami antywirusowymi.
4.1.5.2
Skanowane obiekty
Menu rozwijane Skanowane obiekty umożliwia wybór plików,
folderów i urządzeń (dysków), które mają być skanowane
w poszukiwaniu wirusów.
Przy użyciu opcji menu szybkiego wybierania skanowanych obiektów
można wybrać następujące skanowane obiekty:
Według ustawień profilu — sprawdzane są obiekty ustawione
w wybranym profilu skanowania.
Nośniki wymienne — sprawdzane są dyskietki, urządzenia pamięci
masowej USB, płyty CD/DVD.
Dyski lokalne — sprawdzane są wszystkie dyski twarde w systemie.
Dyski sieciowe — sprawdzane są wszystkie dyski mapowane.
Brak wyboru — wybieranie obiektów jest anulowane.
Aby utworzyć nowy profil, który będzie wielokrotnie używany
podczas skanowania w przyszłości, należy kliknąć kolejno opcje
Ustawienia zaawansowane (F5) > Skanowanie komputera na
żądanie. Następnie kliknij przycisk Profile znajdujący się po prawej
stronie, aby wyświetlić listę istniejących profilów skanowania
i opcję umożliwiającą utworzenie nowego profilu. W kolejnej części
Ustawienia parametrów technologii ThreatSense opisano każdy
parametr ustawień skanowania. Ten opis ułatwi utworzenie profilu
skanowania spełniającego określone potrzeby.
Przykład:
Załóżmy, że celem jest utworzenie profilu skanowania, którego
konfiguracja częściowo pokrywa się z konfiguracją profilu Skanowanie
inteligentne. W nowym profilu pliki spakowane nie mają być jednak
skanowane, a potencjalnie niebezpieczne aplikacje wykrywane.
Ponadto ma być stosowany poziom Leczenie dokładne. W oknie
Profile konfiguracji kliknij przycisk Dodaj. W polu Nazwa profilu
wprowadź nazwę nowego profilu, a następnie w menu rozwijanym
Kopiuj ustawienia z profilu wybierz opcję Skanowanie inteligentne.
Następnie dostosuj do potrzeb pozostałe parametry profilu.
4.1.6
Ochrona protokołów
Za ochronę antywirusową protokołów POP3 i HTTP odpowiada
technologia ThreatSense, która łączy w sobie wszystkie
zaawansowane techniki wykrywania szkodliwego oprogramowania.
Monitorowanie odbywa się automatycznie, niezależnie od
przeglądarki internetowej i programu poczty e-mail. Dostępne są
następujące opcje filtrowania protokołów (jeśli włączona jest opcja
Włącz filtrowanie protokołów aplikacji):
Portów HTTP i POP3 — ograniczenie skanowania komunikacji do
znanych portów HTTP i POP3.
Aplikacji oznaczonych jako przeglądarki internetowe lub
programy poczty e-mail — włączenie tej opcji spowoduje filtrowanie
jedynie komunikacji aplikacji oznaczonych jako przeglądarki (Ochrona
dostępu do stron internetowych > HTTP, HTTPS > Przeglądarki
internetowe) oraz programów poczty e-mail (Ochrona programów
poczty e-mail > POP3, POP3S > Programy poczty e-mail).
Portów i aplikacji oznaczonych jako przeglądarki internetowe lub
programy poczty e-mail — pod kątem szkodliwego oprogramowania
sprawdzane są porty i przeglądarki.
Skanowany obiekt można również dokładniej określić, wprowadzając
ścieżkę do folderu lub plików, które mają zostać objęte skanowaniem.
Skanowane obiekty można wybrać w strukturze drzewa zawierającej
wszystkie urządzenia dostępne w komputerze.
4.1.5.3
Profile skanowania
Preferowane parametry skanowania komputera można zapisać
w postaci profili. Zaletą tworzenia profilów skanowania jest
możliwość ich regularnego stosowania podczas skanowania
w przyszłości. Zaleca się utworzenie tylu profilów (z ustawionymi
różnymi skanowanymi obiektami, metodami skanowania i innymi
parametrami), z ilu regularnie korzysta użytkownik.
Uwaga:
Począwszy od systemów Windows Vista Service Pack 1 i Windows Server
2008, używana jest nowa funkcja filtrowania komunikacji. W rezultacie
nie jest dostępna sekcja Filtrowanie protokołów.
4.1.6.1
Protokół SSL
W programie ESET NOD32 Antivirus 4 możliwe jest sprawdzanie
protokołów enkapsulowanych w protokole SSL. Można korzystać
z różnych trybów skanowania komunikacji chronionej za pomocą
protokołu SSL, a używającej zaufanych lub nieznanych certyfikatów
bądź certyfikatów wykluczonych ze sprawdzania takiej komunikacji.
Zawsze skanuj protokół SSL (wykluczone i zaufane certyfikaty
pozostaną ważne) — zaznaczenie tej opcji spowoduje skanowanie
całej komunikacji chronionej za pomocą protokołu SSL z wyjątkiem
komunikacji chronionej przy użyciu certyfikatów wykluczonych ze
sprawdzania. Jeśli nawiązana zostanie komunikacja przy użyciu
nieznanego, podpisanego certyfikatu, użytkownik nie zostanie o tym
powiadomiony, a komunikacja będzie automatycznie filtrowana.
Jeśli użytkownik nawiązuje połączenie z serwerem przy użyciu
niezaufanego certyfikatu oznaczonego przez użytkownika jako
zaufany (tj. dodanego do listy zaufanych certyfikatów), komunikacja
z takim serwerem będzie dozwolona, a dane przesyłane kanałem
komunikacyjnym będą filtrowane.
17
Pytaj o nieodwiedzane witryny (nieznane certyfikaty) — jeśli
wprowadzona zostanie nowa witryna chroniona protokołem SSL
(o nieznanym certyfikacie), wyświetlone zostanie okno dialogowe
wyboru czynności. W tym trybie można utworzyć listę certyfikatów
SSL, które zostaną wykluczone ze skanowania.
Nie skanuj protokołu SSL — jeśli ta opcja jest zaznaczona, program
nie będzie skanował komunikacji SSL.
Jeśli certyfikat nie może zostać sprawdzony za pomocą magazynu
zaufanych głównych urzędów certyfikacji:
Pytaj o ważność certyfikatu — użytkownik jest pytany o działanie,
które należy podjąć.
Blokuj komunikację używającą certyfikatu — powoduje przerwanie
połączenia z witryną używającą danego certyfikatu.
Jeśli certyfikat jest nieprawidłowy lub uszkodzony
•
Ochrona systemu plików w czasie rzeczywistym
•
Sprawdzanie plików wykonywanych przy uruchamianiu systemu
•
Ochrona poczty e-mail
•
Ochrona dostępu do stron internetowych
•
Skanowanie komputera na żądanie
Parametry technologii ThreatSense są w wysokim stopniu
zoptymalizowane dla poszczególnych modułów i ich modyfikacja
może znacząco wpływać na działanie systemu. Na przykład
ustawienie opcji skanowania plików spakowanych za każdym
razem lub włączenie zaawansowanej heurystyki w funkcji ochrony
systemu plików w czasie rzeczywistym może powodować
spowolnienie działania systemu (normalnie tylko nowo utworzone
pliki są skanowane przy użyciu tych metod). Dlatego zalecane jest
pozostawienie niezmienionych parametrów domyślnych technologii
ThreatSense dla wszystkich skanerów z wyjątkiem modułu
Skanowanie komputera.
Pytaj o ważność certyfikatu — użytkownik jest pytany o działanie,
które należy podjąć.
4.1.7.1
Blokuj komunikację używającą certyfikatu — powoduje przerwanie
połączenia z witryną używającą danego certyfikatu.
Część Obiekty umożliwia określenie składników komputera i plików
skanowanych w poszukiwaniu zagrożeń.
4.1.6.1.1 Pamięć operacyjna — podczas skanowania poszukiwane są
zagrożenia atakujące pamięć operacyjną systemu.
Zaufane certyfikaty
Oprócz zintegrowanego magazynu zaufanych głównych urzędów
certyfikacji, w którym program ESET NOD32 Antivirus 4 przechowuje
zaufane certyfikaty, można utworzyć niestandardową listę zaufanych
certyfikatów. W celu jej wyświetlenia należy użyć opcji Ustawienia
(F5) > Filtrowanie protokołów > SSL > Zaufane certyfikaty.
4.1.6.1.2 Wykluczone certyfikaty
Sekcja Wykluczone certyfikaty zawiera certyfikaty, które są uważane
za bezpieczne. Program nie będzie sprawdzać zawartości szyfrowanej
komunikacji używającej certyfikatów z listy. Zaleca się instalowanie
tylko certyfikatów sieciowych o gwarantowanym bezpieczeństwie,
dla których nie jest wymagane filtrowanie zawartości.
4.1.7
Ustawienia parametrów technologii ThreatSense
ThreatSense to technologia obejmująca złożone metody wykrywania
zagrożeń. Działa ona w sposób profilaktyczny, co oznacza, że
zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się
nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod
(analizy kodu, emulacji kodu, sygnatur rodzajowych, sygnatur
wirusów), które współdziałają w celu znacznego zwiększenia
bezpieczeństwa systemu. Technologia skanowania umożliwia
sprawdzanie kilku strumieni danych jednocześnie, maksymalizując
skuteczność i wskaźnik wykrywalności. Technologia ThreatSense
pomyślnie eliminuje również programy typu rootkit.
Opcje konfiguracyjne technologii ThreatSense pozwalają użytkownikowi
na określenie kilku parametrów skanowania, takich jak:
•
typy i rozszerzenia plików, które mają być skanowane;
•
kombinacje różnych metod wykrywania;
•
poziomy leczenia itp.
Aby otworzyć okno konfiguracji, kliknij przycisk Ustawienia znajdujący
się w oknie ustawień każdej funkcji korzystającej z technologii
ThreatSense (patrz poniżej). Poszczególne scenariusze zabezpieczeń
mogą wymagać różnych konfiguracji. Technologię ThreatSense można
konfigurować indywidualnie dla następujących funkcji ochrony:
18
Ustawienia obiektów
Sektory startowe — skanowane są sektory startowe w poszukiwaniu
wirusów atakujących główny rekord startowy.
Pliki — skanowane są najczęściej używane typy plików (programy,
obrazy, pliki audio, wideo, bazy danych itd.).
Pliki poczty e-mail — skanowane są specjalne pliki zawierające
wiadomości e-mail.
Archiwa — skanowane są pliki skompresowane w archiwach
(.rar, .zip, .arj, .tar, etc.).
Archiwa samorozpakowujące — skanowane są pliki znajdujące się
w archiwach samorozpakowujących, zazwyczaj o rozszerzeniu exe.
Pliki spakowane — oprócz standardowych statycznych spakowanych
plików skanowane są pliki, które (inaczej niż w przypadku
standardowych typów archiwów) są rozpakowywane w pamięci
(UPX, yoda, ASPack, FGS itp.).
4.1.7.2
Opcje
W części Opcje można wybrać metody, które mają być stosowane
podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są
następujące opcje:
Poziom domyślny
Program spróbuje automatycznie wyleczyć lub usunąć zainfekowany
plik. Jeśli automatyczny wybór właściwej czynności nie jest możliwy,
program umożliwia wybranie dostępnej czynności. Dostępne
czynności są wyświetlane również wtedy, gdy wykonanie wstępnie
zdefiniowanej czynności nie jest możliwe.
Dokładne czyszczenie
Program leczy lub usuwa wszystkie zainfekowane pliki (w tym
archiwa). Jedyny wyjątek stanowią pliki systemowe. Jeśli ich
wyleczenie nie jest możliwe, użytkownik ma możliwość wyboru
działania w oknie z ostrzeżeniem.
Ostrzeżenie:
W trybie domyślnym cały plik archiwum jest usuwany tylko wtedy,
gdy wszystkie pliki w archiwum są zainfekowane. Archiwum nie
jest usuwane, jeśli zawiera również niezainfekowane pliki. Jeśli
zainfekowany plik archiwum zostanie wykryty w trybie leczenia
dokładnego, jest on usuwany w całości, nawet jeśli zawiera również
niezainfekowane pliki.
Sygnatury — sygnatury umożliwiają dokładne i niezawodne
wykrywanie i identyfikowanie infekcji według nazwy przy użyciu
sygnatur wirusów.
Heurystyka — heurystyka to algorytm analizujący (szkodliwe)
działania podejmowane przez programy. Główną zaletą heurystyki
jest możliwość wykrywania nowego szkodliwego oprogramowania,
które w momencie aktualizacji nie istniało lub nie zostało
umieszczone na liście znanych wirusów (w bazie sygnatur wirusów).
Zaawansowana heurystyka — zaawansowana heurystyka jest
oparta na unikatowym algorytmie heurystycznym opracowanym
przez firmę ESET. Został on zoptymalizowany pod kątem wykrywania
robaków i koni trojańskich napisanych w językach programowania
wysokiego poziomu. Zaawansowana heurystyka znacznie zwiększa
możliwości programu w zakresie wykrywania zagrożeń.
4.1.7.4
Rozszerzenia
Adware/Spyware/Riskware — do tej kategorii zaliczane jest
oprogramowanie gromadzące różne poufne informacje na temat
użytkowników bez ich świadomej zgody. Obejmuje ona również
oprogramowanie wyświetlające materiały reklamowe.
Rozszerzenie jest częścią nazwy pliku oddzieloną kopką. Określa ono typ
i zawartość pliku. Ta część ustawień parametrów technologii ThreatSense
umożliwia definiowanie typów plików, które mają być skanowane.
Potencjalnie niebezpieczne aplikacje — do aplikacji potencjalnie
niebezpiecznych zaliczane są niektóre legalne programy komercyjne.
Są to między innymi narzędzia do dostępu zdalnego, dlatego ta opcja
jest domyślnie wyłączona.
Domyślnie skanowane są wszystkie pliki niezależnie od rozszerzenia.
Do listy plików wyłączonych ze skanowania można dodać dowolne
rozszerzenie. Jeśli opcja Skanuj wszystkie pliki nie jest zaznaczona,
na liście wyświetlone są wszystkie rozszerzenia aktualnie
skanowanych plików. Przy użyciu przycisków Dodaj i Usuń można
włączyć lub wyłączyć skanowanie określonych rozszerzeń.
Potencjalnie niepożądane aplikacje — potencjalnie niepożądane
aplikacje nie muszą być tworzone w złych intencjach, ale mogą
negatywnie wpływać na wydajność komputera. Zainstalowanie takiej
aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu
programu z tej kategorii sposób działania systemu jest inny niż
przed instalacją. Najbardziej widoczne zmiany to wyświetlanie
wyskakujących okienek, aktywacja i uruchamianie ukrytych procesów,
zwiększone użycie zasobów systemowych, zmiany w wynikach
wyszukiwania oraz komunikowanie się z serwerami zdalnymi.
4.1.7.3
Leczenie
Ustawienia leczenia określają sposób działania skanera podczas
leczenia zainfekowanych plików. Istnieją trzy poziomy leczenia:
Brak leczenia
Zainfekowane pliki nie są automatycznie leczone. Wyświetlane jest
okno z ostrzeżeniem, a użytkownik ma możliwość wyboru czynności.
Aby włączyć skanowanie plików bez rozszerzenia, zaznacz opcję
Skanuj pliki bez rozszerzeń.
Wykluczenie plików ze skanowania jest uzasadnione, jeśli skanowanie
pewnych typów plików uniemożliwia prawidłowe działanie
programu, który ich używa. Na przykład podczas używania serwera
programu MS Exchange może być wskazane wykluczenie plików z
rozszerzeniami edb, eml i tmp.
4.1.7.5
Limity
W sekcji Limity można określić maksymalny rozmiar obiektów
i poziomy zagnieżdżonych archiwów, które mają zostać
przeskanowane:
Maksymalny rozmiar obiektu (w bajtach)
Określa maksymalny rozmiar obiektów do przeskanowania. Dany
moduł antywirusowy będzie wówczas skanować tylko obiekty
o rozmiarze mniejszym niż określony. Nie zaleca się zmieniania
wartości domyślnej, ponieważ zazwyczaj nie ma po temu
19
żadnego powodu. Opcja ta powinna być zmieniana tylko przez
zaawansowanych użytkowników, którzy mają określone powody
do wykluczenia większych obiektów ze skanowania.
