Felhasználói útmutató (a 4.2-es és újabb termékverziókhoz) Microsoft® Windows® 7 / Vista / XP / NT4 / 2000 / 2003 / 2008
Tartalom 1. ESET NOD32 Antivirus 4...........................4 1.1 1.2
Újdonságok................................................................... 4 Rendszerkövetelmények................................................. 4
2. Telepítés................................................5 2.1 2.2 2.3 2.4 2.5 Copyright © 2011 ESET, spol. s r.o. Az ESET NOD32 Antivirus az ESET, spol. s r.o. terméke. További információért keresse fel a www.eset.hu weboldalt. Minden jog fenntartva. A szerző kifejezett írásbeli engedélye nélkül sem a dokumentum egésze, sem annak tetszőleges része nem reprodukálható és nem tárolható visszakereshető rendszerben, semmilyen formában és módon (elektronikus, mechanikai, fénymásolásos, hangrögzítési, lapolvasási vagy más eljárással). Az ESET, spol. s r.o. fenntartja a jogot, hogy az ismertetett szoftverek bármelyikét előzetes értesítés nélkül módosítsa. Nemzetközi terméktámogatás: www.eset.com/support Magyarországi terméktámogatás: www.eset.hu/tamogatas/kapcsolat REV.20110518-009
Tipikus telepítés............................................................. 5 Egyéni telepítés............................................................. 6 Az eredeti beállítások használata..................................... 7 Felhasználónév és jelszó megadása.................................. 7 Kézi indítású számítógép-ellenőrzés................................ 8
3. Útmutató kezdő felhasználók számára.................................................9 3.1
A felhasználói felület ismertetése – módok....................... 9 3.1.1 A rendszer működésének ellenőrzése.......................9 3.1.2 Teendők a program nem megfelelő működése esetén.................................................. 10 3.2 A frissítés beállításai......................................................10 3.3 A proxyszerver beállításai..............................................10 3.4 Beállítások védelme......................................................10
4. Az ESET NOD32 Antivirus használata............................................12 4.1 Vírus- és kémprogramvédelem....................................... 12 4.1.1 Valós idejű fájlrendszervédelem..............................12 4.1.1.1 Az ellenőrzés beállításai.........................................12 4.1.1.1.1 Ellenőrizendő adathordozók ..................................12 4.1.1.1.2 Ellenőrzés (esemény hatására történő ellenőrzés)...12 4.1.1.1.3 További ThreatSense-paraméterek az új és módosított fájlokhoz.............................................12 4.1.1.1.4 További beállítások................................................12 4.1.1.2 Megtisztítási szintek..............................................12 4.1.1.3 Mikor érdemes módosítani a valós idejű védelem beállításain?.........................................................................13 4.1.1.4 A valós idejű védelem ellenőrzése...........................13 4.1.1.5 Teendők, ha a valós idejű védelem nem működik.....13 4.1.2 E-mail védelem......................................................13 4.1.2.1 POP3-ellenőrzés.....................................................13 4.1.2.1.1 Kompatibilitás...................................................... 14 4.1.2.2 Integrálás a levelezőprogramokkal........................ 14 4.1.2.2.1 Értesítés hozzáfűzése az e-mailek törzséhez.......... 14 4.1.2.3 Fertőzések eltávolítása..........................................15 4.1.3 Webhozzáférés-védelem........................................15
4.2
4.3
4.4
4.5 4.6 4.7
4.1.3.1 HTTP, HTTPS..........................................................15 4.1.3.1.1 Címek kezelése......................................................15 4.1.3.1.2 Aktív üzemmód.....................................................15 4.1.4 Számítógép ellenőrzése........................................ 16 4.1.4.1 Az ellenőrzés típusa.............................................. 16 4.1.4.1.1 Optimalizált ellenőrzés......................................... 16 4.1.4.1.2 Egyéni ellenőrzés.................................................. 16 4.1.4.2 Ellenőrizendő célterületek..................................... 16 4.1.4.3 Ellenőrzési profilok.................................................17 4.1.5 Protokollszűrés......................................................17 4.1.5.1 SSL........................................................................17 4.1.5.1.1 Megbízható tanúsítványok.................................... 18 4.1.5.1.2 Kizárt tanúsítványok............................................. 18 4.1.6 A ThreatSense keresőmotor beállításai................... 18 4.1.6.1 Ellenőrizendő objektumok..................................... 18 4.1.6.2 Beállítások........................................................... 18 4.1.6.3 Megtisztítás......................................................... 19 4.1.6.4 Kiterjesztések....................................................... 19 4.1.6.5 Korlátok............................................................... 19 4.1.6.6 Egyéb.................................................................. 20 4.1.7 Fertőzés észlelése................................................ 20 A program frissítése..................................................... 20 4.2.1 A frissítés beállításai..............................................21 4.2.1.1 Frissítési profilok....................................................21 4.2.1.2 További frissítési beállítások...................................21 4.2.1.2.1 Frissítési mód........................................................21 4.2.1.2.2 Proxyszerver......................................................... 22 4.2.1.2.3 Csatlakozás a helyi frissítési szerverhez.................. 22 4.2.1.2.4 Helyi frissítési szerver létrehozása – tükrözés......... 23 4.2.1.2.4.1 Frissítés helyi frissítési szerverről (tükörből)............ 23 4.2.1.2.4.2 A tükörből történő frissítéssel kapcsolatos hibaelhárítás........................................................ 24 4.2.2 Frissítési feladatok létrehozása.............................. 24 Feladatütemező............................................................24 4.3.1 A feladatok ütemezésének célja............................. 25 4.3.2 Új feladatok létrehozása........................................ 25 Karantén......................................................................25 4.4.1 Fájlok karanténba helyezése.................................. 26 4.4.2 Visszaállítás a karanténból.................................... 26 4.4.3 Fájl elküldése a karanténból.................................. 26 Naplófájlok.................................................................. 26 4.5.1 Naplókezelés........................................................ 27 Felhasználói felület.......................................................27 4.6.1 Riasztások és értesítések...................................... 28 ThreatSense.Net.......................................................... 28 4.7.1 Gyanús fájlok........................................................ 29 4.7.2 Statisztika............................................................ 29 4.7.3 Küldés.................................................................. 29
4.8 Távadminisztráció........................................................ 30 4.9 Licenc......................................................................... 30
5. Tapasztalt felhasználók számára.............31 5.1 A proxyszerver beállításai.............................................. 31 5.2 Beállítások importálása és exportálása........................... 31 5.2.1 Beállítások exportálása..........................................31 5.2.2 Beállítások importálása.........................................31 5.3 Parancssor................................................................... 31 5.4 ESET SysInspector.........................................................32 5.4.1 A felhasználói felület és az alkalmazás használata.. 33 5.4.1.1 Vezérlőelemek...................................................... 33 5.4.1.2 Navigálás az ESET SysInspector alkalmazásban...... 33 5.4.1.3 Összehasonlítás................................................... 34 5.4.1.4 Az ESET NOD32 Antivirus 4 részét képező SysInspector......................................................... 34 5.4.1.5 Eltávolító szkript................................................... 35 5.4.1.5.1 Eltávolító szkriptek létrehozása............................. 35 5.4.1.5.2 Az eltávolító szkript struktúrája............................. 35 5.4.1.5.3 Az eltávolító szkriptek végrehajtása....................... 36 5.5 ESET SysRescue............................................................36 5.5.1 Minimális követelmények...................................... 36 5.5.2 Helyreállító CD készítése....................................... 37 5.5.2.1 Mappák................................................................ 37 5.5.2.2 ESET Antivirus...................................................... 37 5.5.2.3 További lehetőségek............................................. 37 5.5.2.4 Rendszerindító USB-eszköz................................... 37 5.5.2.5 Írás...................................................................... 37 5.5.3 A helyreállító adathordozó használata................... 37 5.5.3.1 A helyreállító adathordozó alkalmazása................. 38
6. Szószedet............................................. 39 6.1 Kártevők típusai...........................................................39 6.1.1 Vírusok................................................................. 39 6.1.2 Férgek.................................................................. 39 6.1.3 Trójaiak................................................................ 39 6.1.4 Rootkitek............................................................. 39 6.1.5 Reklámprogramok............................................... 40 6.1.6 Kémprogramok................................................... 40 6.1.7 Veszélyes alkalmazások....................................... 40 6.1.8 Kéretlen alkalmazások......................................... 40
1. ESET NOD32 Antivirus 4 Az ESET NOD32 Antivirus 4 a díjnyertes ESET NOD32 Antivirus 2.* utódja. A szoftver a ThreatSense® technológia legújabb változata révén az ESET NOD32 Antivirus sebességét és pontosságát nyújtja a vírus- és kémprogramvédelem területén. A csomagba integrált korszerű technológiák proaktív módon képesek blokkolni a vírusokat, kémprogramokat, trójaiakat, férgeket, kéretlen reklámprogramokat és rootkiteket anélkül, hogy a rendszer teljesítményét visszafognák, illetve bármilyen felhasználói beavatkozást igényelnének. 1.1
Egyéb lehetőségek
Szolgáltatás
Leírás
ESET SysRescue
Az ESET SysRescue lehetővé teszi, hogy a felhasználók az ESET NOD32 Antivirus szoftvert tartalmazó és az operációs rendszertől függetlenül is futtatható rendszerindító CD/DVD/USB adathordozót hozzanak létre. Az adathordozó segítségével a rendszer megtisztítható a nehezen eltávolítható fertőzésektől.