Maksymalny czas skanowania dla obiektu (w sek.)
Określa maksymalny czas potrzebny na przeskanowanie obiektu.
Jeśli użytkownik określi taką wartość, moduł antywirusowy zatrzyma
skanowanie obiektu po upływie danego czasu niezależnie od tego, czy
skanowanie zostało zakończone.
Poziom zagnieżdżania archiwów
Określa maksymalną głębokość skanowania archiwów. Nie zaleca się
zmieniania wartości domyślnej równej 10, ponieważ zazwyczaj nie ma
po temu żadnego powodu. Jeśli skanowanie zostanie przedwcześnie
zakończone z powodu liczby zagnieżdżonych archiwów, archiwum
pozostanie niesprawdzone.
Maksymalny rozmiar pliku w archiwum (w bajtach)
Opcja ta pozwala określić maksymalny rozmiar plików, które mają być
skanowane po rozpakowaniu archiwów. Jeśli skanowane archiwum
zostanie z tego powodu przedwcześnie zakończone, archiwum
pozostanie niesprawdzone.
4.1.7.6
Inne
Skanuj alternatywne strumienie danych (ADS)
Alternatywne strumienie danych (ADS) używane w systemie plików
NTFS to skojarzenia plików i folderów, których nie można sprawdzić
za pomocą standardowych technik skanowania. Wiele wirusów stara
się uniknąć wykrycia, udając alternatywne strumienie danych.
Uruchom skanowanie w tle z niskim priorytetem
Każde skanowanie wymaga użycia pewnej ilości zasobów
systemowych. W przypadku używania programów, które wymagają
dużej ilości zasobów systemowych, można uruchomić skanowanie
z niskim priorytetem w tle, oszczędzając zasoby dla innych aplikacji.
Zapisuj w dzienniku informacje o wszystkich obiektach
Zaznaczenie tej opcji powoduje, że w pliku dziennika zapisywane
są informacje o wszystkich skanowanych plikach, nawet tych
niezainfekowanych.
Zachowaj znacznik czasu ostatniego dostępu
Tę opcję należy zaznaczyć, aby zachować oryginalny czas dostępu
do plików zamiast jego aktualizacji (do użytku z systemami
wykonywania kopii zapasowych danych).
Inteligentna optymalizacja
Inteligentna optymalizacja przyspiesza skanowanie systemu w
poszukiwaniu zagrożeń. Włączenie tej opcji nie wpływa negatywnie
na bezpieczeństwo Twojego systemu.
Przewijaj dziennik
Ta opcja umożliwia włączenie lub wyłączenie przewijania dziennika. Gdy
jest ona wybrana, informacje wyświetlane w oknie są przewijane do góry.
Wyświetl powiadomienie o zakończeniu skanowania w osobnym
oknie
Powoduje otwarcie niezależnego okna z informacjami o wynikach
skanowania.
20
4.1.8
Wykryto zagrożenie
Sposoby infekcji systemu mogą być różne, na przykład za pomocą
stron internetowych, folderów udostępnionych, poczty e-mail lub
wymiennych urządzeń komputerowych (USB, dysków zewnętrznych,
dysków CD i DVD, dyskietek itd.).
Jeśli komputer wykazuje symptomy zainfekowania szkodliwym
oprogramowaniem, np. działa wolniej lub często przestaje
odpowiadać, zaleca się wykonanie następujących czynności:
•
Uruchom program ESET NOD32 Antivirus i kliknij opcję
Skanowanie komputera.
•
Kliknij przycisk Skanowanie standardowe
(więcej informacji można znaleźć w części Skanowanie
standardowe).
•
Po zakończeniu skanowania przejrzyj dziennik, aby sprawdzić
liczbę przeskanowanych, zainfekowanych i wyleczonych plików.
Aby przeskanować tylko określoną część dysku, kliknij opcję
Skanowanie niestandardowe i wybierz lokalizacje, które mają zostać
przeskanowane w poszukiwaniu wirusów.
Ogólnym przykładem sposobu działania programu ESET NOD32
Antivirus w momencie infekcji może być sytuacja, w której zagrożenie
zostaje wykryte przez działający w czasie rzeczywistym monitor
systemu plików z ustawionym domyślnym poziomem leczenia.
Następuje próba wyleczenia lub usunięcia pliku. W przypadku braku
wstępnie zdefiniowanej czynności, którą ma wykonywać funkcja
ochrony w czasie rzeczywistym, użytkownik jest monitowany
o wybranie opcji w oknie alertu. Zazwyczaj dostępne są opcje
Wylecz, Usuń i Pozostaw. Nie zaleca się wybierania opcji Pozostaw,
ponieważ powoduje to pozostawienie zainfekowanych plików bez
zmian. Jedyny wyjątek stanowi sytuacja, w której użytkownik ma
pewność, że plik jest nieszkodliwy i został wykryty omyłkowo.
Łącze Rejestracja umożliwia otwarcie formularza rejestracji — przy
założeniu, że nowa licencja jest zarejestrowana w firmie ESET, a dane
uwierzytelniające zostały dostarczone na podany adres e-mail.
Leczenie i usuwanie
Leczenie należy stosować w przypadku zaatakowania
niezainfekowanego pliku, do którego wirus dołączył szkodliwy
kod. W takiej sytuacji należy najpierw podjąć próbę wyleczenia
zainfekowanego pliku w celu przywrócenia go do stanu pierwotnego.
Jeśli plik zawiera wyłącznie szkodliwy kod, jest usuwany w całości.
Jeśli zainfekowany plik jest zablokowany lub używany przez proces
systemowy, jest zazwyczaj usuwany dopiero po odblokowaniu
(zwykle po ponownym uruchomieniu systemu).
Usuwanie plików w archiwach
W domyślnym trybie leczenia całe archiwum jest usuwane tylko
wtedy, gdy zawiera wyłącznie zainfekowane pliki i nie zawiera
żadnych niezainfekowanych plików. Oznacza to, że archiwa nie są
usuwane, jeśli zawierają również nieszkodliwe, niezainfekowane
pliki. Podczas skanowania w trybie leczenia dokładnego należy jednak
zachować ostrożność, ponieważ w tym trybie każde archiwum
zawierające co najmniej jeden zainfekowany plik jest usuwane bez
względu na stan pozostałych plików w nim zawartych.
UWAGA: Nazwa użytkownika i hasło są udostępniane przez firmę
ESET po nabyciu programu ESET NOD32 Antivirus.
4.2.1
Ustawienia aktualizacji
W sekcji ustawień aktualizacji są określane informacje o źródle
aktualizacji, takie jak serwery aktualizacji i odpowiadające im
dane uwierzytelniania. Domyślnie w polu Serwer aktualizacji
ustawiona jest wartość Wybierz automatycznie. Zapewnia ona
automatyczne pobranie plików aktualizacji z serwera firmy ESET przy
jak najmniejszym obciążaniu sieci. Opcje ustawień aktualizacji są
dostępne w części Aktualizacja, znajdującej się w oknie Ustawienia
zaawansowane (klawisz F5).
4.2 Aktualizowanie programu
Regularne aktualizowanie systemu to podstawowy sposób
osiągnięcia maksymalnego poziomu bezpieczeństwa zapewnianego
przy użyciu programu ESET NOD32 Antivirus. Funkcja aktualizacji
gwarantuje, że program jest zawsze aktualny. Jest to realizowane
na dwa sposoby: aktualizowanie bazy sygnatur wirusów oraz
aktualizowanie wszystkich składników systemu.
Informacje na temat bieżącego stanu aktualizacji, w tym numer
bieżącej wersji bazy sygnatur wirusów oraz informację o konieczności
wykonania aktualizacji, są dostępne po kliknięciu opcji Aktualizacja.
Ponadto dostępna jest opcja Aktualizuj bazę sygnatur wirusów,
umożliwiająca natychmiastowe uruchomienie procesu aktualizacji
oraz podstawowe opcje ustawień aktualizacji, takie jak nazwa
użytkownika i hasło zapewniające dostęp do serwerów aktualizacji
firmy ESET.
Okno informacji zawiera też szczegóły, takie jak data i godzina
ostatniej pomyślnej aktualizacji oraz numer bazy danych sygnatur
wirusów. To wskazanie liczbowe stanowi aktywne łącze do witryny
internetowej firmy ESET zawierającej listę wszystkich sygnatur
dodanych w ramach określonej aktualizacji.
Lista aktualnie istniejących serwerów aktualizacji jest dostępna
w menu rozwijanym Serwer aktualizacji. Aby dodać nowy serwer
aktualizacji, kliknij przycisk Edytuj w części Ustawienia aktualizacji
dla wybranego profilu, a następnie kliknij przycisk Dodaj.
Uwierzytelnianie na serwerach aktualizacji jest wykonywane na
podstawie wartości pól Nazwa użytkownika i Hasło, które zostały
wygenerowane i wysłane do użytkownika przez firmę ESET po nabyciu
licencji produktu.
21
4.2.1.1
Profile aktualizacji
W przypadku różnych konfiguracji funkcji aktualizacji można tworzyć
zdefiniowane przez użytkownika profile aktualizacji stosowane przy
określonych zadaniach aktualizacji. Tworzenie różnych profilów
aktualizacji jest szczególnie przydatne w przypadku użytkowników
mobilnych, ponieważ właściwości połączenia internetowego
regularnie ulegają zmianie. Modyfikując zadanie aktualizacji,
użytkownicy mobilni mogą określić, że jeśli zaktualizowanie programu
przy użyciu konfiguracji zdefiniowanej w profilu Mój profil nie jest
możliwe, operacja zostanie wykonana przy użyciu innego profilu.
Trzecią opcję, Pytaj przed pobraniem komponentów programu,
należy zaznaczyć, aby użytkownik był pytany o potwierdzenie przed
pobraniem aktualizacji, gdy staną się one dostępne. W takim przypadku
zostanie wyświetlone okno dialogowe zawierające informacje
o dostępnych aktualizacjach i umożliwiające potwierdzenie lub
odrzucenie ich pobrania. Po potwierdzeniu aktualizacje są pobierane
i nowe komponenty programu są instalowane.
Opcją domyślną jest ustawienie Pytaj przed pobraniem aktualizacji
komponentów programu.
W menu rozwijanym Wybrany profil wyświetlana jest informacja
o aktualnie wybranym profilu. Domyślnie jest to opcja Mój profil.
Aby utworzyć nowy profil, kliknij przycisk Profile, a następnie przycisk
Dodaj i wprowadź nazwę w polu Nazwa profilu. Podczas tworzenia
nowego profilu można skopiować ustawienia istniejącego profilu,
wybierając go w menu rozwijanym Kopiuj ustawienia z profilu.
W ramach konfiguracji profilu można określić serwer aktualizacji,
z którym program będzie się łączyć w celu pobrania aktualizacji.
Można użyć dowolnego serwera z listy dostępnych serwerów lub dodać
nowy. Lista aktualnie istniejących serwerów aktualizacji jest dostępna
w menu rozwijanym Serwer aktualizacji. Aby dodać nowy serwer
aktualizacji, kliknij przycisk Edytuj w sekcji Ustawienia aktualizacji dla
wybranego profilu, a następnie kliknij przycisk Dodaj.
4.2.1.2
Zaawansowane ustawienia aktualizacji
Po zainstalowaniu aktualizacji komponentu programu konieczne
jest ponowne uruchomienie systemu, aby dostępne były wszystkie
funkcje modułów. W obszarze Uruchom ponownie po uaktualnieniu
komponentu programu można wybrać jedną z trzech następujących opcji:
•
Nigdy nie uruchamiaj ponownie komputera
Aby wyświetlić okno Zaawansowane ustawienia aktualizacji, kliknij
przycisk Ustawienia. Opcje zaawansowanych ustawień aktualizacji
obejmują konfigurację takich elementów, jak Tryb aktualizacji,
Serwer proxy, LAN oraz Kopia dystrybucyjna.
•
W razie potrzeby zaoferuj ponowne uruchomienie komputera
•
W razie potrzeby uruchom ponownie komputer bez
powiadomienia
4.2.1.2.1
Opcją domyślną jest ustawienie W razie potrzeby zaoferuj ponowne
uruchomienie komputera. Wybór najbardziej odpowiednich opcji
aktualizacji komponentów programu na karcie Tryb aktualizacji
zależy od stacji roboczej, na której ustawienia będą stosowane.
Należy pamiętać o różnicach między stacjami roboczymi a serwerami.
Na przykład automatyczne ponowne uruchomienie serwera po
uaktualnieniu programu mogłoby spowodować poważne szkody.
Tryb aktualizacji
Karta Tryb aktualizacji zawiera opcje związane z aktualizacją
składników programu.
W sekcji Aktualizacja komponentu programu są dostępne trzy opcje:
•
Nigdy nie aktualizuj komponentów programu
•
Zawsze aktualizuj komponenty programu
4.2.1.2.2
•
Pytaj przed pobraniem aktualizacji komponentów programu
Aby uzyskać dostęp do opcji ustawień serwera proxy dla danego
profilu aktualizacji, wykonaj następujące czynności: Kliknij opcję
Aktualizacja w drzewie Ustawienia zaawansowane (klawisz F5),
a następnie kliknij przycisk Ustawienia znajdujący się po prawej
stronie opcji Zaawansowane ustawienia aktualizacji. Kliknij kartę
Serwer proxy i wybierz jedną z trzech następujących opcji:
Wybranie opcji Nigdy nie aktualizuj komponentów programu
powoduje, że po wydaniu przez firmę ESET nowej aktualizacji
komponentu programu, nie zostanie ona pobrana i żadna aktualizacja
komponentów nie zostanie wykonana na określonej stacji roboczej.
Opcja Zawsze aktualizuj komponenty programu powoduje
aktualizację komponentów programu za każdym razem, gdy na
serwerach aktualizacji firmy ESET udostępniana jest nowa aktualizacja.
Komponenty programu są uaktualniane do najnowszej wersji.
22
Serwer proxy
•
Użyj ustawień globalnych serwera proxy
•
Nie używaj serwera proxy
•
Połączenie przez serwer proxy (połączenie zdefiniowane przy
użyciu właściwości)
Wybór opcji Użyj globalnych ustawień serwera proxy powoduje
użycie wszystkich opcji konfiguracji serwera proxy określonych
w części Inne > Serwer proxy drzewa Ustawienia zaawansowane.
Aby wyraźnie określić, że podczas aktualizacji programu ESET NOD32
Antivirus nie ma być używany żaden serwer proxy, należy zaznaczyć
opcję Nie używaj serwera proxy.
Opcję Połączenie przez serwer proxy należy wybrać, jeśli podczas
aktualizacji programu ESET NOD32 Antivirus będzie używany serwer
proxy i jest on inny niż serwer proxy określony w ustawieniach
globalnych (Inne > Serwer proxy). W takiej sytuacji należy określić
następujące ustawienia: adres serwera proxy, port komunikacyjny
oraz nazwę użytkownika i hasło serwera proxy, jeśli są wymagane.
Tę opcję należy wybrać także w przypadku, gdy nie określono ustawień
globalnych serwera proxy, ale w celu aktualizacji program ESET NOD32
Antivirus będzie korzystać z połączenia przez serwer proxy.
Ustawieniem domyślnym jest Użyj ustawień globalnych serwera
proxy.
4.2.1.2.3
Połączenie z siecią LAN
W przypadku aktualizacji za pomocą serwera lokalnego z systemem
operacyjnym opartym na systemie Windows NT domyślnie
wymagane jest uwierzytelnianie każdego połączenia sieciowego.
W większości przypadków konto użytkownika w systemie lokalnym
nie ma wystarczających praw do uzyskania dostępu do folderu
kopii dystrybucyjnej (zawierającego kopie plików aktualizacji).
Należy wówczas wprowadzić nazwę użytkownika i hasło w części
z ustawieniami aktualizacji lub określić istniejące konto, za pomocą
którego program uzyska dostęp do serwera aktualizacji (kopii
dystrybucyjnej).
Aby skonfigurować takie konto, kliknij kartę LAN. W obszarze Połącz
z serwerem aktualizacji jako dostępne są opcje Konto systemowe
(domyślnie), Bieżący użytkownik i Określony użytkownik.
Wybierz opcję Konto systemowe, aby w celu uwierzytelniania użyć
konta systemowego. Zazwyczaj uwierzytelnianie nie jest wykonywane,
jeśli główna część ustawień aktualizacji nie zawiera danych
uwierzytelniających.
Aby mieć pewność, że program autoryzuje się za pomocą aktualnie
zalogowanego konta użytkownika, należy wybrać opcję Bieżący
użytkownik. Wadą tego rozwiązania jest to, że program nie może
nawiązać połączenia z serwerem aktualizacji, jeśli aktualnie nie jest
zalogowany żaden użytkownik.
Jeśli program ma używać przy uwierzytelnianiu określonego konta
użytkownika, należy wybrać opcję Określony użytkownik.
Domyślną opcją połączenia LAN jest opcja Konto systemowe.
Ostrzeżenie:
Jeśli włączona jest opcja Bieżący użytkownik lub Określony
użytkownik, podczas zmiany tożsamości i wyboru konta żądanego
użytkownika w programie może wystąpić błąd. Z tego powodu zaleca
się wprowadzenie danych uwierzytelniających dla sieci LAN w głównej
części ustawień aktualizacji. W tej części ustawień aktualizacji należy
wprowadzić następujące dane uwierzytelniające: nazwa_domeny\
użytkownik (w przypadku grupy roboczej nazwa_grupy_roboczej\
nazwa) i hasło użytkownika. W przypadku aktualizacji z wersji HTTP
serwera lokalnego uwierzytelnianie nie jest wymagane.
4.2.1.2.4
Tworzenie kopii aktualizacji — kopia dystrybucyjna
Program ESET NOD32 Antivirus Business Edition umożliwia
użytkownikowi utworzenie kopii plików aktualizacji, które mogą
zostać użyte w celu aktualizacji innych stacji roboczych znajdujących
się w sieci. Aktualizowanie klienckich stacji roboczych przy użyciu
kopii dystrybucyjnej pozwala na zoptymalizowanie obciążenia sieci
i oszczędne wykorzystanie przepustowości połączenia internetowego.
Opcje konfiguracji lokalnego serwera kopii dystrybucyjnej są dostępne
(po dodaniu poprawnego klucza licencyjnego w części zarządzania
licencjami w oknie Ustawienia zaawansowane programu ESET NOD32
Antivirus Business Edition) w opcji Zaawansowane ustawienia
aktualizacji. Aby uzyskać do niej dostęp, naciśnij klawisz F5 i kliknij
część Aktualizacja w drzewie Ustawienia zaawansowane. Kliknij
przycisk Ustawienia znajdujący się obok opcji Zaawansowane
ustawienia aktualizacji i wybierz kartę Kopia dystrybucyjna.
23
dostępu do plików aktualizacji. Dostępne są następujące opcje: NONE,
Basic i NTLM. Wybór opcji Basic powoduje stosowanie kodowania base64
i podstawowej metody uwierzytelniania za pomocą nazwy użytkownika i
hasła. Opcja NTLM umożliwia uwierzytelnianie przy użyciu bezpiecznego
kodowania. Na potrzeby uwierzytelniania używane jest konto
użytkownika utworzone na stacji roboczej, na której udostępniane są pliki
aktualizacji. Ustawieniem domyślnym jest NONE, które zapewnia dostęp
do plików aktualizacji bez konieczności uwierzytelniania.
Ostrzeżenie:
Aby zezwolić na dostęp do plików aktualizacji za pośrednictwem
serwera HTTP, folder kopii dystrybucyjnej musi znajdować się na tym
samym komputerze co program ESET NOD32 Antivirus, za pomocą
którego został on utworzony.
Pierwszym krokiem konfiguracji kopii dystrybucyjnej jest zaznaczenie
pola wyboru Utwórz kopię dystrybucyjną aktualizacji. Powoduje
to uaktywnienie innych opcji konfiguracji kopii dystrybucyjnej, takich
jak sposób uzyskiwania dostępu do plików aktualizacji oraz ścieżka
aktualizacji do plików kopii dystrybucyjnej.
Metody aktywacji kopii dystrybucyjnej szczegółowo opisano
w kolejnym rozdziale zatytułowanym „Sposoby uzyskiwania
dostępu do kopii dystrybucyjnej“. Należy zwrócić uwagę na fakt, że
dostępne są dwa podstawowe sposoby uzyskiwania dostępu do kopii
dystrybucyjnej — folder zawierający pliki aktualizacji może być dostępny
w postaci udostępnionego folderu sieciowego lub serwera HTTP.
Folder przeznaczony do przechowywania plików aktualizacji
na potrzeby kopii dystrybucyjnej jest określany w sekcji Folder
przechowywania kopii dystrybucyjnej aktualizacji. Kliknij przycisk
Folder, aby przejść do żądanego folderu na komputerze lokalnym lub
udostępnionego folderu sieciowego. Jeśli określony folder wymaga
autoryzacji, należy podać dane uwierzytelniające w polach Nazwa
użytkownika i Hasło. Nazwę użytkownika i hasło należy wprowadzić
w formacie domena/użytkownik lub grupa_robocza/użytkownik. Należy
pamiętać o podaniu odpowiednich haseł.
Podczas określania szczegółowej konfiguracji kopii dystrybucyjnej
można również określić wersje językowe, dla których mają być
pobierane kopie plików aktualizacji. Ustawienia wersji językowej są
dostępne w polu Pliki — Dostępne wersje.
4.2.1.2.4.1 Aktualizowanie przy użyciu kopii dystrybucyjnej
Dostępne są dwie podstawowe metody konfigurowania kopii
dystrybucyjnej — folder zawierający pliki aktualizacji może być dostępny
w postaci udostępnionego folderu sieciowego lub serwera HTTP.
Uzyskiwanie dostępu do kopii dystrybucyjnej przy użyciu
wewnętrznego serwera HTTP
Jest to konfiguracja domyślna, określona we wstępnie zdefiniowanej
konfiguracji programu. Aby zezwolić na dostęp do kopii dystrybucyjnej
przy użyciu serwera HTTP, przejdź do opcji Zaawansowane
ustawienia aktualizacji (karta Kopia dystrybucyjna) i zaznacz opcję
Utwórz kopię dystrybucyjną aktualizacji.
W opcji Ustawienia zaawansowane na karcie Kopia dystrybucyjna
można określić port serwera, na którym serwer HTTP będzie nasłuchiwać,
oraz typ uwierzytelniania używany na tym serwerze. Domyślnie
ustawienie Port serwera ma wartość 2221. Opcja Uwierzytelnianie służy
do definiowana metody uwierzytelniania używanej podczas uzyskiwania
24
Po zakończeniu konfigurowania kopii dystrybucyjnej dodaj na
stacjach roboczych nowy serwer aktualizacji, stosując format http://
adres_IP_serwera:2221. W tym celu wykonaj następujące czynności:
•
Otwórz drzewo Ustawienia zaawansowane programu ESET
NOD32 Antivirus i kliknij sekcję Aktualizacja.
•
Kliknij przycisk Edytuj znajdujący się po prawej stronie menu
rozwijanego Serwer aktualizacji i dodaj nowy serwer, stosując
następujący format: http://adres_IP_serwera:2221
•
Wybierz nowo dodany serwer z listy serwerów aktualizacji.
Uzyskiwanie dostępu do kopii dystrybucyjnej za pośrednictwem
udziałów systemowych
Najpierw na urządzeniu lokalnym lub sieciowym należy utworzyć
folder współużytkowany. Podczas tworzenia folderu przeznaczonego
na kopię dystrybucyjną konieczne jest zapewnienie dostępu do zapisu
dla użytkownika, który będzie zapisywać pliki aktualizacji w folderze,
oraz dostępu do odczytu dla wszystkich użytkowników, którzy będą
aktualizować program ESET NOD32 Antivirus przy użyciu tej metody.
Następnie skonfiguruj sposób dostępu do kopii dystrybucyjnej
w opcji Zaawansowane ustawienia aktualizacji (karta Kopia
dystrybucyjna), wyłączając opcję Udostępnij pliki aktualizacji
za pośrednictwem wewnętrznego serwera HTTP. Ta opcja jest
domyślnie włączona w pakiecie instalacyjnym programu.
Jeśli udostępniony folder znajduje się na innym komputerze w sieci,
należy określić dane uwierzytelniające w celu uzyskania do niego
dostępu. Aby określić dane uwierzytelniające, otwórz okno Ustawienia
zaawansowane programu ESET NOD32 Antivirus (klawisz F5) i kliknij
część Aktualizacja. Kliknij przycisk Ustawienia, a następnie kliknij
kartę LAN. To ustawienie jest tym samym, które używane jest podczas
aktualizacji, i zostało opisane w rozdziale Połączenie z siecią LAN.
Po zakończeniu konfigurowania kopii dystrybucyjnej na stacjach
roboczych, jako serwer aktualizacji należy ustawić wartość \\UNC\
ŚCIEŻKA. W tym celu wykonaj następujące czynności:
•
Otwórz okno Ustawienia zaawansowane programu ESET NOD32
Antivirus i kliknij część Aktualizacja.
•
Kliknij przycisk Edytuj znajdujący się obok opcji Serwer aktualizacji
i dodaj nowy serwer, stosując format \\UNC\ŚCIEŻKA.
•
Wybierz nowo dodany serwer z listy serwerów aktualizacji.
UWAGA: Aby zapewnić prawidłowe działanie, ścieżka do folderu kopii
dystrybucyjnej musi być określona jako ścieżka UNC. Aktualizowanie
przy użyciu dysków mapowanych może nie działać.
4.2.1.2.4.2 Rozwiązywanie problemów z aktualizacją przy użyciu
kopii dystrybucyjnej
•
Automatyczna aktualizacja po zalogowaniu użytkownika
Każde z tych zadań aktualizacji można zmodyfikować zgodnie
z potrzebami użytkownika. Oprócz domyślnych zadań aktualizacji
można tworzyć nowe zadania z konfiguracją zdefiniowaną przez
użytkownika. Więcej szczegółowych informacji na temat tworzenia
i konfigurowania zadań aktualizacji można znaleźć w rozdziale
„Harmonogram“.
4.3 Harmonogram
Harmonogram jest dostępny, jeśli w programie ESET NOD32 Antivirus
został włączony tryb zaawansowany. Opcja Harmonogram jest
dostępna po wybraniu opcji Narzędzia w menu głównym programu
ESET NOD32 Antivirus. Harmonogram zawiera listę wszystkich
zaplanowanych zadań oraz ich właściwości konfiguracyjne, takie jak
wstępnie zdefiniowany dzień, godzina i używany profil skanowania.
W zależności od metody uzyskiwania dostępu do folderu kopii
dystrybucyjnej mogą wystąpić problemy różnego typu. W większości
przypadków przyczyny problemów występujących podczas
aktualizacji przy użyciu serwera kopii dystrybucyjnej są następujące:
nieprawidłowe określenie opcji folderu kopii dystrybucyjnej, nieprawidłowe
dane uwierzytelniające dla folderu kopii dystrybucyjnej, nieprawidłowa
konfiguracja na lokalnych stacjach roboczych próbujących pobrać pliki
aktualizacji z kopii dystrybucyjnej. Przyczyny te mogą występować razem.
Poniżej omówiono najczęściej występujące problemy:
•
Program ESET NOD32 Antivirus zgłasza wystąpienie błędu
podczas nawiązywania połączenia z serwerem kopii
dystrybucyjnej — problem jest prawdopodobnie spowodowany
nieprawidłowym określeniem serwera aktualizacji (ścieżki
sieciowej do folderu kopii dystrybucyjnej), z którego lokalne
stacje robocze pobierają aktualizacje. Aby sprawdzić folder, kliknij
w systemie Windows menu Start, kliknij polecenie Uruchom,
wpisz nazwę folderu i kliknij przycisk OK. Powinna zostać
wyświetlona zawartość folderu.
•
Program ESET NOD32 Antivirus wymaga nazwy użytkownika
i hasła — problem jest prawdopodobnie spowodowany
wprowadzeniem nieprawidłowych danych uwierzytelniających
(nazwy użytkownika i hasła) w części dotyczącej aktualizacji. Nazwa
użytkownika i hasło służą do uzyskiwania dostępu do serwera
aktualizacji, który jest używany do aktualizowania programu. Upewnij
się, że dane uwierzytelniające są prawidłowe i zostały wprowadzone
we właściwym formacie, na przykład domena/nazwa_użytkownika lub
grupa_robocza/nazwa_użytkownika, wraz z odpowiednimi hasłami. Jeśli
serwer kopii dystrybucyjnej jest dostępny dla wszystkich, nie oznacza
to, że każdy użytkownik uzyska dostęp. Nie oznacza to dostępności
dla dowolnego nieautoryzowanego użytkownika, a jedynie dla
wszystkich użytkowników domeny. Dlatego nawet w takiej sytuacji
w części dotyczącej ustawień aktualizacji należy wprowadzić nazwę
użytkownika domeny i hasło.
•
Program ESET NOD32 Antivirus zgłasza błąd podczas
nawiązywania połączenia z serwerem kopii dystrybucyjnej —
komunikacja przez port zdefiniowany dla serwera HTTP
zawierającego kopię dystrybucyjną jest zablokowana.
4.2.2
Tworzenie zadań aktualizacji
Aktualizację można uruchamiać ręcznie, klikając opcję Aktualizuj
bazę sygnatur wirusów w oknie z informacjami wyświetlanym po
kliknięciu w menu głównym opcji Aktualizacja.
Aktualizację można także uruchamiać w ramach zaplanowanych
zadań. Aby skonfigurować zaplanowane zadanie, kliknij kolejno opcje
Narzędzia > Harmonogram. Domyślnie w programie ESET NOD32
Antivirus są aktywne następujące zadania:
•
Regularna automatyczna aktualizacja
•
Automatyczna aktualizacja po nawiązaniu połączenia
modemowego
Domyślnie w opcji Harmonogram wyświetlane są następujące
zaplanowane zadania:
•
Regularna automatyczna aktualizacja
•
Automatyczna aktualizacja po nawiązaniu połączenia
modemowego
•
Automatyczna aktualizacja po zalogowaniu użytkownika
•
Automatyczne sprawdzanie plików przy uruchamianiu po
zalogowaniu użytkownika
•
Automatyczne sprawdzanie plików przy uruchamianiu po
pomyślnej aktualizacji bazy sygnatur wirusów
Aby zmodyfikować konfigurację istniejącego zaplanowanego zadania
(zarówno domyślnego, jak i zdefiniowanego przez użytkownika) kliknij
prawym przyciskiem myszy zadanie i wybierz opcję Edytuj lub wybierz
zadanie, które ma zostać zmodyfikowane, i kliknij przycisk Edytuj.
4.3.1
Cel planowania zadań
Harmonogram służy do zarządzania zaplanowanymi zadaniami
i uruchamiania ich ze wstępnie zdefiniowaną konfiguracją.
Konfiguracja i właściwości zawierają informacje, na przykład
datę i godzinę, jak również określone profile używane podczas
wykonywania zadania.
4.3.2
Tworzenie nowych zadań
Aby utworzyć nowe zadanie w harmonogramie, kliknij przycisk Dodaj
lub kliknij prawym przyciskiem myszy i w menu kontekstowym wybierz
opcję Dodaj. Dostępnych jest pięć typów zaplanowanych zadań:
•
Uruchom aplikację zewnętrzną
25
•
Administracja dziennikami
•
Sprawdzanie plików wykonywanych przy uruchamianiu systemu
•
Skanowanie komputera na żądanie
•
Aktualizacja
Ponieważ najczęściej używanymi zaplanowanymi zadaniami są
Skanowanie komputera na żądanie i Aktualizacja, zostanie
przedstawiony sposób dodawania nowego zadania aktualizacji.