ESET SysInspector
A számítógép alapos vizsgálatára szolgáló ESET SysInspector alkalmazás most közvetlenül az ESET NOD32 Antivirus szoftver részét képezi. Ha a Súgó és támogatás > Kapcsolatfelvétel (ajánlott) hivatkozás segítségével lép kapcsolatba a terméktámogatási szolgáltatással, a számítógép állapotának az ESET SysInspector alkalmazással készített pillanatképét is csatolhatja.
Dokumentumvédelem
A dokumentumvédelmi szolgáltatás még azelőtt végez ellenőrzést, hogy Ön megnyitná a Microsoft Office-dokumentumokat, illetve az Internet Explorer automatikusan letöltene fájlokat, például Microsoft ActiveX-összetevőket.
Önvédelem
Az új önvédelmi technológia védelmet biztosít az ESET NOD32 Antivirus összetevői számára az aktiválás megszüntetésére irányuló kísérletekkel szemben.
Felhasználói felület
A felhasználói felület most már működik nem grafikus módban is, ami lehetővé teszi az ESET NOD32 Antivirus vezérlését a billentyűzetről. A képernyőolvasó alkalmazásokkal való továbbfejlesztett kompatibilitás lehetővé teszi a látássérült felhasználók számára, hogy még hatékonyabban használhassák a programot.
Újdonságok
Szakértőink nagy fejlesztési tapasztalatait bizonyítja az ESET NOD32 Antivirus program teljesen új szerkezete, amely minimális rendszerkövetelmények mellett maximális észlelést biztosít. •
•
Vírus- és kémprogramvédelem
Ez a modul a ThreatSense® alapprogramra épül, amely első alkalommal a díjnyertes NOD32 Antivirus rendszerben jelent meg. Az ESET NOD32 Antivirus architektúrában a ThreatSense® alapprogram optimalizált és továbbfejlesztett változata kapott helyet. Szolgáltatás
Leírás
Továbbfejlesztett megtisztítás
A vírusvédelmi rendszer intelligens módon, felhasználói beavatkozás nélkül megtisztítja a fájlokat, és törli az észlelt fertőzések legtöbbjét.
Ellenőrzés a háttérben
A számítógép ellenőrzése teljesítménycsökkenés nélkül a háttérben indítható.
Kisebb frissítési fájlok
Alapvető optimalizálási folyamatoknak köszönhetően a frissítési fájlok mérete kisebb, mint a 2.7-es verzióban. A frissítési fájlok sérülés elleni védelme is javult.
Védelem a népszerű levelezőprogramoknak
A beérkező üzenetek mostantól nem csak a Microsoft Office Outlook, hanem az Outlook Express, a Windows Mail, a Windows Live Mail és a Mozilla Thunderbird programban is ellenőrizhetők.
Különféle kisebb fejlesztések
– Közvetlen hozzáférés a rendszerfájlokhoz a nagyobb sebesség és teljesítmény érdekében. – A fertőzött fájlokhoz való hozzáférés tiltása. – Optimalizálás a Windows Biztonsági központra, illetve a Windows Vista rendszerre.
1.2
Rendszerkövetelmények
Az ESET NOD32 Antivirus zavartalan működéséhez a rendszernek meg kell felelnie az alábbi hardver- és szoftverkövetelményeknek: ESET NOD32 Antivirus: Windows NT4 SP6, 2000, XP
400 MHz, 32 bites/64 bites (x86/x64) 128 MB RAM rendszermemória 130 MB szabad lemezterület Super VGA (800 × 600 képpont felbontással)
Windows 7, Vista
1 GHz, 32 bites/64 bites (x86/x64) 512 MB RAM rendszermemória 130 MB szabad lemezterület Super VGA (800 × 600 képpont felbontással)
ESET NOD32 Antivirus Business Edition: Windows NT4 SP6, 2000, 2000 Server, XP, 2003 Server
400 MHz, 32 bites/64 bites (x86/x64) 128 MB RAM rendszermemória 130 MB szabad lemezterület Super VGA (800 × 600 képpont felbontással)
Windows 7, Vista, Windows Server 2008
1 GHz, 32 bites/64 bites (x86/x64) 512 MB RAM rendszermemória 130 MB szabad lemezterület Super VGA (800 × 600 képpont felbontással)
Megjegyzés: Az Anti Stealth és az önvédelmi modul nem érhető el a Windows NT4 SP6 rendszer esetén. 4
2. Telepítés A licencvásárlást követően az ESET NOD32 Antivirus telepítője .msi csomagként letölthető az ESET weboldaláról. A telepítő elindítását követően a telepítő varázsló végigvezeti Önt a lépéseken. Kétféle telepítési mód közül választhat, melyek esetén különböző beállításokat kell elvégezni: 1. Tipikus telepítés
A telepítés következő lépése a ThreatSense. Net Korai Riasztási Rendszer beállítása: a rendszer segítségével az ESET azonnal és folyamatosan értesül az új fertőzésekről annak érdekében, hogy gyors védelmet nyújthasson ügyfeleinek. A rendszer lehetővé teszi, hogy a felhasználó elküldje az új kártevőket az ESET víruslaborjába, ahol elemzik és feldolgozzák, majd felveszik azokat a vírusdefiníciós adatbázisokba.
2. Egyéni telepítés
2.1
Tipikus telepítés
A tipikus telepítést az ESET NOD32 Antivirus alapértelmezett beállításokkal történő telepítéséhez célszerű használni. A program alapbeállításai a lehető legmagasabb szintű védelmet biztosítják – ez különösen előnyös azoknak a felhasználóknak, akik nem szeretnének részletes beállításokat megadni. Az első és legfontosabb lépés a felhasználónév és a jelszó beírása, hogy a program a későbbiekben automatikusan tudjon frissítéseket végezni. A frissítés alapvető fontosságú a rendszer állandó védelme szempontjából.
Írja be a Felhasználónév és a Jelszó mezőbe a vásárlás vagy a regisztrálás után kapott hitelesítési adatait. Ha még nincs felhasználóneve és jelszava, jelölje be a Frissítési adatok megadása később jelölőnégyzetet. Ez a két hitelesítési adat a későbbiekben bármikor beírható közvetlenül a programból.
Alapértelmezés szerint a ThreatSense.Net Korai Riasztási Rendszer engedélyezése jelölőnégyzet be van jelölve, ami aktiválja ezt a funkciót. A További beállítások gombra kattintva módosíthatja a gyanús fájlok elküldésére vonatkozó részletes beállításokat. A következő telepítési lépés a Kéretlen alkalmazások keresése beállítás konfigurálása. A kéretlen alkalmazások nem feltétlenül kártevők, azonban kedvezőtlen hatással lehetnek a számítógép teljesítményére. Ezeket az alkalmazásokat gyakran más programokkal csomagolják egybe, így előfordulhat, hogy a telepítési folyamat során nehéz őket észrevenni. Bár a telepítéskor az alkalmazások általában megjelenítenek egy értesítést, a beleegyezése nélkül is könnyedén telepíthetők.
Ha azt szeretné, hogy az ESET NOD32 Antivirus észlelje az ilyen típusú kártevőket, jelölje be a Kéretlen alkalmazások keresésének engedélyezése választógombot (ajánlott).
5
A tipikus telepítés utolsó lépése a Telepítés gombra való kattintás, amellyel jóváhagyja a telepítést.
2.2 Egyéni telepítés Az egyéni telepítést a programok finomhangolásában tapasztalattal rendelkező felhasználóknak javasoljuk, akik telepítés közben módosítani szeretnék a további beállításokat.
Ha proxyszervert használ, állítsa be azt helyesen annak érdekében, hogy a vírusdefiníciós adatbázis frissítése megfelelően működjön. Ha nem biztos abban, hogy proxyszervert használ-e az internethez való kapcsolódáshoz, jelölje be a Nem tudom, hogy proxyszervert használok-e. Az Internet Explorer beállításait szeretném használni választógombot, és kattintson a Tovább gombra. Ha nem használ proxyszervert, jelölje be a megfelelő választógombot.
Az első lépés a telepítési célhely kijelölése. A rendszer alapértelmezés szerint a C:\Program Files\ESET\ESET NOD32 Antivirus\ mappába telepíti a programot. Ha módosítani szeretné a helyet, kattintson a Tallózás gombra (nem ajánlott).