W menu rozwijanym Zaplanowane zadanie wybierz opcję
Aktualizacja. Kliknij przycisk Dalej i wprowadź nazwę zadania
w polu Nazwa zadania . Wybierz częstotliwość zadania. Dostępne
są następujące opcje: Jednorazowo, Wielokrotnie, Codziennie,
Cotygodniowo i Po wystąpieniu zdarzenia. Na podstawie
wybranej częstotliwości wyświetlane są monity zawierające różne
parametry aktualizacji. Następnie zdefiniuj czynność podejmowaną
w przypadku, gdy nie można wykonać lub zakończyć zadania
w zaplanowanym czasie. Dostępne są następujące trzy opcje:
•
Czekaj do następnego zaplanowanego terminu
•
Uruchom zadanie jak najszybciej
•
Uruchom zadanie natychmiast, jeśli od ostatniego wykonania
upłynęło ponad (godziny) (czas można zdefiniować natychmiast
przy użyciu pola przewijania)
Użytkownik może poddawać kwarantannie dowolne pliki. Zaleca się
podjęcie takiego działania, jeśli plik zachowuje się w podejrzany sposób,
ale nie jest wykrywany przez skaner antywirusowy. Pliki poddane
kwarantannie można przesyłać do analizy w laboratorium firmy ESET.
Pliki przechowywane w folderze kwarantanny mogą być wyświetlane
w tabeli zawierającej datę i godzinę przeniesienia do kwarantanny,
ścieżkę do pierwotnej lokalizacji zainfekowanego pliku, rozmiar pliku
w bajtach, powód (dodane przez użytkownika…) oraz liczbę zagrożeń
(jeśli przykładowo plik jest archiwum zawierającym wiele zagrożeń).
4.4.1
Poddawanie plików kwarantannie
Program automatycznie poddaje kwarantannie usunięte pliki (jeśli nie
anulowano tej opcji w oknie alertu). W razie potrzeby można ręcznie
poddać kwarantannie dowolny podejrzany plik, klikając przycisk
Kwarantanna. W takim przypadku oryginalny plik nie jest usuwany
z pierwotnej lokalizacji. W tym celu można również skorzystać
z menu kontekstowego, klikając prawym przyciskiem myszy w oknie
kwarantanny i wybierając opcję Dodaj.
4.4.2
Przywracanie plików z kwarantanny
Pliki poddane kwarantannie można przywracać do ich pierwotnej
lokalizacji. W tym celu należy użyć funkcji Przywróć, która jest
dostępna w menu kontekstowym po kliknięciu prawym przyciskiem
myszy danego pliku w oknie kwarantanny. Menu kontekstowe
zawiera także opcję Przywróć do, umożliwiającą przywracanie plików
do lokalizacji innej niż ta, z której zostały usunięte.
W kolejnym kroku wyświetlane jest okno z podsumowaniem
informacji dotyczących aktualnie zaplanowanego zadania. Opcja
Uruchom zadanie z określonymi parametrami powinna być włączona
automatycznie. Kliknij przycisk Zakończ.
UWAGA:
Jeśli nieszkodliwy plik zostanie w programie błędnie poddany
kwarantannie, po jego przywróceniu należy wyłączyć go ze
skanowania i wysłać do działu obsługi klienta firmy ESET.
Zostanie wyświetlone okno dialogowe umożliwiające wybranie
profilów używanych w zaplanowanym zadaniu. W tym miejscu można
określić profil główny i alternatywny, który jest używany w przypadku
braku możliwości wykonania zadania przy użyciu profilu głównego.
Potwierdź ustawienia, klikając przycisk OK w oknie Profile aktualizacji.
Nowe zaplanowane zadanie zostanie dodane do listy aktualnie
zaplanowanych zadań.
4.4.3
4.4 Kwarantanna
Głównym zadaniem kwarantanny jest bezpieczne przechowywanie
zainfekowanych plików. Pliki należy poddawać kwarantannie
w przypadku, gdy nie można ich wyleczyć, gdy ich usunięcie nie jest
bezpieczne lub zalecane oraz gdy są one nieprawidłowo wykrywane
przez program ESET NOD32 Antivirus.
26
Przesyłanie pliku z kwarantanny
Jeśli poddano kwarantannie podejrzany plik, który nie został wykryty
przez program, lub jeśli plik został błędnie oceniony jako zainfekowany
(na przykład w drodze analizy heurystycznej kodu) i następnie
poddany kwarantannie, należy przesłać plik do laboratorium firmy
ESET. Aby przesłać plik z kwarantanny, kliknij go prawym przyciskiem
myszy i w menu kontekstowym wybierz opcję Prześlij do analizy.
Informacje wyświetlane w każdym obszarze okna można skopiować
bezpośrednio do schowka, wybierając żądaną pozycję i klikając
przycisk Kopiuj. Aby zaznaczyć wiele wpisów, można użyć kombinacji
klawiszy CTRL i SHIFT.
4.5.1
Administracja dziennikami
Dostęp do konfiguracji dzienników programu ESET NOD32
Antivirus można uzyskać z poziomu okna głównego programu.
Kliknij kolejno opcje Ustawienia > Otwórz całe drzewo ustawień
zaawansowanych > Narzędzia > Pliki dziennika. Można określić
następujące opcje plików dziennika:
4.5 Pliki dziennika
Pliki dziennika zawierają informacje o wszystkich ważnych
zdarzeniach, jakie miały miejsce w programie, a także przegląd
wykrytych zagrożeń. Zapisywanie informacji w dzienniku pełni istotną
rolę przy analizie systemu, wykrywaniu zagrożeń i rozwiązywaniu
problemów. Dziennik jest aktywnie tworzony w tle i nie wymaga
żadnych działań ze strony użytkownika. Informacje są zapisywane
zgodnie z bieżącymi ustawieniami szczegółowości dziennika. Za pomocą
programu ESET NOD32 Antivirus można bezpośrednio wyświetlać
wiadomości tekstowe oraz wyświetlać i archiwizować dzienniki.
Pliki dziennika są dostępne z poziomu okna głównego programu
ESET NOD32 Antivirus po kliknięciu kolejno opcji Narzędzia >
Pliki dziennika. Wybierz żądany typ dziennika przy użyciu menu
rozwijanego Dziennik znajdującego się w górnej części okna.
Dostępne są następujące dzienniki:
1. Wykryte zagrożenia — wybierając tę opcję, można zapoznać
się ze wszystkimi informacjami na temat zdarzeń związanych
z próbami ataku.
•
Usuwaj automatycznie rekordy — wpisy dziennika starsze niż
określona liczba dni są automatycznie usuwane.
•
Automatycznie optymalizuj pliki dzienników — umożliwia
automatyczną defragmentację plików dziennika w przypadku
przekroczenia określonego procentu nieużywanych rekordów.
•
Minimalna szczegółowość zapisów w dzienniku — umożliwia
określenie poziomu szczegółowości zapisów w dzienniku.
Dostępne opcje:
— Błędy krytyczne — rejestrowane są tylko informacje
o błędach krytycznych (błąd podczas uruchamiania ochrony
antywirusowej itp.).
— Błędy — rejestrowane są tylko komunikaty „Błąd podczas
pobierania pliku“ oraz błędy krytyczne.
— Ostrzeżenia — rejestrowane są wszystkie błędy krytyczne
i komunikaty ostrzegawcze.
— Rekordy informacyjne — rejestrowane są komunikaty
informacyjne, w tym powiadomienia o pomyślnych
aktualizacjach, a także wszystkie rekordy wymienione
powyżej.
— Rekordy diagnostyczne — rejestrowane są informacje
potrzebne do dopracowania konfiguracji programu
i wszystkie rekordy wymienione powyżej.
2. Zdarzenia — ta opcja pozwala administratorom systemu
i użytkownikom na rozwiązywanie problemów. Wszystkie ważne
czynności podejmowane przez program ESET NOD32 Antivirus są
zapisywane w dziennikach zdarzeń.
3. Skanowanie komputera na żądanie — w tym oknie są
wyświetlane rezultaty wszystkich ukończonych operacji
skanowania. Dwukrotne kliknięcie dowolnego wpisu powoduje
wyświetlenie szczegółowych informacji na temat danej operacji
skanowania na żądanie.
4.6 Interfejs użytkownika
Opcje konfiguracji interfejsu użytkownika w programie ESET NOD32
Antivirus można modyfikować w celu dostosowywania środowiska
pracy do potrzeb użytkownika. Dostęp do opcji konfiguracji można
uzyskać w części Interfejs użytkownika drzewa Ustawienia
zaawansowane programu ESET NOD32 Antivirus.
Sekcja Elementy interfejsu użytkownika umożliwia w razie potrzeby
przełączanie do trybu zaawansowanego. Tryb zaawansowany
wyświetla szczegółowe ustawienia programu ESET NOD32 Antivirus.
27
Opcję Graficzny interfejs użytkownika należy wyłączyć, jeśli
elementy graficzne obniżają wydajność komputera lub powodują
inne problemy. Wyłączenie interfejsu graficznego może być także
konieczne w przypadku użytkowników niedowidzących, ponieważ
może on powodować konflikty ze specjalnymi aplikacjami służącymi
do odczytywania tekstu wyświetlanego na ekranie.
Aby wyłączyć ekran powitalny programu ESET NOD32 Antivirus,
należy usunąć zaznaczenie opcji Pokaż ekran powitalny przy
uruchamianiu.
W górnej części okna głównego programu ESET NOD32 Antivirus
znajduje się standardowe menu, które można włączać i wyłączać za
pomocą opcji Użyj standardowego menu.
Jeśli opcja Pokaż etykiety narzędzi jest włączona, po umieszczeniu
kursora nad dowolną opcją jest wyświetlany jej krótki opis. Opcja
Zaznacz aktywny element menu powoduje podświetlenie
przez system dowolnego elementu, który znajduje się aktualnie
w aktywnym obszarze kursora myszy. Podświetlony element jest
aktywowany po kliknięciu myszą.
4.6.1
Alerty i powiadomienia
Aby zmniejszyć lub zwiększyć szybkość efektów animowanych,
zaznacz opcję Użyj animowanych kontrolek i przesuń suwak
Szybkość w lewo lub w prawo.
Sekcja Alerty i powiadomienia znajdująca się na karcie Interfejs
użytkownika umożliwia konfigurowanie sposobu obsługi alertów
o zagrożeniu i powiadomień systemowych w programie ESET NOD32
Antivirus 4.
Aby włączyć wyświetlanie postępu różnych operacji przy użyciu
animowanych ikon, zaznacz pole wyboru Użyj animowanych
ikon. Aby program generował ostrzegawczy sygnał dźwiękowy
w przypadku wystąpienia ważnego zdarzenia, zaznacz opcję
Użyj sygnałów dźwiękowych.
Pierwszym elementem jest opcja Wyświetlaj alerty. Wyłączenie tej
opcji powoduje anulowanie wyświetlania wszystkich okien alertów
i należy ją stosować tylko w niektórych szczególnych sytuacjach.
W przypadku większości użytkowników zaleca się pozostawienie
ustawienia domyślnego tej opcji (włączona).
Aby wyskakujące okienka były automatycznie zamykane po upływie
określonego czasu, zaznacz opcję Automatycznie zamykaj
okna komunikatów po (sek). Jeśli użytkownik nie zamknie
okna komunikatu, jest ono zamykane automatycznie po upływie
określonego czasu.
Powiadomienia na pulpicie i porady w dymkach mają wyłącznie
charakter informacyjny i nie wymagają ani nie umożliwiają
podejmowania działań przez użytkownika. Są wyświetlane
w obszarze powiadomień w prawym dolnym rogu ekranu. Aby
włączyć wyświetlanie powiadomień na pulpicie, zaznacz opcję
Wyświetlaj powiadomienia na pulpicie. Szczegółowe opcje, takie
jak czas wyświetlania powiadomienia i przezroczystość okien, można
modyfikować po kliknięciu przycisku Konfiguruj powiadomienia.
Aby wyświetlić podgląd powiadomień, kliknij przycisk Podgląd. Do
konfigurowania czasu wyświetlania porad w dymkach służy opcja
Wyświetlaj porady w dymkach na pasku zadań (sek.).
Funkcje interfejsu użytkownika obejmują także możliwość ochrony
parametrów ustawień programu ESET NOD32 Antivirus za pomocą
hasła. Ta opcja znajduje się w podmenu Ochrona ustawień w części
Interfejs użytkownika. W celu zapewnienia maksymalnego
bezpieczeństwa systemu ważne jest prawidłowe skonfigurowanie
programu. Nieautoryzowane modyfikacje mogą powodować utratę
ważnych danych. Aby ustawić hasło w celu ochrony parametrów
ustawień, kliknij opcję Wprowadź hasło.
28
Kliknij przycisk Ustawienia zaawansowane w celu wprowadzenia
dodatkowych opcji ustawień dotyczących alertów i powiadomień
obejmujących opcję Wyświetlaj tylko powiadomienia wymagające
interwencji użytkownika. Ta opcja pozwala włączyć lub wyłączyć
wyświetlanie alertów i powiadomień, które nie wymagają interwencji
użytkownika. Zaznacz opcję Wyświetlaj tylko powiadomienia
wymagające interwencji użytkownika (podczas uruchamiania aplikacji
w trybie pełnoekranowym), aby pomijać wszystkie powiadomienia
niewymagające interwencji użytkownika. Z rozwijanego menu
Minimalna szczegółowość zdarzeń do wyświetlenia można wybrać
początkowy poziom ważności wyświetlanych alertów i powiadomień.
Konfiguracja systemu ThreatSense.Net jest dostępna w części
Narzędzia > ThreatSense.Net w drzewie Ustawienia zaawansowane.
Zaznacz pole wyboru Włącz system monitorowania zagrożeń
ThreatSense.Net. Umożliwia to aktywację i kliknięcie przycisku
Ustawienia zaawansowane.
Ostatnia funkcja w tej części dotyczy określania adresata
powiadomień w środowisku z wieloma użytkownikami.
Pole W systemach z wieloma użytkownikami wyświetlaj
powiadomienia na ekranie następującego użytkownika umożliwia
definiowanie osób, które będą otrzymywać ważne powiadomienia
programu ESET NOD32 Antivirus 4. Zazwyczaj taką osobą jest
administrator systemu lub sieci. Ta opcja jest szczególnie przydatna
w przypadku serwerów terminali, pod warunkiem, że wszystkie
powiadomienia systemowe są wysyłane do administratora.
4.7 ThreatSense.Net
System monitorowania zagrożeń ThreatSense.Net jest narzędziem,
dzięki któremu firma ESET otrzymuje natychmiastowe, ciągłe
informacje o nowych zagrożeniach. Dwukierunkowy system
monitorowania zagrożeń ThreatSense.Net ma jeden cel — poprawę
oferowanej ochrony. Najlepszą gwarancją wykrycia nowych zagrożeń
natychmiast po ich pojawieniu się jest współpraca z jak największą
liczbą klientów i korzystanie z ich pomocy w tropieniu zagrożeń.
Istnieją dwie możliwości:
1. Można nie włączać systemu monitorowania zagrożeń
ThreatSense.Net. Funkcjonalność oprogramowania nie ulegnie
zmniejszeniu, a użytkownik nadal będzie otrzymywać najlepszą
ochronę.
2. Można skonfigurować system monitorowania zagrożeń w taki
sposób, aby anonimowe informacje o nowych zagrożeniach
i lokalizacji nowego niebezpiecznego kodu były przesyłane
w postaci pojedynczego pliku. Ten plik można przesłać do firmy
ESET w celu wykonania szczegółowej analizy. Badanie zagrożeń
pomaga firmie ESET udoskonalać metody wykrywania zagrożeń.
System monitorowania zagrożeń ThreatSense.Net gromadzi
informacje o komputerze użytkownika, dotyczące nowo wykrytych
zagrożeń. Te informacje mogą zawierać próbkę lub kopię pliku,
w którym wystąpiło zagrożenie, ścieżkę do tego pliku, nazwę
pliku, informacje o dacie i godzinie, proces, za pośrednictwem
którego zagrożenie pojawiło się na komputerze, oraz informacje
o systemie operacyjnym komputera. Niektóre z tych informacji
mogą zawierać dane osobiste użytkownika komputera, takie jak
nazwa użytkownika w ścieżce katalogu itp. Przykładowe przesyłane
informacje o pliku są dostępne w tym miejscu.
4.7.1
Podejrzane pliki
Karta Podejrzane pliki pozwala konfigurować sposób, w jaki
zagrożenia są przesyłane do laboratorium firmy ESET w celu
wykonania analizy.
Jeśli na komputerze wykryto podejrzany plik, można go przesłać do
analizy w laboratorium firmy. Jeśli okaże się, że jest to szkodliwa
aplikacja, informacje potrzebne do jej wykrywania zostaną dodane
do kolejnej aktualizacji sygnatur wirusów.
Można ustawić automatyczne przesyłanie plików bez pytania. Po
wybraniu tej opcji operacja wysyłania podejrzanych plików odbywa
się w tle. Aby otrzymywać informacje o plikach wysyłanych do analizy
i potwierdzać przesłanie, wybierz opcję Pytaj przed przesłaniem.
Chociaż istnieje możliwość, że w wyniku tego specjaliści firmy ESET
mogą mieć dostęp do niektórych informacji dotyczących użytkownika
lub jego komputera, nie będą one używane w ŻADNYM innym celu niż
ulepszanie systemu monitorowania zagrożeń.
Domyślna konfiguracja programu ESET NOD32 Antivirus posiada
zdefiniowaną opcję pytania użytkownika przed przesłaniem
podejrzanych plików do szczegółowej analizy w laboratorium
zagrożeń firmy ESET. Należy zauważyć, że pliki z określonymi
rozszerzeniami, na przykład doc lub xls, są zawsze wyłączone
z przesyłania. Można również dodać inne rozszerzenia, jeśli istnieją
pliki, które użytkownik lub jego organizacja chce wyłączyć
z przesyłania.
Aby żadne pliki nie były przesyłane, wybierz opcję Nie przesyłaj do
analizy. Należy pamiętać, że rezygnacja z przesyłania plików do
analizy nie ma wpływu na przesyłanie informacji statystycznych do
firmy ESET. Przesyłanie informacji statystycznych jest konfigurowane
w osobnej części ustawień opisanej w kolejnym rozdziale.
29
Kiedy przesłać
Podejrzane pliki są jak najszybciej przesyłane do laboratorium firmy
ESET. Jest to zalecane w przypadku korzystania ze stałego łącza
internetowego, dzięki czemu podejrzane pliki mogą być dostarczane
bez opóźnienia. Inną możliwością jest przesyłanie podejrzanych
plików podczas aktualizacji. Po wybraniu tej opcji podejrzane pliki są
gromadzone i przekazywane do serwerów systemu monitorowania
zagrożeń podczas aktualizacji.
Filtr wykluczeń
Nie wszystkie pliki muszą być przesyłane do analizy. Filtr wykluczeń
umożliwia wykluczenie pewnych plików i folderów z przesyłania.
Warto na przykład wykluczyć pliki, które mogą zawierać poufne
informacje, takie jak dokumenty lub arkusze kalkulacyjne.
Najbardziej popularne typy plików są wykluczone domyślnie (pliki
oprogramowania Microsoft Office i OpenOffice). Listę wykluczonych
plików można w razie potrzeby rozszerzyć.
Kontaktowy adres e-mail
Kontaktowy adres e-mail jest wysyłany wraz z podejrzanymi
plikami do firmy ESET i może zostać użyty do skontaktowania
się z użytkownikiem w sytuacji, gdy wykonanie analizy wymaga
dodatkowych informacji na temat przesłanych plików. Specjaliści
z firmy ESET kontaktują się z użytkownikiem tylko w szczególnych
przypadkach.
4.7.2
Statystyka
System monitorowania zagrożeń ThreatSense.Net gromadzi
anonimowe informacje dotyczące nowo wykrytych zagrożeń. Mogą
one obejmować nazwę infekcji, datę i godzinę jej wykrycia, numer
wersji programu ESET NOD32 Antivirus, numer wersji systemu
operacyjnego i ustawienia regionalne. Zazwyczaj statystyka jest
wysyłana do serwerów firmy ESET raz lub dwa razy dziennie.
4.7.3
Przesyłanie
Na tej karcie można zdefiniować, czy pliki i informacje statystyczne
będą przesyłane przy użyciu zdalnej administracji, czy też
bezpośrednio do firmy ESET. Aby mieć pewność, że podejrzane pliki
i informacje statystyczne są dostarczane do firmy ESET, wybierz opcję
Przy użyciu zdalnej administracji (Remote Administrator) lub
bezpośrednio do firmy ESET. Po wybraniu tej opcji pliki i statystyka
są przesyłane przy użyciu wszystkich dostępnych metod. Przesyłanie
podejrzanych plików przy użyciu administracji zdalnej powoduje
dostarczenie plików i statystyki do serwera administracji zdalnej,
co zapewnia ich dalsze przesłanie do laboratorium firmy ESET. Po
wybraniu opcji Bezpośrednio do firmy ESET wszystkie podejrzane
pliki i informacje statystyczne są wysyłane z programu bezpośrednio
do laboratorium firmy ESET.
Oto przykładowy pakiet statystyczny:
# utc_time=2005‑04‑14 07:21:28
# country=“Slovakia“
# language=“ENGLISH“
# osver=5.1.2600 NT
# engine=5417
# components=2.50.2
# moduleid=0x4e4f4d41
# filesize=28368
# filename=C:\Documents and Settings\Administrator\
Local Settings\Temporary Internet Files\Content.IE5\
C14J8NS7\rdgFR1463[1].exe
Kiedy przesłać
W części Kiedy przesłać można zdefiniować czas przesyłania
informacji statystycznych. Po wybraniu opcji Natychmiast informacje
statystyczne są wysyłane natychmiast po ich utworzeniu. To
ustawienie jest odpowiednie w przypadku korzystania ze stałego
łącza internetowego. Po wybraniu opcji Podczas aktualizacji
informacje statystyczne są przechowywane i przesyłane zbiorczo
podczas kolejnej aktualizacji.
Jeżeli istnieją pliki oczekujące na przesłanie, przycisk Prześlij teraz
jest aktywny. Kliknij ten przycisk, aby natychmiast przesłać pliki
i informacje statystyczne.
Zaznacz pole wyboru Włącz zapisywanie w dzienniku, aby włączyć
rejestrowanie przesyłania plików i informacji statystycznych. Po
każdym przesłaniu podejrzanego pliku lub informacji statystycznych
w dzienniku zdarzeń jest tworzony wpis.
30
4.8 Administracja zdalna
4.9 Licencje
Administracja zdalna jest potężnym narzędziem, które służy do
obsługi zasad zabezpieczeń i pozwala uzyskać całościowy obraz
zarządzania zabezpieczeniami w sieci. Jest ona szczególnie użyteczna
w dużych sieciach. Administracja zdalna nie tylko powoduje
zwiększenie poziomu zabezpieczeń, ale również umożliwia łatwe
administrowanie programem ESET NOD32 Antivirus na klienckich
stacjach roboczych.
Część Licencje umożliwia zarządzanie kluczami licencyjnymi
programu ESET NOD32 Antivirus i innych produktów firmy ESET. Po
dokonaniu zakupu klucze licencyjne są dostarczane wraz z nazwą
użytkownika i hasłem. Aby dodać lub usunąć klucz licencyjny,
kliknij odpowiedni przycisk w oknie zarządzania licencjami. Opcje
zarządzania licencjami są dostępne w części Inne > Licencje
w drzewie Ustawienia zaawansowane.
Opcje ustawień administracji zdalnej są dostępne z poziomu okna
głównego programu ESET NOD32 Antivirus. Kliknij kolejno opcje
Ustawienia > Otwórz całe drzewo ustawień zaawansowanych >
Inne > Administracja zdalna.
Klucz licencyjny jest plikiem tekstowym zawierającym informacje na
temat zakupionego produktu, takie jak właściciel, liczba licencji i data
wygaśnięcia.
Okno Ustawienia umożliwia włączenie trybu administracji zdalnej.
W tym celu zaznacz pole wyboru Połącz z serwerem zdalnej
administracji (Remote Administrator). Następnie można uzyskać
dostęp do poniższych opcji:
•
Adres serwera — adres sieciowy serwera, na którym jest
zainstalowany serwer administracji zdalnej.
•
Port — to pole zawiera wstępnie zdefiniowany port serwera
używany do nawiązywania połączenia. Zaleca się pozostawienie
wstępnie zdefiniowanego ustawienia portu (2222).
•
Odstęp czasu pomiędzy połączeniami z serwerem (min.) — ta
opcja służy do określania częstotliwości, z którą program ESET
NOD32 Antivirus nawiązuje połączenie z serwerem administracji
zdalnej w celu przesłania danych. Inaczej mówiąc, informacje są
wysyłane w zdefiniowanych w tym miejscu odstępach czasu. Po
ustawieniu wartości 0 informacje są przesyłane co 5 sekund.
•
Serwer zdalnej administracji (Remote Administrator) wymaga
uwierzytelniania — ta opcja umożliwia wprowadzenie hasła do
serwera administracji zdalnej, jeśli jest ono wymagane.
Okno zarządzania licencjami umożliwia przekazywanie i wyświetlanie
zawartości klucza licencyjnego przy użyciu przycisku Dodaj — informacje
zawarte w kluczu są wyświetlane w oknie. Aby usunąć pliki licencyjne
z listy, kliknij przycisk Usuń.
Aby zakupić odnowienie licencji po wygaśnięciu ważności klucza
licencyjnego, kliknij przycisk Zamów, co spowoduje przejście do
sklepu internetowego
Kliknij przycisk OK, aby potwierdzić zmiany i zastosować ustawienia.
Program ESET NOD32 Antivirus używa tych ustawień do nawiązania
połączenia z serwerem zdalnym.
31
5. Użytkownik zaawansowany
W niniejszym rozdziale opisano funkcje programu ESET NOD32
Antivirus przeznaczone dla bardziej zaawansowanych użytkowników.
Opcje ustawień tych funkcji są dostępne wyłącznie w trybie
zaawansowanym. Aby przełączyć do trybu zaawansowanego, kliknij
opcję Włącz tryb zaawansowany znajdującą się w lewym dolnym
rogu okna głównego programu lub naciśnij kombinację klawiszy
CTRL+M na klawiaturze.
5.1
Ustawienia serwera proxy
W programie ESET NOD32 Antivirus ustawienia serwera proxy są
dostępne w dwóch różnych częściach struktury drzewa Ustawienia
zaawansowane.
Ustawienia serwera proxy można przede wszystkim konfigurować
w części Inne > Serwer proxy. Określenie serwera proxy na tym
poziomie powoduje zdefiniowanie globalnych ustawień serwera proxy
dla całego programu ESET NOD32 Antivirus. Określone w tym miejscu
parametry są używane przez wszystkie funkcje, które wymagają
połączenia internetowego.
Aby określić ustawienia serwera proxy na tym poziomie, zaznacz pole
wyboru Użyj serwera proxy, a następnie wprowadź adres serwera
w polu Serwer proxy oraz numer portu.
5.2 Eksportowanie i importowanie ustawień
Funkcja eksportu i importu bieżącej konfiguracji programu ESET
NOD32 Antivirus jest dostępna w opcji Ustawienia w trybie
zaawansowanym.
Zarówno podczas eksportu, jak i importu używane są pliki typu
xml. Funkcja eksportu i importu jest użyteczna, gdy konieczne jest
utworzenie kopii zapasowej bieżącej konfiguracji programu ESET
NOD32 Antivirus w celu użycia jej w późniejszym czasie (z dowolnego
powodu). Opcja eksportu ustawień jest również przydatna dla
użytkowników, którzy chcą używać ulubionej konfiguracji programu
ESET NOD32 Antivirus w wielu systemach — w tym celu wystarczy
zaimportować odpowiedni plik xml.
Jeśli komunikacja z serwerem proxy wymaga uwierzytelniania,
zaznacz pole wyboru Serwer proxy wymaga uwierzytelniania
i w odpowiednich polach wprowadź nazwę użytkownika i hasło.
Kliknij przycisk Wykryj serwer proxy, aby automatyczne wykryć
i wprowadzić ustawienia serwera proxy. Zostaną skopiowane
parametry określone w programie Internet Explorer. Należy pamiętać,
że ta funkcja nie pobiera danych uwierzytelniających (nazwy
użytkownika i hasła), muszą one zostać podane przez użytkownika.
Ustawienia serwera proxy można również wprowadzić w opcji
Zaawansowane ustawienia aktualizacji (część Aktualizacja drzewa
Ustawienia zaawansowane). Te ustawienia dotyczą danego profilu
aktualizacji i są zalecane w przypadku komputerów przenośnych,
które często pobierają aktualizacje sygnatur wirusów z różnych
lokalizacji. Więcej informacji na temat tego ustawienia można znaleźć
w części 4.4 zatytułowanej „Aktualizowanie systemu“.
5.2.1
Eksportuj ustawienia
Eksportowanie konfiguracji jest bardzo łatwe. Aby zapisać bieżącą
konfigurację programu ESET NOD32 Antivirus, kliknij kolejno opcje
Ustawienia > Importuj i eksportuj ustawienia. Wybierz opcję
Eksportuj ustawienia i wprowadź nazwę pliku konfiguracyjnego.
Wyszukaj i wybierz lokalizację na komputerze, w której ma zostać
zapisany plik konfiguracyjny.
5.2.2
Importuj ustawienia
Czynności wykonywane podczas importu konfiguracji są bardzo
podobne. Ponownie wybierz opcję Importuj i eksportuj ustawienia,
a następnie opcję Importuj ustawienia. Kliknij przycisk ... i przejdź do
pliku konfiguracyjnego, który ma zostać zaimportowany.
5.3 Wiersz polecenia
Funkcję antywirusową programu ESET NOD32 Antivirus można
uruchomić z poziomu wiersza poleceń — ręcznie (polecenie „ecls”)
lub za pomocą pliku wsadowego (bat).
32
Przy uruchamianiu skanera na żądanie z poziomu wiersza poleceń
można używać następujących parametrów i przełączników:
Opcje ogólne:
– helpwyświetlenie pomocy i zakończenie
pracy
– versionwyświetlenie informacji o wersji
i zakończenie pracy
– base dir = FOLDER
ładowanie modułów z FOLDERU
– quar dir = FOLDER
FOLDER kwarantanny
– aind
wyświetlanie wskaźnika działania
– autoskanowanie wszystkich dysków
twardych w trybie leczenia
Obiekty docelowe:
– files
skanowanie plików (wartość domyślna)
– no files
bez skanowania plików
– bootsskanowanie sektorów rozruchowych
(wartość domyślna)
– no bootsbez skanowania sektorów
rozruchowych
– arch
skanowanie archiwów (wartość domyślna)
– no arch
bez skanowania archiwów
– max archive level = POZIOMmaksymalny POZIOM zagnieżdżania
archiwów
– scan timeout = LIMITskanowanie archiwów z maksymalnym
LIMITEM sekund. Przekroczenie limitu
czasu skanowania spowoduje przerwanie
skanowania archiwum i przejście do
skanowania następnego pliku.
– max arch size = ROZMIARskanowanie tylko pierwszych ROZMIAR
bajtów w archiwach (wartość domyślna:
0 = brak ograniczenia)
– mail
skanowanie plików poczty elektronicznej
– no mailbez skanowania plików poczty
elektronicznej
– sfxskanowanie archiwów
samorozpakowujących
– no sfxbez skanowania archiwów
samorozpakowujących
– rtpskanowanie programów spakowanych
– no rtpbez skanowania programów spakowanych
– exclude = FOLDER
wyłączenie FOLDERU ze skanowania
– subdirskanowanie podfolderów (wartość
domyślna)
– no subdir
bez skanowania podfolderów
– max subdir level = POZIOMmaksymalny POZIOM zagnieżdżania
podfolderów (wartość domyślna:
0 = brak ograniczenia)
– symlinkśledzenie łączy symbolicznych
(wartość domyślna)
– no symlink
pomijanie łączy symbolicznych
– ext remove = ROZSZERZENIA
– ext exclude = ROZSZERZENIAwyłączenie ze skanowania ROZSZERZEŃ
oddzielanych dwukropkami
Metody:
– adwareskanowanie w poszukiwaniu
oprogramowania Adware/Spyware/
Riskware
– no adwarebez skanowania w poszukiwaniu
oprogramowania Adware/Spyware/
Riskware
– unsafeskanowanie w poszukiwaniu
potencjalnie niebezpiecznych aplikacji
– no unsafebez skanowania w poszukiwaniu
potencjalnie niebezpiecznych aplikacji
– unwantedskanowanie w poszukiwaniu
potencjalnie niepożądanych aplikacji
– no unwantedbez skanowania w poszukiwaniu
potencjalnie niepożądanych aplikacji
– pattern
używanie sygnatur
– no pattern
bez używania sygnatur
– heur
włączenie heurystyki
– no heur
wyłączenie heurystyki
– adv heur
włączenie zaawansowanej heurystyki
– no adv heurwyłączenie zaawansowanej heurystyki
Leczenie:
– action = DZIAŁANIEwykonaj DZIAŁANIE dla
zainfekowanych obiektów. Dostępne
działania: none, clean, prompt (brak,
wylecz, monituj)
– quarantinekopiowanie zainfekowanych plików do
kwarantanny (uzupełnienie DZIAŁANIA)
– no quarantinebez kopiowania zainfekowanych
plików do kwarantanny
Dzienniki:
– log file = PLIKrejestrowanie wyników w PLIKU
– log rewritezastępowanie pliku wyników
(wartość domyślna — dopisywanie)
– log allrejestrowanie również plików
niezainfekowanych
– no log allbez rejestrowania plików
niezainfekowanych (wartość domyślna)
Możliwe kody zakończenia skanowania:
0
1
10
101
102
103
— nie znaleziono zagrożenia
— znaleziono zagrożenie, ale go nie usunięto
— niektóre zainfekowane pliki nie zostały wyleczone
— błąd archiwum
— błąd dostępu
— błąd wewnętrzny
UWAGA:
Kody zakończenia o wartości większej niż 100 oznaczają, że plik nie
został przeskanowany i może być zainfekowany.