Következő lépésként írja be a felhasználónevét és a jelszavát. Ez a lépés megegyezik a tipikus telepítést ismertető témakörben leírttal (lásd az 5. oldalt). A felhasználónév és a jelszó beírását követően kattintson a Tovább gombra az internetkapcsolat beállításához.
6
A proxyszerver beállításainak megadásához jelölje be a Proxyszervert használok választógombot, és kattintson a Tovább gombra. Írja be a proxyszerver IP-címét vagy URL-címét a Cím mezőbe. A Port mezőben adja meg azt a portot, amelyen a proxyszerver fogadja a kapcsolatokat (alapértelmezés szerint ez a 3128-as port). Hitelesítést igénylő proxyszerver esetén írja be a hozzáférést biztosító felhasználónevet és jelszót. Szükség esetén az Internet Explorer böngészőből is átmásolhatja a proxyszerver beállításait: ehhez kattintson az Alkalmaz gombra, és hagyja jóvá a megadott beállításokat.
A telepítés következő lépése a programbeállításokat védő jelszó megadása. Írja be a jelszót, majd újbóli beírással erősítse meg azt.
Kattintson a Tovább gombra az Adja meg az automatikus frissítés beállításait ablakhoz való továbblépéshez. Ezzel a lépéssel definiálhatja, hogy a rendszer hogyan kezelje az automatikus programösszetevőfrissítéseket. A Módosítás gombra kattintva megjelenítheti a további beállításokat. Ha nem szeretné frissíteni a programösszetevőket, jelölje be a Programösszetevő-frissítés kikapcsolása választógombot. A Programösszetevők letöltésének felajánlása, ha van új verzió választógomb bejelölésével a szoftver megerősítést kér a programösszetevők letöltése előtt. Ha megerősítés kérése nélkül szeretné engedélyezni az automatikus programösszetevőfrissítéseket, jelölje be a Programösszetevők automatikus frissítése, ha van új verzió választógombot.
A ThreatSense.Net Korai Riasztási Rendszer és a kéretlen alkalmazások keresésének beállítása ugyanúgy történik, mint a tipikus telepítés során (lásd az 5. oldalt). A telepítő az utolsó lépésben kéri, hogy a felhasználó hagyja jóvá a telepítés megkezdését. 2.3 Az eredeti beállítások használata Az ESET NOD32 Antivirus újratelepítése esetén megjelenik a jelenlegi beállítások alkalmazása jelölőnégyzet. Ha az eredeti telepítési paraméterekkel szeretné végezni az új telepítést is, jelölje be ezt a négyzetet.
2.4 Felhasználónév és jelszó megadása Az optimális működéshez fontos a program automatikus frissítése. Erre csak akkor van lehetőség, ha a frissítés beállítási lapján megadja a helyes felhasználónevet és jelszót.
Megjegyzés: a programösszetevők frissítését követően rendszerint újra kell indítani a számítógépet. A javasolt beállítás a következő: A számítógép újraindítása értesítés nélkül, ha szükséges.
Ha a program telepítésekor nem adta meg azokat, most megteheti. A fő programablakban kattintson a Frissítés gombra, majd a Felhasználónév és jelszó beállításai hivatkozásra. A Licenc részletei ablakban írja be a terméklicenchez kapott adatokat.
7
2.5 Kézi indítású számítógép-ellenőrzés Az ESET NOD32 Antivirus program telepítését követően ajánlott ellenőrzést indítani annak kiderítése érdekében, hogy a számítógép tartalmaz-e kártevőt. Az ellenőrzés gyors indításához a főmenüben válassza a Számítógép ellenőrzése lehetőséget, majd a fő programablakban kattintson az Optimalizált ellenőrzés hivatkozásra. A számítógép-ellenőrzési funkcióról további információt a „Számítógép ellenőrzése” című témakörben talál.
8
3. Útmutató kezdő felhasználók számára Ez a témakör az ESET NOD32 Antivirus program és alapbeállításainak az áttekintését tartalmazza. 3.1
A felhasználói felület ismertetése – módok
A Normál mód a leggyakoribb műveletek végrehajtásához szükséges funkciókhoz nyújt hozzáférést, speciális beállítási lehetőségeket nem jelenít meg.
Az ESET NOD32 Antivirus főablaka két fő részből áll. A bal oldali oszlopban érhető el a felhasználóbarát főmenü. A jobb oldali oszlop elsősorban a főmenüben kijelölt beállításhoz kapcsolódó információk megjelenítésére szolgál. A főmenüben található lehetőségek: Védelem állapota – Az ESET NOD32 Antivirus védelmi állapotáról jelenít meg adatokat felhasználóbarát formában. Hozzáértő mód használata esetén az összes védelmi modul állapota látható. Az egyes modulok nevére kattintva megtekintheti aktuális állapotukat. Számítógép ellenőrzése – Ebben a részben konfigurálhatja és indíthatja el a kézi indítású számítógép-ellenőrzést. Frissítés – Ezt a lehetőséget választva megnyithatja a vírusdefiníciós adatbázis frissítéseit kezelő frissítési modult. Beállítások – Itt konfigurálhatja a számítógép biztonsági szintjét. Hozzáértő mód használata esetén megjelenik a Vírus- és kémprogramvédelem almenü. Eszközök – Ez a beállítás csak Hozzáértő módban használható, és segítségével megjelenítheti a naplófájlokat, illetve megnyithatja a feladatütemezőt és a karantént. Súgó és támogatás – Ezt a lehetőséget választva elérheti a súgófájlokat, a tudástár cikkeit, az ESET weboldalát és a terméktámogatási kérelmeket. Az ESET NOD32 Antivirus felhasználói felületén válthat a Normál és a Hozzáértő mód között. Ehhez keresse meg az ESET NOD32 Antivirus főablakának bal alsó sarkában lévő Megjelenítés hivatkozást, majd kattintson rá a használni kívánt üzemmód kiválasztásához.
A Hozzáértő módra való váltáskor a rendszer a főmenühöz adja az Eszközök elemet. Az Eszközök menüből megnyitható a Feladatütemező és a Karantén, továbbá megjeleníthetők az ESET NOD32 Antivirus naplófájljai. Megjegyzés: Az útmutatóban szereplő összes további utasítás a Hozzáértő módra vonatkozik. 3.1.1
A rendszer működésének ellenőrzése
A védelem állapotának megtekintéséhez kattintson a főmenü tetején a Védelem állapota elemre. Ekkor közvetlenül az ikon alatt hivatkozásként megjelenik az Aktivitás, a Hálózati kapcsolatok és a Statisztika almenü, a főablakban pedig az ESET NOD32 Antivirus működésére vonatkozó állapotösszegzés. A hivatkozásokra kattintva részletesebb információkat tudhat meg a védelem állapotáról.
Ha az engedélyezett modulok megfelelően működnek, nevük mellett egy zöld pipajelölés, ha nem, egy piros felkiáltójel vagy egy sárga értesítő ikon látható, és ebben az esetben az ablak felső részében további információk is olvashatók. A szoftver javaslatot is ad a modulok működésének helyreállításához. Az egyes modulok állapotának megváltoztatásához kattintson a főmenü Beállítások ikonjára, majd a kívánt modul nevére.
9
3.1.2
Teendők a program nem megfelelő működése esetén
Ha az ESET NOD32 Antivirus a védelmi modulok bármelyikében hibát észlel, a Védelem állapota ablakban közzéteszi, és lehetséges megoldást is javasol a problémára.
Ha az ismert problémák és megoldások listája segítségével nem hárítható el a hiba, a Súgó és támogatás hivatkozásra kattintva elérheti a súgófájlokat, illetve keresést végezhet a tudástárban. Ha továbbra sem talál megoldást, támogatási kérelmet küldhet az ESET terméktámogatási szolgálatának. A kérelem alapján szakértőink gyorsan válaszolnak kérdéseire, és tanácsokat adnak a probléma megoldásához. 3.2 A frissítés beállításai
Az F5 billentyűvel megjeleníthető További beállítások ablak egyéb részletes frissítési beállításokat tartalmaz. A Frissítési szerver legördülő listában válassza az Automatikus kiválasztás elemet. A frissítés további beállításai, többek között a frissítés módja, a proxyszerver-hozzáférés, a helyi szerveren tárolt frissítések elérése és a vírusdefiníciós másolatok (ESET NOD32 Antivirus Business Edition) konfigurálásához kattintson a Beállítások gombra.
3.3 A proxyszerver beállításai Ha proxyszerveren keresztül kapcsolódik az internethez, meg kell adnia a szerver beállításait a programban a további beállítások között (F5). A Proxyszerver konfigurációs ablak eléréséhez a további beállítások listájában kattintson az Egyéb beállítások > Proxyszerver hivatkozásra. Jelölje be a Proxyszerver használata négyzetet, és írja be a proxyszerver címét és portszámát, valamint a szükséges hitelesítési adatokat.
A kártevők elleni teljes védelem fontos összetevője a vírusdefiníciós adatbázis és a programösszetevők frissítése, ezért érdemes különös figyelmet fordítania a beállításukra és a működésükre. A főmenüben válassza a Frissítés lehetőséget, és a fő programablakban a Vírusdefiníciós adatbázis frissítése hivatkozásra kattintva azonnal ellenőrizheti, hogy van-e újabb verziója az adatbázisnak. A Felhasználónév és jelszó beállítása hivatkozásra kattintva megjelenítheti a vásárláskor kapott felhasználónév és jelszó megadására szolgáló párbeszédpanelt. Ha az ESET NOD32 Antivirus telepítésekor beírta felhasználónevét és jelszavát, a program nem kéri ismételt megadásukat.
Ha nem áll rendelkezésre információ a proxyszerverről, a Proxyszerver felismerése gombra kattintva megkísérelheti az ESET NOD32 Antivirus proxyszerver-beállításainak automatikus észlelését. Megjegyzés: Előfordulhat, hogy a különféle frissítési profilokhoz eltérő proxyszerver-beállítások tartoznak. Ebben az esetben a proxyszerver konfigurálását a további frissítési beállítások között végezheti el. 3.4 Beállítások védelme Az ESET NOD32 Antivirus beállításai a szervezet biztonsági házirendje szempontjából nagyon fontos szerepet tölthetnek be. A jogosulatlan módosítások veszélyeztethetik a rendszer stabilitását és védelmét. Ha jelszóval szeretné védeni a beállításokat, a főmenüből indulva válassza a Beállítások > Minden további beállítási lehetőség megtekintése > Felhasználói felület > Hozzáférési beállítások lehetőséget, majd kattintson a Jelszó megadása gombra.
10
Írjon be egy jelszót, újbóli beírással erősítse meg azt, majd kattintson az OK gombra. Az ESET NOD32 Antivirus beállításainak jövőbeli módosításaihoz szükség lesz erre a jelszóra.
11
4. Az ESET NOD32 Antivirus használata 4.1 Vírus- és kémprogramvédelem A vírusvédelem a fájlok, az e-mailek és az internetes kommunikáció ellenőrzésével megakadályozza a kártevők bejutását a rendszerbe. Ha a program kártékony kódot észlel, a Vírus- és kémprogramvédelem modul először letiltja, majd a beállítástól függően megtisztítja a kártevőtől, törli, illetve karanténba helyezi a hordozó fájlt.
4.1.1.1.3
További ThreatSense-paraméterek az új és módosított fájlokhoz
A valós idejű fájlrendszervédelem a rendszer összes vírusvédelemhez köthető eseményét ellenőrzi. A program a fájlok megnyitásakor, létrehozásakor vagy a számítógépen történő futtatásakor ellenőrzi, hogy tartalmaznak-e kártevőt. A valós idejű fájlrendszervédelem a számítógép indításakor automatikusan elindul.
A fertőzés valószínűsége az újonnan létrehozott fájlokban nagyobb, mint a meglévő fájlokban, ezért a program az ilyen fájlok ellenőrzéséhez további ellenőrzési paramétereket is igénybe vesz. A szokásos, vírusdefiníció‑alapú ellenőrzési módszereken kívül kiterjesztett heurisztikát is használ, amely jelentős mértékben javítja az észlelési hatékonyságot. Az újonnan létrehozott fájlokon kívül az önkicsomagoló (SFX-) fájlokon és a futtatás közbeni tömörítőkön (belsőleg tömörített alkalmazásokon) is történik ellenőrzés. A tömörített fájlokat a program alapértelmezés szerint a 10. maximális szintig ellenőrzi, és ez az ellenőrzés a fájlok méretétől függetlenül megtörténik. A tömörített fájlok ellenőrzési beállításainak módosításához törölje az Alapbeállítások használata a tömörített fájlok ellenőrzéséhez négyzet jelölését.
4.1.1.1
4.1.1.1.4
4.1.1
Valós idejű fájlrendszervédelem
Az ellenőrzés beállításai
A valós idejű fájlrendszervédelem különböző események hatására ellenőrzi az adathordozókat. Az ellenőrzés a ThreatSense technológia észlelési módszereit alkalmazza (amelyek leírása „A ThreatSense keresőmotor beállításai” című témakörben található). Előfordulhat, hogy az ellenőrzés működése eltér az újonnan létrehozott és a meglévő fájlok esetén. Új fájlok létrehozásakor lehetőség van mélyebb szintű ellenőrzésre.
További beállítások
A valós idejű védelem alkalmazása során a rendszerterhelés minimalizálása érdekében a már ellenőrzött fájlokat nem ellenőrzi újra a program (kivéve, ha a szóban forgó fájlok azóta módosultak). A vírusdefiníciós adatbázis minden egyes frissítése után a program haladéktalanul ismét ellenőrzi a fájlokat. Ez a működés az Optimalizált ellenőrzés négyzet segítségével állítható be. Ha a szolgáltatás le van tiltva, a fájlok ellenőrzése a hozzájuk való minden egyes hozzáférés esetén megtörténik. A valós idejű védelem alapértelmezés szerint az operációs rendszer indításakor elindul, és folyamatos ellenőrzést biztosít. Speciális esetekben (például egy másik valós idejű ellenőrzővel való ütközés esetén) a valós idejű védelem a Valós idejű fájlrendszervédelem automatikus indítása négyzet jelölésének törlésével tiltható le. Alapértelmezés szerint a program nem használ kiterjesztett heurisztikát a fájlok futtatásakor. Néhány esetben azonban előfordulhat, hogy célszerű engedélyezni azt (a Kiterjesztett heurisztika a fájlok futtatásakor jelölőnégyzet bejelölésével). Ne feledje, hogy a kiterjesztett heurisztika következtében megnövekedett rendszerkövetelmények miatt néhány program futása lelassulhat. 4.1.1.2
4.1.1.1.1
Ellenőrizendő adathordozók
A program alapértelmezés szerint az összes típusú adathordozón ellenőrzi, hogy nem tartalmaz-e kártevőt.
A valós idejű védelem három megtisztítási szinttel rendelkezik (elérésükhöz a Valós idejű fájlrendszervédelem csoportban kattintson a Beállítások gombra, majd a Megtisztítás elemre). •
Az első szint megjelenít egy riasztási ablakot, amely választási lehetőségeket kínál fel az egyes észlelt fertőzésekhez. A felhasználónak minden egyes fertőzés esetében külön kell kiválasztania a megfelelő műveletet. Ez a szint az olyan tapasztalt felhasználóknak ajánlott, akik tisztában vannak azzal, hogy mi a teendő a különböző típusú fertőzések esetén.
•
Közepes szint esetén (a fertőzés típusától függően) a program automatikusan kiválasztja és végrehajtja az előre definiált műveletet. A fertőzött fájlok észlelését és törlését a program a képernyő jobb alsó sarkában megjelenő tájékoztató üzenettel jelzi. A program azonban nem hajtja végre automatikusan a műveletet akkor, ha a fertőzés olyan tömörített fájlban található, amely nem fertőzött fájlokat is tartalmaz, valamint az olyan objektumok esetében, melyekhez nem tartozik előre definiált művelet.
•
A harmadik szint a „legagresszívabb”: ilyenkor a program az összes fertőzött fájlt megtisztítja. Mivel e szint választása akár érvényes fájlok elvesztésével is járhat, csak bizonyos helyzetekben tanácsos azt alkalmazni.
Helyi meghajtók – Az összes helyi meghajtó ellenőrzése Cserélhető adathordozó – Hajlékonylemezek, USB-tárolóeszközök stb. ellenőrzése Hálózati meghajtók – Az összes csatlakoztatott meghajtó ellenőrzése Ajánlott az alapértelmezett beállításokat megtartani, és csak bizonyos esetekben módosítani – például amikor egyes adathordozók ellenőrzése jelentősen lassítja az adatátvitelt. 4.1.1.1.2
Ellenőrzés (esemény hatására történő ellenőrzés)
A program alapértelmezés szerint minden fájlt ellenőriz azok megnyitásakor, végrehajtásakor vagy létrehozásakor. Ajánlott az alapértelmezett beállítások megtartása, amelyek biztosítják a számítógép maximális szintű valós idejű védelmét. A Lemezekhez való hozzáféréskor négyzet a hajlékonylemez rendszerindítási szektorának ellenőrzését biztosítja a meghajtó elérésekor. A Számítógép leállításakor négyzet segítségével a számítógép leállítása során ellenőrizhetők a merevlemez rendszerindítási szektorai. Napjainkban már ritkán találhatók vírusok a rendszerindítási szektorban, e beállításokat azonban ajánlott engedélyezett állapotban hagyni, mivel más forrásokban még mindig előfordulhatnak ilyen típusú fertőzések. 12
Megtisztítási szintek
4.1.1.3
Mikor érdemes módosítani a valós idejű védelem beállításain?