5.4 ESET SysInspector
ESET SysInspector to aplikacja dokładnie sprawdzająca komputer
i prezentująca zgromadzone dane w zrozumiały sposób. Informacje
o zainstalowanych sterownikach i aplikacjach, połączeniach sieciowych
lub ważnych wpisach w rejestrze ułatwiają śledzenie podejrzanego
zachowania systemu, które może wynikać z niezgodności programowej
lub sprzętowej bądź zainfekowania szkodliwym oprogramowaniem.
W portfelu produktów firmy ESET można znaleźć dwa warianty
programu SysInspector. Aplikację na urządzenia przenośne
(SysInspector.exe) można pobrać bezpłatnie z witryny internetowej
firmy ESET. Wariant zintegrowany jest dostępny w programie ESET
NOD32 Antivirus 4. Aby otworzyć sekcję programu SysInspector,
należy uaktywnić zaawansowany tryb wyświetlania (w dolnym
lewym rogu) i kliknąć opcję Narzędzia > SysInspector. Obydwa
warianty działają identycznie i mają takie same formanty programu.
Jedyną różnicę stanowi sposób zarządzania danymi wynikowymi.
W przypadku aplikacji na urządzenia przenośne zapis bieżącego
stanu systemu można wyeksportować do pliku XML i zapisać na
dysku. Jest to także możliwe w zintegrowanym wariancie programu
SysInspector. Dodatkowo można w wygodny sposób przechowywać
zapisy bieżącego stanu systemu bezpośrednio w programie ESET
NOD32 Antivirus 4 > Narzędzia > SysInspector (więcej informacji
znajduje się w części 5.4.1.4 SysInspector jako komponent programu
ESET NOD32 Antivirus).
Skanowanie komputera przez program ESET SysInspector może
chwilę potrwać. W zależności od konfiguracji sprzętu, systemu
operacyjnego i liczby aplikacji zainstalowanych na komputerze,
wykonanie tej operacji może potrwać od 10 sekund do kilku minut.
33
5.4.1
Interfejs użytkownika i użycie aplikacji
W celu ułatwienia korzystania z okna głównego zostało ono
podzielone na cztery sekcje — Formanty programu (u góry), okno
nawigacji (z lewej strony), okno opisu (z prawej strony pośrodku)
oraz okno szczegółów (z prawej strony u dołu).
Z każdym elementem o poziomie ryzyka z przedziału od 6 do 9 może
wiązać się zagrożenie bezpieczeństwa. Jeśli nie są używane niektóre
rozwiązania firmy ESET w dziedzinie bezpieczeństwa, zalecamy
skanowanie systemu przy użyciu programu ESET Online Scanner po
każdorazowym wykryciu takiego elementu. ESET Online Scanner
to darmowy program dostępny pod adresem http://www.eset.eu/
online-scanner.
Uwaga: Poziom ryzyka elementu można łatwo ustalić, porównując jego kolor
z kolorem na suwaku Poziom ryzyka.
Wyszukiwanie
Umożliwia szybkie wyszukanie określonego elementu na podstawie
nazwy lub jej części. Wyniki żądania wyszukiwania są wyświetlane
w oknie opisu.
Powrót
Klikając strzałki wstecz i w przód można wrócić do informacji
wyświetlanych wcześniej w oknie opisu.
5.4.1.1
Sterowanie programem
W tej części znajduje się opis wszystkich formantów dostępnych
w programie ESET SysInspector.
Sekcja stanu
Służy do wyświetlania bieżącego węzła w oknie nawigacji.
5.4.1.2
Nawigowanie w programie ESET SysInspector
Uwaga: Aby otworzyć wcześniej zapisane raporty programu ESET
SysInspector, wystarczy przeciągnąć je i upuścić w oknie głównym.
Program ESET SysInspector dzieli różne rodzaje informacji na kilka
podstawowych sekcji zwanych węzłami. Niekiedy dodatkowe
szczegóły można znaleźć po rozwinięciu węzła w jego podwęzły. Aby
otworzyć lub zwinąć węzeł, wystarczy dwukrotnie kliknąć jego nazwę
(bądź kliknąć symbole lub
umieszczone obok nazwy węzła).
Podczas przeglądania struktury drzewa węzłów i podwęzłów w oknie
nawigacji można znaleźć różne szczegóły każdego węzła (wyświetlane
w oknie opisu). W przypadku przeglądania elementów w oknie
opisu, w oknie szczegółów mogą zostać wyświetlone ich dodatkowe
szczegóły.
Drzewo
Umożliwia rozwinięcie lub zwinięcie wszystkich węzłów.
Poniżej znajdują się opisy głównych węzłów w oknie nawigacji, wraz
z powiązanymi informacjami z okien opisu i szczegółów.
Lista
Zawiera funkcje ułatwiające nawigację w programie oraz różne inne
funkcje, jak na przykład funkcja wyszukiwania informacji w trybie
online.
Uruchomione procesy
Ten węzeł zawiera informacje o aplikacjach i procesach działających
w momencie generowania raportu. W oknie opisu można znaleźć
dodatkowe szczegóły poszczególnych procesów, takie jak biblioteki
dynamiczne używane przez proces oraz ich lokalizacja w systemie,
nazwa dostawcy aplikacji, poziom ryzyka pliku itd.
Plik
Kliknięcie w tym miejscu umożliwia zapisanie bieżącego stanu
raportu w celu przeprowadzenia późniejszego badania lub otwarcie
wcześniej zapisanego raportu. Aby opublikować raport, zalecane jest
wygenerowanie go w formie przeznaczonej do wysłania. W takim
raporcie nie zostaną uwzględnione informacje poufne.
Ważne: Elementy zaznaczone na czerwono są nieznane, dlatego są
traktowane przez program jako potencjalnie niebezpieczne. Wystąpienie
elementu zaznaczonego kolorem czerwonym nie oznacza automatycznie, że
można usunąć plik. Przed usunięciem należy upewnić się, że pliki są faktycznie
niebezpieczne lub niepotrzebne.
Pomoc
Zawiera informacje na temat aplikacji i jej funkcji.
Szczegóły
Mają wpływ na informacje wyświetlane w oknie głównym,
ale jednocześnie ułatwiają korzystanie z programu. W trybie
Podstawowe użytkownik ma dostęp do informacji używanych podczas
wyszukiwania rozwiązań standardowych problemów dotyczących
systemu. W trybie Średnie program ESET SysInspector wyświetla rzadziej
używane szczegóły, natomiast w trybie Pełne — wszystkie informacje
potrzebne do rozwiązania bardzo specyficznych problemów.
Filtrowanie elementów
Służy przede wszystkim do wyszukiwania podejrzanych plików lub
wpisów w rejestrze systemu. Korygując ustawienie suwaka można
filtrować elementy według ich poziomu ryzyka. Jeśli suwak znajdzie
się w skrajnym lewym położeniu (poziom ryzyka 1), wyświetlone
zostaną wszystkie elementy. Przesunięcie suwaka w prawo
spowoduje, że program odfiltruje wszystkie elementy o poziomie
ryzyka niższym niż bieżący (czyli wyświetli tylko te elementy, które są
bardziej podejrzane niż wynika to z bieżącego poziomu). W przypadku
ustawienia suwaka w skrajnym prawym położeniu wyświetlone
zostaną tylko znane niebezpieczne elementy.
34
Okno szczegółów zawiera dodatkowe informacje o elementach
wybranych w oknie opisu, takie jak rozmiar pliku lub jego skrót (hash).
Uwaga: W skład systemu operacyjnego wchodzi wiele ważnych
komponentów jądra, które działają cały czas oraz zapewniają podstawowe
i istotne funkcje dla innych aplikacji użytkownika. W pewnych przypadkach
takie procesy są wyświetlane w narzędziu ESET SysInspector ze ścieżką
do pliku rozpoczynającą się od \??\. Dzięki tym symbolom możliwa jest
optymalizacja tych procesów przed ich uruchomieniem (są one poprawne
i bezpieczne dla systemu).
Połączenia sieciowe
Okno opisu zawiera listę procesów i aplikacji komunikujących się
w sieci za pomocą protokołu wybranego w oknie nawigacji (TCP
lub UDP), wraz z adresem zdalnym, z którym połączona jest dana
aplikacja. Można także sprawdzić adres DNS przypisany danemu
adresowi IP.
Okno szczegółów zawiera dodatkowe informacje o elementach
wybranych w oknie opisu, takie jak rozmiar pliku lub jego skrót (hash).
Ważne wpisy w rejestrze
Zawiera listę wybranych wpisów w rejestrze, które często wiążą się
z różnymi problemami z systemem (wpisy dotyczące uruchamianych
programów, obiektów Pomocnika przeglądarki itd.).
W oknie opisu można sprawdzić, jakie pliki są powiązane
z określonymi wpisami w rejestrze. W oknie szczegółów znajdują się
dodatkowe szczegóły.
zmieniona wartość/zmieniony plik
UsługiOkno opisu zawiera listę plików zarejestrowanych jako usługi
systemu Windows. Można sprawdzić ustawiony sposób uruchamiania
danej usługi, jak również przejrzeć szczegóły pliku w oknie
szczegółów.
zmniejszył się poziom ryzyka (był wyższy w poprzednim dzienniku)
Sterowniki
Lista sterowników zainstalowanych w systemie.
sekcja struktury drzewa zawiera zmodyfikowane wartości/pliki
zwiększył się poziom ryzyka (był niższy w poprzednim dzienniku)
W sekcji wyjaśnień (wyświetlanej w lewym dolnym rogu) znajduje
się opis wszystkich symboli wraz z nazwami porównywanych
dzienników.
Pliki krytyczne
W oknie opisu wyświetlana jest zawartość plików krytycznych
powiązanych z systemem operacyjnym Microsoft Windows.
Informacje o systemie
Zawiera szczegółowe informacje o sprzęcie i oprogramowaniu, wraz
z informacjami na temat ustawionych zmiennych środowiskowych
i uprawnień użytkownika.
Szczegóły pliku
Lista ważnych plików systemowych oraz plików z folderu Program
Files. Dodatkowe informacje dotyczące plików można znaleźć
w oknach opisu i szczegółów.
InformacjeInformacje o programie ESET SysInspector.
5.4.1.3
Porównanie
Funkcja porównania umożliwia porównywanie dwóch istniejących
dzienników. W wyniku działania tej funkcji powstaje zestaw wpisów
różniących się między dziennikami. Jest to przydatne w przypadku
śledzenia zmian w systemie — można na przykład wykryć działanie
szkodliwego kodu.
Po uruchomieniu aplikacji tworzony jest nowy dziennik, który jest
wyświetlany w nowym oknie. W celu zapisania dziennika do pliku
należy przejść do opcji Plik -> Zapisz dziennik. Pliki dziennika można
później otwierać i przeglądać. W celu otwarcia istniejącego dziennika
należy użyć opcji Plik -> Otwórz dziennik. W głównym oknie
programu ESET SysInspector wyświetlany jest jednorazowo tylko
jeden dziennik.
Główna zasada porównywania dwóch dzienników sprowadza się do
tego, że aktualnie aktywny dziennik jest porównywany z dziennikiem
zapisanym w pliku. W celu porównania dzienników należy użyć opcji
Plik -> Porównaj dziennik, a następnie wybrać opcję Wybierz plik.
Wybrany dziennik zostanie porównany z dziennikiem aktywnym
w głównym oknie programu. W rezultacie w tzw. dzienniku
porównawczym wyświetlone zostaną jedynie różnice między tymi
dwoma dziennikami.
Uwaga: Aby porównać dwa pliki dziennika, należy wybrać opcję Plik ->
Zapisz dziennik, a następnie zapisać obydwa pliki jako archiwum ZIP.
Przy późniejszym otwarciu takiego pliku znajdujące się w nim dzienniki
są porównywane automatycznie.
Obok wyświetlanych wpisów program SysInspector umieszcza
symbole identyfikujące różnice między porównanymi dziennikami.
Wpisy oznaczone symbolem można znaleźć jedynie w aktywnym
dzienniku (nie występują w otwartym dzienniku porównawczym).
Z drugiej strony, wpisy oznaczone symbolem znajdują się tylko
w otwartym dzienniku (brakuje ich w aktywnym dzienniku).
Opis wszystkich symboli wyświetlanych obok wpisów:
nowa wartość, niewystępująca w poprzednim dzienniku
sekcja struktury drzewa zawiera nowe wartości
usunięta wartość, występująca tylko w poprzednim dzienniku
sekcja struktury drzewa zawiera usunięte wartości
Dziennik porównawczy można zapisać do pliku i otworzyć
w późniejszym terminie.
Przykład:
Wygenerowano dziennik zawierający pierwotne informacje
o systemie i zapisano go do pliku o nazwie previous.xml. Po
wprowadzeniu zmian w systemie otwarto program SysInspector
w celu wygenerowania nowego dziennika. Należy go zapisać do
pliku o nazwie current.xml.
W celu śledzenia różnic między tymi dwoma dziennikami należy
przejść do opcji Plik -> Porównaj dziennik. Program utworzy dziennik
porównawczy zawierający różnice między dziennikami.
Ten sam rezultat można osiągnąć za pomocą następującej opcji
wiersza poleceń:
SysIsnpector.exe current.xml previous.xml
5.4.1.4
SysInspector jako komponent programu ESET NOD32
Antivirus 4
Aby otworzyć sekcję programu SysInspector w programie ESET NOD32
Antivirus 4, należy kliknąć opcję Narzędzia > SysInspector. System
zarządzania w oknie programu SysInspector jest podobny do systemu
zarządzania dziennikami skanowania komputera lub zaplanowanymi
zadaniami. Wszystkie operacje dotyczące zapisów bieżącego stanu
systemu (tworzenie, wyświetlanie, porównywanie, usuwanie
i eksportowanie) są dostępne po jednym lub dwóch kliknięciach.
W oknie programu SysInspector znajdują się podstawowe informacje
o utworzonych zapisach stanu bieżącego, takie jak godzina
utworzenia, krótki komentarz, nazwa użytkownika, który utworzył
zapis stanu bieżącego oraz stan takiego zapisu.
W celu porównania, dodania lub usunięcia zapisów stanu bieżącego
należy skorzystać z odpowiednich przycisków znajdujących się poniżej
listy zapisów stanu bieżącego w oknie programu SysInspector. Te
opcje są także dostępne w menu kontekstowym. Aby wyświetlić
wybrany zapis bieżącego stanu systemu, w menu kontekstowym
należy kliknąć opcję Wyświetl. Aby wyeksportować wybrany zapis
stanu bieżącego do pliku, należy kliknąć go prawym przyciskiem
myszy i wybrać opcję Eksportuj. Poniżej znajdują się szczegółowe
opisy dostępnych opcji:
Porównaj — umożliwia porównanie dwóch istniejących dzienników
(opcja przydatna do śledzenia zmian między bieżącą i starszą wersją
dziennika). W celu skorzystania z tej opcji należy wybrać dwa zapisy
stanu bieżącego do porównania.