A valós idejű védelem a biztonságos rendszerek fenntartásának legfontosabb összetevője, ezért legyen körültekintő, ha módosítani szeretné a paramétereit. Azt javasoljuk, hogy ezt csak különleges esetekben tegye, például akkor, ha a beállítások miatt a program ütközik egy másik alkalmazással vagy egy másik vírusvédelmi program valós idejű víruskeresőjével. Telepítése után az ESET NOD32 Antivirus minden beállítást optimalizál, hogy a lehető legmagasabb szintű védelmet biztosítsa a rendszer számára. Az alapértelmezett beállítások visszaállításához kattintson a Valós idejű fájlrendszervédelem ablak (További beállítások > Vírus- és kémprogramvédelem > Valós idejű fájlrendszervédelem) jobb alsó részén található Alapbeállítás gombra. 4.1.1.4
A valós idejű védelem ellenőrzése
Ha meg szeretne bizonyosodni arról, hogy a valós idejű védelem működik és képes a vírusok észlelésére, használja az eicar.com nevű tesztfájlt, amely egy ártalmatlan, az összes víruskereső program által felismerhető speciális fájl. A fájlt az EICAR (European Institute for Computer Antivirus Research) vállalat hozta létre a víruskereső programok működésének tesztelése céljából. Az eicar.com fájl a következő helyről tölthető le: http://www.eicar.org/download/eicar.com. 4.1.1.5
Teendők, ha a valós idejű védelem nem működik
A következő fejezet a valós idejű védelem használata során esetleg előforduló problémákat és azok elhárítását ismerteti. A valós idejű védelem le van tiltva Ha a valós idejű védelmet egy felhasználó akaratlanul letiltotta, akkor azt újra aktiválni kell. A valós idejű védelem újbóli aktiválásához válassza a Beállítások > Védelmi modulok lehetőséget, majd a fő programablak Valós idejű fájlrendszervédelem csoportjában kattintson az Engedélyezés hivatkozásra. Ha a valós idejű védelem nem indul el a rendszer indításakor, annak oka valószínűleg az, hogy le van tiltva a Valós idejű fájlrendszervédelem automatikus indítása. A beállítás engedélyezéséhez válassza a További beállítások (F5) lehetőséget, és a további beállítások listájában kattintson a Valós idejű fájlrendszervédelem csomópontra. Az ablak alján található További beállítások csoportban ellenőrizze, hogy a Valós idejű fájlrendszervédelem automatikus indítása négyzet be van-e jelölve.
A valós idejű védelem nem észleli és nem tisztítja meg a fertőzéseket Győződjön meg arról, hogy a számítógépen nincs másik víruskereső program telepítve. Ha egyszerre két valós idejű védelmi szolgáltatást nyújtó eszköz van engedélyezve, azok ütközésbe kerülhetnek egymással. Ajánlatos eltávolítani a rendszerből az esetleges további víruskereső programokat. A valós idejű védelem nem indul el Ha a valós idejű védelem nem indul el rendszerindításkor (és be van jelölve a Valós idejű fájlrendszervédelem automatikus indítása jelölőnégyzet), annak oka a más programokkal való ütközés lehet. Ebben az esetben forduljon az ESET ügyfélszolgálatához. 4.1.2
E-mail védelem
Az E-mail védelem szolgáltatás a POP3 protokollon keresztül érkező e-mail kommunikációhoz biztosít ellenőrzést. A Microsoft Outlook alkalmazásba beépülő modul segítségével az ESET NOD32 Antivirus a levelezőprogramtól érkező minden kommunikáció ellenőrzésére képes (POP3, MAPI, IMAP, HTTP). A bejövő üzenetek vizsgálatakor a program a ThreatSense keresőmotor által biztosított összes kiterjesztett ellenőrzési módszert alkalmazza. Ez azt jelenti, hogy a kártékony programok észlelése még azelőtt megtörténik, hogy a program összevetné azokat a vírusdefiníciós adatbázissal. A POP3 protokollon keresztüli kommunikáció ellenőrzése a beépülő modultól függetlenül minden levelezőprogram esetén megtörténik. 4.1.2.1
POP3-ellenőrzés
A POP3 protokoll az e-mailek levelezőprogrammal való fogadásához leggyakrabban használt protokoll. Az ESET NOD32 Antivirus a használt levelezőprogramtól függetlenül biztosítja a protokoll védelmét. Az ellenőrzést biztosító modul automatikusan elindul az operációs rendszer indításakor, és azt követően is aktív marad a memóriában. A megfelelő működéshez győződjön meg arról, hogy a modul engedélyezve van. A POP3 ellenőrzésének automatikus végrehajtásához nincs szükség a levelezőprogram újrakonfigurálására. A modul alapértelmezés szerint a 110-es porton át folyó minden kommunikációs tevékenységet ellenőriz, de szükség esetén a vizsgálat további kommunikációs portokra is kiterjeszthető. A portszámokat vesszővel elválasztva kell megadni. A modul nem ellenőrzi a titkosított kommunikációt.
13
4.1.2.2
Integrálás a levelezőprogramokkal
Az ESET NOD32 Antivirus levelezőprogramokkal való integrálása révén fokozható az e-mailekben terjesztett kártékony kódok elleni aktív védelem. Támogatott levelezőprogram esetén ezen integráció engedélyezhető a programban. Az integráció aktiválása esetén az ESET NOD32 Antivirus levélszemétszűrő eszköztára közvetlenül bekerül a levelezőprogramba, hatékonyabbá téve ezzel az e-mailben történő kommunikáció védelmét. Az integrációs beállítások a Beállítások > Minden további beállítási lehetőség megtekintése > Egyéb beállítások > Integrálás a levelezőprogramokkal lehetőségen keresztül érhetők el. Itt aktiválhatja az integrációt a támogatott levelezőprogramokkal. A jelenleg támogatott levelezőprogramok közé tartozik a Microsoft Outlook, az Outlook Express, a Windows Mail, a Windows Live Mail és a Mozilla Thunderbird.
4.1.2.1.1
Kompatibilitás
Egyes levelezőprogramok esetén POP3-szűréssel kapcsolatos problémák fordulhatnak elő (például lassú internetkapcsolaton keresztül érkeznek az üzenetek, vagy időtúllépés történik az ellenőrzés miatt). Ilyen esetben próbálkozzon az ellenőrzés végrehajtási módjának a megváltoztatásával. Az ellenőrzés szintjének csökkentése kedvező hatással lehet a megtisztítási folyamat gyorsaságára. A POP3-szűrés ellenőrzési szintjének a módosításához válassza a Vírus- és kémprogramvédelem > E-mail védelem > POP3 > Kompatibilitás lehetőséget.
Ha a levelezőprogram használatakor a rendszer lassulását tapasztalja, jelölje be a beérkező levelek mappájának tartalomváltozása alapján indított ellenőrzés letiltása jelölőnégyzetet. Ilyen helyzet fordulhat elő, amikor a Kerio Outlook Connector tárolójából tölt le e-mailt. Az E-mail védelem szolgáltatás az E-mail védelem engedélyezése négyzet bejelölésével aktiválható a További beállítások (F5) > Vírusés kémprogramvédelem > E-mail védelem lapon.
Ha a Maximális hatékonyság engedélyezve van, a program eltávolítja a fertőzéseket a fertőzött üzenetekből, és az eredeti e-mail tárgya elé beszúrja a fertőzéssel kapcsolatos adatokat (a Törlés vagy a Megtisztítás beállítást aktiválni kell, illetve engedélyezni kell a teljes vagy az alapértelmezett megtisztítási szintet). Közepes kompatibilitás beállításával módosíthatja az üzenetek fogadásának módját. Az üzenetek továbbítása a levelezőprogramnak fokozatosan történik: az üzenet utolsó részének átvitelét követően a program ellenőrzi, hogy tartalmaz-e kártékony kódot. A fertőzések veszélye ugyanakkor ezen ellenőrzési szint esetén nagyobb. A megtisztítás szintje és az értesítések (az e-mailek tárgyához vagy szövegtörzséhez hozzáfűzött értesítő riasztások) kezelése megegyezik a maximális hatékonyságot biztosító beállítás esetén érvényes móddal. A Maximális kompatibilitás szint használatakor a program egy riasztási ablakban figyelmezteti a felhasználót, ha fertőzött üzenet érkezik. Ilyenkor a program nem jelenít meg adatokat a fertőzött fájlokról a kézbesített üzenetek tárgyában vagy szövegtörzsében, és nem távolítja el automatikusan a fertőzéseket. A fertőzéseket a felhasználónak kell törölnie a levelezőprogramból.
4.1.2.2.1
Értesítés hozzáfűzése az e-mailek törzséhez
Az ESET NOD32 Antivirus az általa ellenőrzött e-mailek tárgyához vagy törzséhez értesítést fűzhet. Ez a módszer növeli a címzettnek küldött üzenetek hitelességét, és fertőzés észlelése esetén hasznos információt nyújt arról, hogy a program hogyan akadályozta meg a fertőzés terjedését. A szolgáltatás beállításai a További beállítások > Vírus- és kémprogramvédelem > E-mail védelem lapon érhetők el. A program a fogadott és elolvasott e-mailekhez, valamint a kimenő e-mailekhez egyaránt hozzáfűzhet értesítést. A felhasználók eldönthetik, hogy az értesítést az összes e-mailhez vagy csak a fertőzött e-mailekhez szeretnék-e hozzárendelni, illetve egyikhez sem. Az ESET NOD32 Antivirus értesítéseket fűzhet a fertőzött üzenetek eredeti tárgyához is. Ehhez jelölje be az Értesítés beszúrása a fogadott fertőzött e-mailek tárgy mezőjébe és az Értesítés hozzáfűzése a kimenő fertőzött e-mailek tárgyához négyzetet. Az értesítések tartalma „A fertőzött e-mailek tárgyához hozzáfűzendő szöveg” mezőben módosítható. A fent említett módosításokkal automatizálható a fertőzött e-mailek szűrése, mivel a kérdéses e-mailek külön mappába helyezhetők át (ha a levelezőprogram ezt támogatja).
14
4.1.2.3
Fertőzések eltávolítása
Fertőzött e-mail érkezése esetén a program megjelenít egy riasztási ablakot. A riasztási ablakban szerepel a feladó neve, az e-mail és a fertőzés neve. Az ablak alsó részén a Megtisztítás, a Törlés vagy a Kihagyás gombra kattintással választhatja ki az észlelt objektumra vonatkozó műveletet. A legtöbb esetben ajánlatos a Megtisztítás vagy a Törlés lehetőséget választani. Speciális esetekben, ha meg szeretné kapni a fertőzött fájlt, választhatja a Kihagyás műveletet is. Ha az Automatikusan megtisztít beállítás van engedélyezve, a program csak egy tájékoztató ablakot jelenít meg, amelyben nincsenek a fertőzött objektumokra vonatkozó lehetőségek. 4.1.3
Webhozzáférés-védelem
Az internetelérés a személyi számítógépek alapvető szolgáltatásaihoz tartozik. Sajnos a kártevők is ezt használják ki a terjedéshez. Emiatt nagyon fontos a webhozzáférés-védelem engedélyezése. Kifejezetten javasoljuk, hogy jelölje be a Webhozzáférés-védelem engedélyezése négyzetet. A beállítás elérése: További beállítások (F5) > Vírus- és kémprogramvédelem > Webhozzáférés-védelem.
4.1.3.1.1
Címek kezelése
Ez a rész azt ismerteti, hogy miként tilthat le, engedélyezhet vagy zárhat ki az ellenőrzésből HTTP-címeket. A címlisták a Hozzáadás, a Szerkesztés, az Eltávolítás és az Exportálás gombbal kezelhetők. A tiltólistán szereplő webhelyeket nem fogja tudni elérni. A kizárt címek listáján szereplő webhelyek elérésekor a program nem ellenőrzi kártevők jelenlétét. Ha bejelöli a Hozzáférés engedélyezése csak az engedélyezett címek listájában szereplő HTTP-címekhez jelölőnégyzetet, akkor csak a listán szereplő címek lesznek elérhetők, és a program blokkolja a többi HTTP-címet.
4.1.3.1
HTTP, HTTPS
Mindegyik listában használhatók speciális szimbólumok, nevezetesen a * (csillag) és a ? (kérdőjel). A csillaggal tetszőleges karaktersor, a kérdőjellel pedig bármilyen szimbólum helyettesíthető. Az ellenőrzésből kizárt címek megadásakor különös figyelemmel járjon el, mert a listában csak megbízható és biztonságos címek szerepelhetnek. Szintén fontos, hogy a * és a ? szimbólumot megfelelően használja a listában. Lista aktiválásához jelölje be a Lista aktiválása jelölőnégyzetet. Ha értesítést szeretne megjeleníteni az aktuális listán szereplő cím beírásakor, jelölje be az Értesítés a listában szereplő címek alkalmazásakor jelölőnégyzetet.
A webhozzáférés-védelem a böngészők és a távoli szerverek közötti kommunikációt figyelve működik, és támogatja a HTTP- (Hypertext Transfer Protocol) és a HTTPS- (titkosított kommunikáció) alapú szabályokat. Az ESET NOD32 Antivirus alapértelmezés szerint a legtöbb böngésző szabványainak használatára konfigurálva van. Lehetőség van ugyanakkor a HTTP protokollt figyelő víruskereső beállításainak módosítására a Webhozzáférés-védelem > HTTP, HTTPS lapon. A fő HTTP-szűrő ablakban bejelölheti a HTTP-forgalom ellenőrzésének engedélyezése jelölőnégyzetet, vagy törölheti abból a jelölést. A HTTP-kommunikációhoz használt portszámokat is definiálhatja. Alapértelmezés szerint a 80-as, a 8080-as és a 3128as portszám van előre megadva. A HTTPS-ellenőrzés az alábbi üzemmódokban hajtható végre: HTTPS-protokollszűrés mellőzése A víruskereső nem ellenőrzi a titkosított kommunikációt. HTTPS-protokollszűrés a kijelölt portok esetén Csak a HTTPS protokoll által használt portok esetén történik ellenőrzés. HTTPS-protokollszűrés a kijelölt portokat használó, böngészőként megjelölt alkalmazások esetén A víruskereső csak a böngészők szakaszában és „A HTTPS protokoll által használt portok” mezőben megadott alkalmazásokat ellenőrzi.
4.1.3.1.2
Aktív üzemmód
Az ESET NOD32 Antivirus Aktív üzemmód szolgáltatása lehetővé teszi a felhasználó számára annak meghatározását, hogy az adott alkalmazás böngésző-e vagy sem. Ha egy alkalmazást a felhasználó böngészőként jelöl meg, a program az adott alkalmazásból származó minden kommunikációt figyelni fog függetlenül attól, hogy abban mely portszámok érintettek.
15
Az Aktív üzemmód szolgáltatás kiegészíti a HTTP-forgalmat ellenőrző szolgáltatást, mivel ez utóbbi csak előre definiált portokon megy végbe. Számos internetes szolgáltatás ugyanakkor hasznosítja a dinamikusan változó vagy ismeretlen portszámokat. Emiatt az Aktív üzemmód szolgáltatás a kapcsolat paramétereitől függetlenül képes vezérelni a portokon keresztüli kommunikációt.
A böngészőként megjelölt alkalmazások listája közvetlenül elérhető a HTTP ág Aktív üzemmód almenüjéből. Ebben a részben megtalálható az Aktív üzemmód csomópont is, amelyre kattintva meghatározható az internetes böngészők ellenőrzésének módja. Az Aktív üzemmód azért hasznos, mert segítségével egészében vizsgálhatók az átvitt adatok. Ha ez az üzemmód nincs engedélyezve, az alkalmazások kommunikációjának figyelése fokozatosan, kötegek formájában történik. Ezzel csökken az adat-ellenőrzési folyamat hatékonysága, nagyobb kompatibilitás biztosítható ugyanakkor a felsorolt alkalmazásokhoz. Ha a használat során nem fordul elő probléma, az adott alkalmazás mellett található négyzet bejelölésével ajánlott engedélyezni az aktív ellenőrzési üzemmódot.
4.1.4.1
Az ellenőrzés típusa
Két típusú ellenőrzés áll rendelkezésre. Az Optimalizált ellenőrzés hivatkozással gyorsan ellenőrizhető a rendszer anélkül, hogy az ellenőrzési paraméterek további konfigurációjára lenne szükség. Egyéni ellenőrzés esetén választhat az előre definiált ellenőrzési profilok közül, és arra is lehetősége van, hogy ellenőrizendő célterületeket jelöljön ki a fastruktúrában.