35
Dodaj — umożliwia dodanie nowego rekordu. Najpierw należy
wprowadzić krótki komentarz dotyczący rekordu. Informacje
o postępie tworzenia zapisu stanu bieżącego (aktualnie generowanym
zapisie stanu bieżącego) można znaleźć w kolumnie Stan. Wszystkie
zakończone zapisy stanu bieżącego mają stan Utworzone.
02) Loaded modules (Załadowane moduły)
Usuń — umożliwia usunięcie wpisów z listy.
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
Pokaż — umożliwia wyświetlenie wybranego zapisu stanu bieżącego
(inną możliwością jest dwukrotne kliknięcie wybranego wpisu).
Eksportuj — umożliwia zapisanie wybranego wpisu w pliku XML
(także w wersji spakowanej).
5.4.1.5 Skrypt usługi
Skrypt usługi to narzędzie, które bezpośrednio wpływa na działanie
systemu operacyjnego i zainstalowanych aplikacji. Dzięki temu
użytkownicy mogą wykonywać skrypty, które usuwają problematyczne
składniki systemu, takie jak wirusy, pozostałości po wirusach, zablokowane
pliki, wpisy rejestru pozostawione przez wirusy itp. Skrypt jest
zapisywany w pliku tekstowym wygenerowanym na podstawie
istniejącego pliku .xml. Dane w pliku .txt skryptu są ułożone w sposób
prosty i czytelny, aby ułatwić obsługę. Nowo utworzony skrypt jest
początkowo neutralny w działaniu. Innymi słowy, w oryginalnej
postaci skrypt nie wprowadzi żadnych zmian w systemie. Wprowadzanie
zmian wymaga zmodyfikowania pliku przez użytkownika.
Ostrzeżenie:
Jest to narzędzie przeznaczone wyłącznie dla zaawansowanych
użytkowników. Jego nieprawidłowe użycie może spowodować
uszkodzenie programów lub systemu operacyjnego.
5.4.1.5.1 Generowanie skryptów usługi
Ta sekcja przedstawia listę aktualnie używanych modułów systemowych.
Example:
In this example the module khbekhb.dll was marked by a “+”. When the
script runs, it will recognize the processes using that specific module
and end them.
03) TCP connections
Ta sekcja zawiera informacje o istniejących połączeniach TCP.
Przykład:
03) TCP connections:
- Active connection: 127.0.0.1:30606 ->
127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 ->
127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 ->
127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe
Listening on *, port 445 (microsoft-ds), owner: System
[...]
Aby wygenerować skrypt, kliknij prawym przyciskiem myszy dowolny
element drzewa menu w lewym panelu głównego okna programu
SysInspector. Z menu kontekstowego wybierz opcję Eksportuj
wszystkie sekcje do skryptu usługi lub Eksportuj wybrane sekcje
do skryptu usługi.
Uruchomiony skrypt będzie lokalizować właścicieli gniazd odpowiadających
zaznaczonym połączeniom TCP i zamykać takie gniazda, zwalniając
tym samym zasoby systemowe.
5.4.1.5.2 Struktura skryptu usługi
Ta sekcja zawiera informacje o istniejących punktach końcowych UDP.
Pierwszy wiersz nagłówka skryptu zawiera informację o wersji
mechanizmu (ev), wersji interfejsu graficznego (gv) i wersji dziennika
(lv). Na podstawie tych danych można śledzić zmiany w pliku .xml
używanym do wygenerowania skryptu, aby zapobiec ewentualnym
niespójnościom podczas wykonywania. Tej części skryptu nie należy
zmieniać.
Przykład:
Pozostała część pliku jest podzielona na sekcje zawierające pozycje
dostępne do edycji. Modyfikowanie pliku polega na wskazaniu
elementów, które mają być przetwarzane przez skrypt. Wskazanie
wybranego elementu do przetwarzania wymaga zastąpienia
poprzedzającego go znaku „-” znakiem „+”. Kolejne sekcje skryptu
są oddzielane pustymi wierszami. Każda sekcja ma numer i tytuł.
04) UDP endpoints (Punkty końcowe UDP)
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Uruchomiony skrypt będzie lokalizować właścicieli gniazd odpowiadających
zaznaczonym punktom końcowym UDP i zamykać takie gniazda.
05) DNS server entries (Wpisy serwera DNS)
01) Running processes (Uruchomione procesy)
Ta sekcja zawiera informacje o aktualnej konfiguracji serwera DNS.
Ta sekcja zawiera listę wszystkich procesów uruchomionych w systemie.
Każdy proces jest identyfikowany przez ścieżkę UNC, po której następuje
odpowiadający mu skrót CRC16 ujęty w znaki gwiazdki (*).
Przykład:
Przykład:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
W tym przykładzie proces module32.exe został wybrany (zaznaczony
znakiem „+”), co spowoduje jego zakończenie podczas wykonywania
skryptu.
36
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Po uruchomieniu skryptu zaznaczone wpisy serwera DNS zostaną
usunięte.
06) Important registry entries (Ważne wpisy rejestru)
Ta sekcja zawiera informacje o ważnych wpisach rejestru.
Przykład:
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[…]
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\
Google\Update\GoogleUpdate.exe” /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[…]
Po uruchomieniu skryptu zaznaczone wpisy zostaną usunięte, nadpisane
bajtami zerowymi lub przywrócone do wartości domyślnych. Działanie
podejmowane dla danego wpisu rejestru zależy od jego kategorii
i odpowiadającej mu wartości klucza.
Zaznacz wszystkie żądane pozycje, a następnie zapisz i zamknij
skrypt. Zmodyfikowany skrypt uruchom bezpośrednio z okna
głównego programu SysInspector, wybierając z menu Plik opcję
Uruchom skrypt usługi. Po otwarciu skryptu w programie zostanie
wyświetlone okno z następującym komunikatem: Czy na pewno
uruchomić skrypt usługi „%nazwa_skryptu%”? Po potwierdzeniu
może się pojawić kolejne ostrzeżenie z informacją, że uruchamiany
skrypt usługi nie został podpisany. Kliknij przycisk Uruchom, aby
uruchomić skrypt.
07) Services (Usługi)
Ta sekcja zawiera listę usług zarejestrowanych w systemie.
Przykład:
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\
windows\system32\aeadisrv.exe, state: Running,
startup: Automatic
- Name: Application Experience Service, exe path: c:\
windows\system32\aelupsvc.dll, state: Running,
startup: Automatic
- Name: Application Layer Gateway Service, exe path:
c:\windows\system32\alg.exe, state: Stopped, startup:
Manual
[...]
Zaznaczone elementy zostaną albo usunięte, albo przywrócone do
wartości domyślnych.
5.4.1.5.3 Jak wykonywać skrypty usługi
Pomyślne wykonanie skryptu zostanie zasygnalizowane w oknie
dialogowym.
Jeśli skrypt udało się przetworzyć tylko częściowo, zostanie wyświetlone
okno dialogowe z następującym komunikatem: Skrypt usługi został
częściowo uruchomiony. Czy wyświetlić raport o błędach? Kliknij
przycisk Tak, aby wyświetlić szczegółowy raport o błędach
zawierający listę niewykonanych operacji.
Po wykonaniu skryptu zaznaczone usługi wraz z usługami od nich
zależnymi zostaną zatrzymane i odinstalowane.
Jeśli skrypt nie został rozpoznany jako poprawny plik skryptu i nie
będzie wykonywany, zostanie wyświetlony następujący komunikat:
Czy wystąpiły problemy ze spójnością skryptu (uszkodzony nagłówek,
uszkodzony tytuł sekcji, brak pustego wiersza między sekcjami
itp.)? Możesz ponownie otworzyć plik skryptu, aby poprawić błędy,
bądź utworzyć nowy plik skryptu.
08) Drivers (Sterowniki)
5.5 ESET SysRescue
Ta sekcja zawiera listę zainstalowanych sterowników.
ESET Recovery CD (ERCD) to narzędzie umożliwiające tworzenie
dysku startowego zawierającego program ESET NOD32 Antivirus
4 (ENA). Program ESET Recovery CD ma tę główną przewagę, że
program ENA działa niezależnie od systemu operacyjnego, mając
jednocześnie bezpośredni dostęp do dysku i całego systemu plików.
Dzięki temu możliwe jest usunięcie tych infiltracji, których zwykle
nie można usunąć (np. podczas działania systemu operacyjnego itd.).
Przykład:
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\
system32\drivers\acpi.sys, state: Running, startup:
Boot
- Name: ADI UAA Function Driver for High Definition
Audio Service, exe path: c:\windows\system32\drivers\
adihdaud.sys, state: Running, startup: Manual
[...]
Po wykonaniu skryptu zaznaczone sterowniki zostaną
wyrejestrowane z systemu i usunięte.
09) Critical files (Pliki krytyczne)
Ta sekcja zawiera informacje o plikach krytycznych dla prawidłowego
funkcjonowania systemu operacyjnego.
Przykład:
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[…]
5.5.1
Minimalne wymagania
Program ESET SysRescue (ESR) działa w środowisku preinstalacyjnym
systemu Windows (Windows PE) w wersji 2.x, które bazuje na systemie
operacyjnym Windows Vista. Środowisko Windows PE wchodzi w skład
darmowego zestawu zautomatyzowanej instalacji systemu Windows
(Windows AIK), co oznacza, że zestaw ten musi zostać zainstalowany
przed utworzeniem płyty CD przy użyciu programu ESET SysRescue.
Ze względu na obsługę 32-bitowej wersji środowiska Windows PE, kompilacja
ESR może być tworzona tylko w 32-bitowej wersji programu ENA.
Program ESR obsługuje zestaw Windows AIK 1.1 oraz jego nowsze
wersje. Program ESR jest dostępny w programie ENA 4.0 oraz jego
nowszych wersjach.
5.5.2
W jaki sposób utworzyć ratunkową płytę CD
Jeśli spełnione są minimalne wymagania dotyczące tworzenia płyty
CD programu ESET SysRescue (ESR), można łatwo wykonać to
zadanie. Aby uruchomić kreatora programu ESET SysRescue, należy
kliknąć opcję Start > Programy > ESET > ESET NOD32 Antivirus 4 >
ESET SysRescue.
37
Najpierw kreator sprawdzi, czy zainstalowany jest zestaw
Windows AIK oraz odpowiednie urządzenie do utworzenia nośnika
rozruchowego.
W następnym kroku należy wybrać nośnik docelowy, na którym
zostanie umieszczona kompilacja ESR. Oprócz nośników CD/DVD/
USB można wybrać zapisanie kompilacji ESR w pliku ISO. Następnie
można nagrać obraz ISO na płycie CD/DVD lub użyć go w inny sposób
(np. w środowisku wirtualnym VmWare lub Virtualbox).
Po określeniu wszystkich parametrów w ostatnim kroku kreatora
programu ESET SysRescue wyświetlony zostanie podgląd kompilacji.
Należy sprawdzić parametry i rozpocząć tworzenie kompilacji.
Dostępne opcje:
Foldery
ESET Antivirus
Zaawansowane
Startowe urządzenie USB
Nagrywanie
5.5.2.1
Foldery
Folder tymczasowy to roboczy katalog plików potrzebnych podczas
tworzenia kompilacji ESET SysRescue.
Folder pliku ISO to folder, w którym po zakończeniu kompilacji
zapisywany jest wynikowy plik ISO.
Lista znajdująca się na tej karcie zawiera wszystkie lokalne i mapowane
dyski sieciowe (wraz z dostępnym na nich wolnym miejscem). Jeśli
jakieś foldery znajdują się na dysku z niewystarczającym wolnym
miejscem, zalecamy wybranie innego dysku zawierającego więcej
dostępnego miejsca. W przeciwnym razie tworzenie kompilacji może
zakończyć się przedwcześnie z powodu niewystarczającego wolnego
miejsca na dysku.
Aplikacje zewnętrzne
Możliwe jest określenie dodatkowych programów, które będą
uruchamiane lub instalowane po przeprowadzeniu rozruchu
z nośnika SysRescue.
Uwzględnij aplikacje zewnętrzne — umożliwia dodanie programu
zewnętrznego do kompilacji SysRescue.
Wybrany folder — folder, w którym znajdują się programy dodawane
do kompilacji SysRescue.
5.5.2.2
ESET Antivirus
Podczas tworzenia płyty CD za pomocą programu ESET SysRescue
można wybrać dwa źródła plików ESET do użycia przez kompilator.
Folder ENA — pliki znajdują się już w folderze, w którym
zainstalowano produkt firmy ESET.
Plik MSI — użyte zostaną pliki instalatora MSI.
Profil — można użyć jednego z dwóch następujących źródeł nazwy
użytkownika i hasła:
Zainstalowany program ENA — nazwa użytkownika i hasło są
kopiowane z aktualnie zainstalowanego programu ESET NOD32
Antivirus 4 lub ESET NOD32.
Od użytkownika — używana jest nazwa użytkownika i hasło
wprowadzone w odpowiednich poniższych polach tekstowych.
Uwaga: Program ESET NOD32 Antivirus 4 lub ESET NOD32 Antivirus
znajdujący się na płycie CD programu ESET SysRescue jest aktualizowany
z Internetu lub przy użyciu rozwiązania firmy ESET w dziedzinie
bezpieczeństwa (zainstalowanego na komputerze, na którym uruchomiona
jest płyta CD programu ESET SysRescue).
38
5.5.2.3
Zaawansowane
Na karcie Zaawansowane można zoptymalizować płytę CD
programu ESET SysRescue pod kątem rozmiaru pamięci komputera.
Wybierz wartość 512 MB lub więcej w celu zapisania zawartości płyty
CD w pamięci operacyjnej (RAM). W przypadku wybrania wartości
mniej niż 512 MB ratunkowa płyta CD będzie dostępna przez cały
czas działania środowiska WinPE.
Sterowniki zewnętrzne — w tej sekcji można wstawić sterowniki
sprzętowe (zazwyczaj sterownik adaptera sieciowego). Chociaż środowisko
WinPE bazuje na systemie Windows Vista SP1 obsługującym wiele
urządzeń, niekiedy dane urządzenie nie jest rozpoznawane, dlatego może
być konieczne ręczne dodanie jego sterownika. Istnieją dwa sposoby
uwzględnienia sterownika w kompilacji programu ESET SysRescue —
ręczny (za pomocą przycisku Dodaj) i automatyczny (za pomocą przycisku
Automatyczne wyszukiwanie). W przypadku ręcznego uwzględniania
sterownika należy wybrać ścieżkę do właściwego pliku .inf (w tym
folderze musi się także znajdować odpowiedni plik *.sys). W przypadku
metody automatycznej sterownik jest wyszukiwany automatycznie
w systemie operacyjnym danego komputera. Korzystanie z metody
automatycznej jest zalecane tylko wtedy, gdy program SysRescue jest
używany na komputerze z adapterem sieciowym identycznym z używanym
na komputerze, na którym tworzona jest kompilacja programu SysRescue.
Sterownik jest umieszczany w kompilacji podczas jej tworzenia za
pomocą programu ESET SysRescue, dlatego nie jest konieczne jego
późniejsze wyszukiwanie.
5.5.2.4
Startowe urządzenie USB
Jeśli urządzenie USB zostało wybrane jako nośnik docelowy, na
karcie Startowe urządzenie USB można wybrać jeden z dostępnych
nośników USB (jeśli jest ich kilka).
Ostrzeżenie: Wybrane urządzenie USB zostanie sformatowane w procesie
tworzenia kompilacji ESET SysRescue, co oznacza, że wszystkie dane zapisane
w urządzeniu zostaną usunięte.
5.5.2.5
Nagrywanie
Jeśli jako nośnik docelowy wybrana została płyta CD/DVD, na karcie
Nagrywanie można określić dodatkowe parametry nagrywania.
Usuń plik ISO — należy zaznaczyć tę opcję w celu usunięcia plików
ISO po utworzeniu płyty ESET Rescue CD.
Włączone usuwanie — umożliwia wybranie wymazywania szybkiego
i pełnego.
Urządzenie nagrywające — należy wybrać napęd używany podczas
nagrywania.