4.1.4.1.1
Optimalizált ellenőrzés
Az optimalizált ellenőrzés egy felhasználóbarát módszer, amely lehetővé teszi a számítógép ellenőrzésének gyors elindítását, valamint a fertőzött fájlok felhasználói beavatkozás nélküli megtisztítását. Fő előnyei közé tartozik az egyszerű kezelhetőség, valamint az, hogy használatához nincs szükség az ellenőrzés részletes konfigurálására. Az optimalizált ellenőrzés a helyi meghajtókon lévő összes fájlt ellenőrzi, és automatikusan megtisztítja vagy törli az észlelt fertőzéseket. A megtisztítás szintje automatikusan az alapértelmezett értékre van állítva. A megtisztítás típusairól a Megtisztítás című témakörben olvashat bővebben (lásd a 19. oldalt). Az optimalizált ellenőrzési profil használata azon felhasználók számára ajánlott, akik gyorsan és egyszerűen szeretnék ellenőrizni a számítógépüket. A profil részletes konfiguráció szükségessége nélkül kínál hatékony ellenőrzési és megtisztítási megoldást. 4.1.4.1.2
Egyéni ellenőrzés
Az egyéni ellenőrzés optimális megoldás, ha be szeretné állítani az ellenőrzés paramétereit (például a célterületeket vagy az ellenőrzési módszereket). Az egyéni ellenőrzés előnye a paraméterek részletes konfigurálásának lehetősége. A beállított paraméterek felhasználó által definiált ellenőrizési profilokba menthetők, ami az ugyanazon beállításokkal végzett gyakori ellenőrzések során lehet hasznos. 4.1.4
Számítógép ellenőrzése
Ha felmerül a gyanú, hogy a számítógép megfertőződött (a szokásostól eltérő módon viselkedik), kézi indítású számítógép-ellenőrzés futtatásával ellenőrizheti, hogy nincsenek-e jelen kártevők. Biztonsági szempontból fontos, hogy számítógép-ellenőrzéseket ne csak fertőzés gyanúja esetén futtasson, hanem rendszeres időközönként, a szokásos biztonsági intézkedések részeként. Rendszeres ellenőrzéssel biztosítható az olyan fertőzések észlelése, melyeket a valós idejű ellenőrzés nem ismert fel azok lemezre mentésekor. Ez akkor történhet meg, ha a fertőzés időpontjában le volt tiltva a valós idejű ellenőrzés, vagy elavult volt a vírusdefiníciós adatbázis. A kézi indítású számítógép-ellenőrzést ajánlatos legalább havonta egyszer vagy kétszer elvégezni. Az ellenőrzés ütemezett feladatként is konfigurálható az Eszközök > Feladatütemező lehetőséget választva. 16
Az ellenőrizendő célterületek kijelöléséhez használja a gyors kijelölést lehetővé tevő legördülő menüt, vagy jelölje ki az objektumokat a számítógépen található eszközöket felsoroló fastruktúrában. A Beállítások > Megtisztítás lehetőséget választva három megtisztítási szint közül választhat. A számítógép egyéni ellenőrzése a víruskereső programokkal kapcsolatban tapasztalattal rendelkező felhasználóknak ajánlott. 4.1.4.2
Ellenőrizendő célterületek
Az Ellenőrizendő célterületek legördülő menüben kijelölhető, hogy a program mely fájlokon, mappákon, illetve eszközökön (lemezeken) hajtson végre vírusellenőrzést. A menüben a következő célterületeket állíthatja be:
Profilbeállítások alapján – A kijelölt ellenőrzési profilban megadott célterületek ellenőrzése Cserélhető adathordozó – Hajlékonylemezek, USB-tárolóeszközök, CD/DVD ellenőrzése Helyi meghajtók – Az összes helyi meghajtó ellenőrzése Hálózati meghajtók – A csatlakoztatott hálózati meghajtók ellenőrzése Nincs kiválasztás – Egyetlen célterületen sincs ellenőrzés
Példa: Tegyük fel, hogy saját ellenőrzési profilt szeretne létrehozni, és az Optimalizált ellenőrzés nevű profilhoz rendelt konfiguráció részben megfelel az elképzeléseinek. Nem kívánja ellenőrizni ugyanakkor a futtatás közbeni tömörítőket vagy a veszélyes alkalmazásokat, valamint az Automatikusan megtisztít beállítást szeretné alkalmazni. A Konfigurációs profilok ablakban kattintson a Hozzáadás gombra. Írja be az új profilnevet a Profil neve mezőbe, és jelölje ki az Optimalizált ellenőrzés elemet a Beállítások másolása a következő profilból legördülő menüben. Ezt követően módosítsa a további paramétereket az igényeinek megfelelően. 4.1.5
Protokollszűrés
A POP3 és a HTTP protokoll vírusok elleni védelmét a ThreatSense keresőmotor biztosítja, amely zökkenőmentesen integrálja az összes fejlett kártevőkereső technológiát. Az ellenőrzés az alkalmazott böngészőtől vagy levelezőprogramtól függetlenül automatikusan működik. A protokollszűréshez az alábbi beállítások közül választhat (ha be van jelölve a Protokollszűrés engedélyezése jelölőnégyzet): HTTP- és POP3-portok – A kommunikáció szűrését az ismert HTTP- és POP3-portokra korlátozza. Böngészőként és levelezőprogramként megjelölt alkalmazások – Jelölje be ezt a jelölőnégyzetet, ha a böngészőként (Webhozzáférésvédelem > HTTP, HTTPS > Aktív üzemmód) és levelezőprogramként (E-mail védelem > POP3, POP3S > Kompatibilitás) megjelölt alkalmazásokra szeretné korlátozni a szűrést. Böngészőként és levelezőprogramként megjelölt alkalmazások és portok – a víruskereső a portok és a böngészők esetén is keresi a kártevőket. Megjegyzés A Windows Vista Service Pack 1 és a Windows Server 2008 rendszer óta a kommunikáció szűrése új módszerrel történik. Ennek következtében a Protokollszűrés rész már nem érhető el. Az ellenőrizendő célterületek pontosabban is definiálhatók az ellenőrzésben szerepeltetni kívánt mappa vagy fájl(ok) elérési útjának megadásával. Az ellenőrizendő célterületeket a számítógépen rendelkezésre álló összes eszközt felsoroló, fastruktúrás listából is kiválaszthatja. 4.1.4.3
Ellenőrzési profilok
A gyakran használt számítógép-ellenőrzési paraméterek profilokba menthetők. Az ellenőrzési profilok létrehozásának előnye, hogy azok a jövőben rendszeres időközönként felhasználhatók az ellenőrzéshez. Tanácsos annyi profilt létrehozni (különféle ellenőrizendő célterülettel, ellenőrzési módszerrel és más paraméterekkel), amennyit a felhasználó rendszeresen használ.
4.1.5.1
SSL
Az ESET NOD32 Antivirus 4 lehetővé teszi az SSL protokollba beágyazott protokollok szűrését. Számos ellenőrzési módszert használhat az SSL protokollal védett kommunikációhoz, beleértve a megbízható, az ismeretlen vagy az SSL protokollal védett kommunikáció ellenőrzéséből kizárt tanúsítványokat. Az SSL protokoll ellenőrzése minden esetben – Jelölje be ezt a választógombot, ha az ellenőrzésből kizárt tanúsítványokkal védett kommunikáció kivételével az SSL protokoll által védett összes kommunikációt ellenőrizni szeretné. Ismeretlen, aláírt tanúsítványt használó új kommunikáció létesítésekor a felhasználó nem kap értesítést, és a kommunikációt a program automatikusan szűrni fogja. Ha a felhasználó által megbízhatóként megjelölt (a megbízható tanúsítványok listájához hozzáadott) nem megbízható tanúsítvánnyal rendelkező szervert ér el, a program engedélyezi a kommunikációt a szerverrel, és szűri a kommunikációs csatorna tartalmát. Rákérdezés a nem látogatott helyekre (kivételek megadhatók) – Ha SLL protokollal védett új helyet ad meg (ismeretlen tanúsítvánnyal), megjelenik egy művelet-kiválasztási párbeszédpanel. Ez a mód lehetővé teszi az ellenőrzésből kizárt SSL tanúsítványok listájának létrehozását.
A jövőbeli ellenőrzésekhez gyakran használni kívánt új profilok létrehozásához keresse meg a További beállítások (F5) > Kézi indítású számítógép-ellenőrzés lehetőséget. A jobb oldali Profilok gombra kattintva jelenítse meg a meglévő ellenőrzési profilok listáját, illetve az új profil létrehozására szolgáló lehetőséget. A következő, a ThreatSense keresőmotor beállításai című részben az ellenőrzés beállításához használható minden egyes paraméter leírása megtalálható. E leírások segíthetnek az igényeknek megfelelő ellenőrzési profilok létrehozásában.