Ostrzeżenie: Jest to opcja domyślna. Jeśli używana jest płyta CD/DVD
wielokrotnego zapisu, wszystkie znajdujące się na niej dane zostaną wymazane.
W sekcji Nośnik znajdują się informacje o nośniku włożonym aktualnie
do urządzenia CD/DVD.
Szybkość nagrywania — z menu rozwijanego należy wybrać żądaną
szybkość. Przy wybieraniu szybkości nagrywania należy wziąć pod uwagę
możliwości urządzenia nagrywającego oraz typ używanej płyty CD/DVD.
5.5.3
Praca z programem ESET SysRescue
Aby efektywnie korzystać z ratunkowych nośników CD/DVD/USB,
należy zapewnić, aby komputer był uruchamiany z rozruchowego
nośnika ESET SysRescue. Priorytet uruchamiania można zmodyfikować
w systemie BIOS. Innym rozwiązaniem jest wywołanie menu startowego
podczas uruchamiania komputera (zazwyczaj służy do tego jeden
z klawiszy F9–F12, w zależności od wersji płyty głównej/systemu BIOS).
Po uruchomieniu systemu zostanie uruchomiony program
ENA. Ponieważ program ESET SysRescue jest używany jedynie
w określonych sytuacjach, niektóre moduły ochrony oraz funkcje
dostępne w zwykłej wersji programu ENA nie są potrzebne — ich
lista jest ograniczona do skanowania komputera, aktualizacji oraz
niektórych sekcji ustawień. Możliwość zaktualizowania bazy sygnatur
wirusów jest najważniejszą funkcją programu ESET SysRescue. Zaleca
się zaktualizowanie programu przed uruchomieniem skanowania
komputera.
5.5.3.1
Użycie programu ESET SysRescue
Załóżmy, że komputery w sieci zostały zainfekowane wirusem
modyfikującym pliki wykonywalne (EXE). Program ENA może
wyleczyć wszystkie zainfekowane pliki z wyjątkiem pliku explorer.exe,
którego nie można wyleczyć nawet w trybie awaryjnym.
Wynika to z faktu, że plik explorer.exe jako jeden z podstawowych
procesów systemu Windows jest także uruchamiany w trybie
awaryjnym. Program ENA nie może podjąć żadnego działania
dotyczącego tego pliku, co oznacza, że nadal pozostanie on
zainfekowany.
W tym scenariuszu można użyć programu ESET SysRescue do
rozwiązania problemu. Program ESET SysRescue nie wymaga żadnego
komponentu zainfekowanego systemu operacyjnego. Dzięki temu
może przetworzyć (wyleczyć lub usunąć) każdy plik znajdujący się na
dysku
39
6. Słowniczek
6.1 Typy zagrożeń
Infekcja oznacza atak szkodliwego oprogramowania, które usiłuje
uzyskać dostęp do komputera użytkownika lub uszkodzić jego
zawartość.
6.1.1
Wirusy
Wirus komputerowy to program, który przenika do systemu
i uszkadza pliki znajdujące się na komputerze. Nazwa tego typu
programów pochodzi od wirusów biologicznych, ponieważ stosują
one podobne metody przenoszenia się z jednego komputera na drugi.
Wirusy komputerowe atakują głównie pliki wykonywalne
i dokumenty. W celu powielenia się wirus dołącza swój kod na końcu
zaatakowanego pliku. Tak w skrócie przedstawia się działanie wirusa
komputerowego: po uruchomieniu zainfekowanego pliku wirus się
uaktywnia (przed aplikacją, do której jest dołączony) i wykonuje
zadanie określone przez jego twórcę. Dopiero wtedy następuje
uruchomienie zaatakowanej aplikacji. Wirus nie może zainfekować
komputera, dopóki użytkownik (przypadkowo lub rozmyślnie) nie
uruchomi lub nie otworzy szkodliwego programu.
Wirusy komputerowe bardzo różnią się między sobą pod względem
sposobu działania i stopnia stwarzanego zagrożenia. Niektóre z nich
są bardzo niebezpieczne, ponieważ mogą celowo usuwać pliki z dysku
twardego. Część wirusów nie powoduje natomiast właściwie żadnych
szkód — celem ich działania jest tylko zirytowanie użytkownika
i zademonstrowanie umiejętności programistycznych ich twórców.
Należy zauważyć, że wirusy stają się stopniowo coraz rzadsze
(w porównaniu z końmi trojańskimi czy oprogramowaniem
szpiegującym), ponieważ nie przynoszą one żadnych dochodów
autorom szkodliwego oprogramowania. Ponadto termin „wirus“
jest często błędnie używany w odniesieniu do wszystkich typów
programów powodujących infekcje. Obecnie to zjawisko powoli
zanika i stosowany jest nowy, dokładniejszy termin „szkodliwe
oprogramowanie“.
Jeśli komputer został zaatakowany przez wirusa, konieczne jest
przywrócenie zainfekowanych plików do pierwotnego stanu, czyli
wyleczenie ich przy użyciu programu antywirusowego.
Przykłady wirusów to OneHalf, Tenga i Yankee Doodle.
6.1.2
Robaki
Robak komputerowy jest programem zawierającym szkodliwy
kod, który atakuje komputery-hosty. Robaki rozprzestrzeniają się
za pośrednictwem sieci. Podstawowa różnica między wirusem
a robakiem polega na tym, że ten ostatni potrafi samodzielnie
powielać się i przenosić. Nie musi on w tym celu korzystać z plikównosicieli ani sektorów rozruchowych dysku.
Robaki rozprzestrzeniają się za pośrednictwem wiadomości e-mail
lub pakietów sieciowych. W związku z tym można je podzielić na dwie
kategorie:
•
pocztowe — wysyłające swoje kopie na adresy e-mail znalezione
na liście kontaktów użytkownika;
•
sieciowe — wykorzystujące luki w zabezpieczeniach różnych
aplikacji.
Robaki są przez to znacznie bardziej żywotne niż wirusy
komputerowe. Ze względu na powszechność dostępu do Internetu
mogą one rozprzestrzenić się na całym świecie w ciągu kilku godzin
po opublikowaniu — a w niektórych przypadkach nawet w ciągu kilku
minut. Możliwość szybkiego i niezależnego powielania się powoduje,
że są one znacznie groźniejsze niż inne rodzaje szkodliwego
oprogramowania, np. wirusy.
40
Robak uaktywniony w systemie może być przyczyną wielu
niedogodności: może usuwać pliki, obniżać wydajność komputera,
a nawet blokować działanie niektórych programów. Natura robaka
komputerowego predestynuje go do stosowania w charakterze
„środka transportu“ dla innych typów szkodliwego oprogramowania.
Jeśli komputer został zainfekowany przez robaka, zaleca się usunięcie
zainfekowanych plików, ponieważ prawdopodobnie zawierają one
szkodliwy kod.
Przykłady popularnych robaków to Lovsan/Blaster, Stration/
Warezov, Bagle i Netsky.
6.1.3
Konie trojańskie
Komputerowe konie trojańskie uznawano dotychczas za klasę
wirusów, które udają pożyteczne programy, aby skłonić użytkownika
do ich uruchomienia. Należy jednak koniecznie zauważyć, że było to
prawdziwe w odniesieniu do koni trojańskich starej daty — obecnie
nie muszą już one ukrywać swojej prawdziwej natury. Ich jedynym
celem jest jak najłatwiejsze zainfekowanie systemu i wyrządzenie
w nim szkód. Określenie „koń trojański“ stało się bardzo ogólnym
terminem używanym w odniesieniu do każdego wirusa, którego nie
można zaliczyć do innej klasy tego rodzaju programów.
W związku z tym, że jest to bardzo pojemna kategoria, dzieli się ją
często na wiele podkategorii. Najpopularniejsze z nich to:
•
program pobierający (ang. downloader) — szkodliwy program,
który może pobierać inne szkodliwe programy z Internetu;
•
program zakażający (ang. dropper) — typ konia trojańskiego,
którego działanie polega na umieszczaniu na zaatakowanych
komputerach innych typów szkodliwego oprogramowania;
•
program furtki (ang. backdoor) — aplikacja, która komunikuje
się ze zdalnymi intruzami, umożliwiając im uzyskanie dostępu do
systemu i przejęcie nad nim kontroli;
•
program rejestrujący znaki wprowadzane na klawiaturze (ang.
keylogger, keystroke logger) — program, który rejestruje znaki
wprowadzane przez użytkownika i wysyła informacje o nich
zdalnym intruzom;
•
program nawiązujący połączenia modemowe (ang. dialer) —
program mający na celu nawiązywanie połączeń z kosztownymi
numerami telefonicznymi. Zauważenie przez użytkownika
nowego połączenia jest prawie niemożliwe. Programy takie mogą
przynosić straty tylko użytkownikom modemów telefonicznych,
które jednak nie są już obecnie regularnie stosowane.
Konie trojańskie występują zwykle w postaci plików wykonywalnych
z rozszerzeniem EXE. Jeśli na komputerze zostanie wykryty plik
rozpoznany jako koń trojański, zaleca się jego usunięcie, ponieważ
najprawdopodobniej zawiera szkodliwy kod.
Przykłady popularnych koni trojańskich to: NetBus,
Trojandownloader.Small.ZL i Slapper.
6.1.4
Programy typu rootkit
Programy typu rootkit są szkodliwymi aplikacjami, które przyznają
internetowym intruzom nieograniczony dostęp do systemu
operacyjnego, ukrywając zarazem ich obecność. Po uzyskaniu
dostępu do komputera (zazwyczaj z wykorzystaniem luki w jego
zabezpieczeniach) programy typu rootkit używają funkcji systemu
operacyjnego, aby uniknąć wykrycia przez oprogramowanie
antywirusowe: ukrywają procesy, pliki i dane w rejestrze systemu
Windows. Z tego powodu wykrycie ich przy użyciu zwykłych technik
testowania jest prawie niemożliwe.
W przypadku zapobiegania atakom przy użyciu programów typu
rootkit należy pamiętać, że istnieją dwa poziomy ich wykrywania:
1. Podczas próby uzyskania dostępu do systemu. Nie są one jeszcze
w nim obecne, a zatem są nieaktywne. Większość aplikacji
antywirusowych potrafi wyeliminować programy typu rootkit
na tym poziomie (przy założeniu, że rozpoznają takie pliki jako
zainfekowane).
2. Gdy są niewidoczne dla zwykłych narzędzi testowych.
Użytkownicy programu antywirusowego firmy ESET korzystają
z technologii Anti‑Stealth, która umożliwia wykrywanie
i usuwanie także aktywnych programów typu rootkit.
6.1.5
Adware
Oprogramowanie reklamowe jest to oprogramowanie utrzymywane
z reklam. Do tej kategorii zaliczane są programy wyświetlające treści
reklamowe. Aplikacje reklamowe często powodują automatyczne
otwieranie wyskakujących okienek zawierających reklamy lub zmianę
strony głównej w przeglądarce internetowej. Oprogramowanie
reklamowe jest często dołączane do bezpłatnych programów,
umożliwiając ich autorom pokrycie kosztów tworzenia tych
(zazwyczaj użytecznych) aplikacji.
Oprogramowanie reklamowe samo w sobie nie jest niebezpieczne
— użytkowników mogą niepokoić jedynie wyświetlane reklamy.
Niebezpieczeństwo związane z oprogramowaniem reklamowym
polega jednak na tym, że może ono zawierać funkcje śledzące
(podobnie jak oprogramowanie szpiegujące).
Jeśli użytkownik zdecyduje się użyć bezpłatnego oprogramowania,
powinien zwrócić szczególną uwagę na jego program instalacyjny.
W programie instalacyjnym prawdopodobnie znajduje się
powiadomienie o instalowaniu dodatkowych programów
reklamowych. Często dostępna jest opcja umożliwiająca anulowanie
instalacji oprogramowania reklamowego i zainstalowanie tylko
programu głównego. W niektórych przypadkach zainstalowanie
programu bez dołączonego oprogramowania reklamowego jest
jednak niemożliwe lub powoduje ograniczenie jego funkcjonalności.
Dzięki temu oprogramowanie reklamowe może zostać zainstalowane
w systemie w sposób legalny, ponieważ użytkownik wyraża na
to zgodę. W takim przypadku należy kierować się względami
bezpieczeństwa i nie ponosić konsekwencji błędnej decyzji.
Jeśli na komputerze zostanie wykryty plik rozpoznany jako
oprogramowanie reklamowe, zaleca się jego usunięcie, ponieważ
najprawdopodobniej zawiera on szkodliwy kod.
6.1.6
Przykładami popularnych bezpłatnych produktów, do których
dołączone jest oprogramowanie szpiegujące, są aplikacje klienckie
sieci P2P (ang. peer‑to‑peer). Programy Spyfalcon i Spy Sheriff (oraz
wiele innych) należą do szczególnej podkategorii oprogramowania
szpiegującego. Wydają się zapewniać przed nim ochronę, ale
w rzeczywistości same są programami szpiegującymi.
Jeśli na komputerze zostanie wykryty plik rozpoznany jako
oprogramowanie szpiegujące, zaleca się jego usunięcie,
ponieważ najprawdopodobniej zawiera on szkodliwy kod.
6.1.7
Potencjalnie niebezpieczne aplikacje
Istnieje wiele legalnych programów, które ułatwiają administrowanie
komputerami połączonymi w sieć. W niewłaściwych rękach mogą
one jednak posłużyć do wyrządzenia szkód. Właśnie dlatego firma
ESET stworzyła tę specjalną kategorię oprogramowania. Klienci
firmy mogą teraz zdecydować, czy program antywirusowy ma
wykrywać zagrożenia tego typu.
Do potencjalnie niebezpiecznych aplikacji zaliczane są niektóre
legalne programy komercyjne. Są to m.in. narzędzia do dostępu
zdalnego, programy do łamania haseł i programy rejestrujące znaki
wprowadzane na klawiaturze.
W przypadku wykrycia działającej na komputerze potencjalnie
niebezpiecznej aplikacji, która nie została zainstalowana świadomie
przez użytkownika, należy skonsultować się z administratorem sieci
lub ją usunąć.
6.1.8
Potencjalnie niepożądane aplikacje
Aplikacje potencjalnie niepożądane nie musiały być świadomie
projektowane w złych intencjach, ale ich stosowanie może w jakimś
stopniu obniżać wydajność komputera. Zainstalowanie takiej
aplikacji zazwyczaj wymaga zgody użytkownika. Po zainstalowaniu
programu z tej kategorii sposób działania systemu jest inny niż przed
instalacją. Najbardziej mogą się rzucać w oczy następujące zmiany:
•
otwieranie nowych, nieznanych okien;
•
aktywacja i uruchamianie ukrytych procesów;
•
zwiększone użycie zasobów systemowych;
•
zmiany w wynikach wyszukiwania;
•
aplikacje komunikujące się z serwerami zdalnymi.
Spyware
Do tej kategorii należą wszystkie aplikacje, które wysyłają prywatne
informacje bez zgody i wiedzy użytkownika. Wykorzystają
one mechanizmy śledzenia do wysyłania rozmaitych danych
statystycznych, np. listy odwiedzonych witryn internetowych,
adresów e-mail z listy kontaktów użytkownika czy wykazu
naciskanych klawiszy.
Twórcy oprogramowania szpiegującego twierdzą, że te techniki
pomagają w uzyskiwaniu pełniejszych informacji o potrzebach
i zainteresowaniach użytkowników oraz umożliwiają trafniejsze
kierowanie reklam do odbiorców. Problem polega jednak na tym, że
nie ma wyraźnego rozróżnienia między pożytecznymi a szkodliwymi
aplikacjami i nikt nie może mieć pewności, czy uzyskiwane
informacje nie zostaną wykorzystane w niedozwolony sposób.
Dane gromadzone przez aplikacje szpiegujące mogą zawierać
kody bezpieczeństwa, numery PIN, numery kont bankowych itd.
Oprogramowanie szpiegujące jest często dołączane do bezpłatnej
wersji programu przez jego autora w celu uzyskania dochodów lub
zachęcenia użytkowników do zakupu wersji komercyjnej. Nierzadko
użytkownicy są podczas instalacji programu informowani o obecności
oprogramowania szpiegującego, co ma ich skłonić do zakupu
pozbawionej go wersji płatnej.
41