Az SSL protokoll ellenőrzésének mellőzése – Ha bejelöli ezt a választógombot, a program nem ellenőrzi az SSL protokollon keresztül történő kommunikációt. Ha a tanúsítvány nem ellenőrizhető a Megbízható legfelső szintű hitelesítésszolgáltatók listájával Kérdezzen rá a tanúsítvány érvényességére – A választógomb bejelölése esetén a program egy elvégzendő művelet kiválasztására kéri a felhasználót. 17
Tiltsa le a tanúsítványt használó kommunikációt – A program megszünteti a tanúsítványt használó webhellyel a kapcsolatot. Ha a tanúsítvány érvénytelen vagy sérült Kérdezzen rá a tanúsítvány érvényességére – A választógomb bejelölése esetén a program egy elvégzendő művelet kiválasztására kéri a felhasználót. Tiltsa le a tanúsítványt használó kommunikációt – A program megszünteti a tanúsítványt használó webhellyel a kapcsolatot. 4.1.5.1.1
Megbízható tanúsítványok
A beépített Megbízható legfelső szintű hitelesítésszolgáltatók listáján kívül (ahol az ESET NOD32 Antivirus 4 a megbízható tanúsítványokat tárolja), létrehozhatja a megbízható tanúsítványok egyéni listáját, amely a Beállítások (F5) > Protokollszűrés > SSL > Megbízható tanúsítványok lehetőséget választva érhető el. 4.1.5.1.2
Kizárt tanúsítványok
A Kizárt tanúsítványok csomópontból megnyitható lista tartalmazza a biztonságosnak tartott tanúsítványokat. A program nem ellenőrzi a listában szereplő tanúsítványokat használó titkosított kommunikációk tartalmát. Javasoljuk, hogy csak azokat a valóban megbízható webes tanúsítványokat telepítse, amelyekhez nem szükséges a tartalom szűrése. 4.1.6
4.1.6.1
Ellenőrizendő objektumok
Az Ellenőrizendő objektumok csoportban megadható, hogy a program a rendszer mely elemeit, illetve milyen típusú fájlokat ellenőrizzen. Műveleti memória – A rendszer műveleti memóriáját célzó kártevők ellenőrzése Rendszerindítási szektorok – A rendszerindítási szektorok ellenőrzése Fájlok – A gyakori fájltípusok (programok, képek, hang- és videofájlok, adatbázisfájlok stb.) ellenőrzése E-mail fájlok – Az e-maileket tároló speciális fájlok ellenőrzése Tömörített fájlok – A tömörített fájlokba csomagolt fájlok ellenőrzése (.rar, .zip, .arj, .tar stb.) Önkicsomagoló tömörített fájlok – Az önkicsomagoló tömörített (általában .exe kiterjesztéssel rendelkező) fájlokba csomagolt fájlok ellenőrzése Futtatás közbeni tömörítők – A normál statikus tömörítőkön (UPX, yoda, ASPack, FGS stb.) kívül (a normál tömörítettfájl-típusoktól eltérően) a fájlokat a memóriába tömörítő, futtatás közbeni tömörítők ellenőrzése
A ThreatSense keresőmotor beállításai
A ThreatSense egy komplex, proaktív észlelési módszereket tartalmazó technológia neve, amely az új kártevők elterjedésének korai szakaszában is védelmet nyújt. Számos módszer (kódelemzés, kódemuláció, általános definíciók, vírusdefiníciók) összehangolt alkalmazásával jelentős mértékben növeli a rendszer biztonságát. A keresőmotor több adatfolyam egyidejű ellenőrzésére képes a hatékonyság és az észlelési arány maximalizálása érdekében. A ThreatSense technológia a rootkiteket is sikeresen észleli és eltávolítja. A technológia beállítási lehetőségeivel több ellenőrzési paraméter is megadható, többek között az alábbiak: •
Az ellenőrizendő fájltípusok és kiterjesztések
•
Különböző észlelési módszerek kombinációja
•
A megtisztítás mértéke stb.
A beállítási ablak megnyitásához a ThreatSense technológiát alkalmazó bármely modul (lásd alább) beállítási ablakában kattintson a Beállítások gombra. A különböző biztonsági körülmények eltérő konfigurációkat igényelhetnek, ezért a ThreatSense külön konfigurálható az alábbi védelmi modulokhoz: •
Valós idejű fájlrendszervédelem
•
Dokumentumvédelem
•
E-mail védelem
•
Webhozzáférés-védelem
•
Kézi indítású számítógép-ellenőrzés
A ThreatSense keresőmotor beállításai minden modulhoz nagymértékben optimalizáltak, és módosításuk jelentősen befolyásolhatja a rendszer működését. Ha például engedélyezi, hogy a program mindig ellenőrizze a futtatás közbeni tömörítőket, vagy bekapcsolja a kiterjesztett heurisztikát a Valós idejű fájlrendszervédelem modulban, a rendszer lelassulhat (a program normál esetben ezekkel a módszerekkel csak az újonnan létrehozott fájlokat ellenőrzi). Ezért azt javasoljuk, hogy a Számítógép ellenőrzése kivételével az összes modulban hagyja meg a ThreatSense paramétereinek alapértelmezett értékét. 18
4.1.6.2
Beállítások
A Beállítások csoportban a felhasználó kiválaszthatja a rendszer ellenőrzésekor használandó módszereket. A választható lehetőségek az alábbiak:
Vírusdefiníciók használata – A vírusdefiníciók alapján gyorsan és megbízhatóan ismerhetők fel a vírusdefiníciós adatbázisban már szereplő kártevők.
Alapheurisztika használata – Az alapheurisztika a programok (kártékony) tevékenységének elemzésére szolgáló algoritmus. Fő előnye, hogy a korábbi vírusdefiníciós adatbázisban még nem létező, illetve nem ismert kártevőket is képes felismerni. Kiterjesztett heurisztika használata – A kiterjesztett heurisztika az ESET által kifejlesztett egyedi heurisztikus algoritmusból áll, amelyet a magas szintű programozási nyelveken írt számítógépes férgek és trójai programok észlelésére optimalizáltak. A kiterjesztett heurisztika megfelelő alkalmazásával a program hatékonyabban védi a számítógépet. Reklámprogramok, kémprogramok és biztonsági kockázatot jelentő programok keresése – Ez a kategória olyan szoftvereket tartalmaz, melyek a felhasználókról gyűjtenek különböző bizalmas információkat, a beleegyezésük nélkül. A kategória a reklámanyagokat megjelenítő szoftvereket is magában foglalja. Veszélyes alkalmazások keresése – A veszélyes alkalmazások kategóriája a kereskedelemben kapható, törvényes szoftvereket tartalmazza. Olyan programok (például a távoli elérésre szolgáló eszközök) tartoznak ebbe a kategóriába, amelyek rossz szándékkal kihasználhatók például a felhasználók adatainak ellopására, így veszélyt jelenthetnek a számukra. A beállítás alapértelmezés szerint le van tiltva, ezért az ilyen kereskedelmi programok felismerése nem történik meg.
4.1.6.4
Kéretlen alkalmazások keresése – A kéretlen alkalmazások nem feltétlenül kártevők, de befolyásolhatják a számítógép teljesítményét. Ezek az alkalmazások általában engedélyt kérnek a telepítésükhöz. Miután a számítógépre kerülnek, a rendszer a telepítésük előtti állapotához képest eltérően kezd viselkedni. A legjelentősebb változások közé tartozik például a nem kívánt előugró ablakok megjelenése, a rejtett folyamatok aktiválása és futtatása, a rendszererőforrások nagyobb mértékű igénybevétele, a keresési eredmények módosulása, valamint a felhasználó tudta nélkül távoli szerverekkel kommunikáló alkalmazások futtatása.
A program alapértelmezés szerint kiterjesztéstől függetlenül az összes fájlt ellenőrzi. Az ellenőrzésből kizárt fájlok listájára bármilyen kiterjesztés felvehető. Ha nincs bejelölve a Minden fájl ellenőrzése négyzet, a lista az összes ellenőrzött fájlkiterjesztést megjeleníti. A Hozzáadás és az Eltávolítás gombbal engedélyezheti vagy letilthatja a kívánt kiterjesztések ellenőrzését.
4.1.6.3
Megtisztítás
A megtisztítási beállítások a víruskereső működését határozzák meg a fertőzött fájlok megtisztítása során. Az alábbi három megtisztítási szint létezik: Mindig rákérdez A program nem tisztítja meg automatikusan a fertőzött fájlokat, hanem megjelenít egy figyelmeztető ablakot, és a felhasználó választhat a műveletek közül. Alapértelmezett szint A program megkísérli a fertőzött fájlok automatikus megtisztítását vagy törlését. Ha a megfelelő eljárás nem választható ki automatikusan, akkor a program felkínálja a végrehajtható műveleteket. A választható műveletek akkor is megjelennek, ha egy előre definiált műveletet nem lehetett végrehajtani. Automatikusan megtisztít A program az összes fertőzött fájlt (köztük a tömörített fájlokat is) megtisztítja vagy törli. Az egyedüli kivételek a rendszerfájlok. Ha megtisztításukra nincs mód, egy figyelmeztető párbeszédpanel jelenik meg, amelyen a felhasználó kiválaszthatja a kívánt műveletet. Figyelmeztetés: Az alapértelmezett megtisztítási szint használata esetén a program csak akkor törli a teljes tömörített fájlt, ha az abban található összes fájl fertőzött. Ha a tömörített fájl megbízható fájlokat is tartalmaz, a program nem törli azt. Automatikus megtisztítási üzemmódban azonban törli a teljes fájlt, még abban az esetben is, ha nem fertőzött fájlokat is tartalmaz.
Kiterjesztések
A kiterjesztés a fájlnév ponttal elválasztott része. A kiterjesztés határozza meg a fájl típusát és tartalmát. A ThreatSense keresőmotor beállításai lap e részén definiálhatók az ellenőrizendő fájlok típusai.
A kiterjesztés nélküli fájlok ellenőrzésének engedélyezéséhez jelölje be a Kiterjesztés nélküli fájlok ellenőrzése jelölőnégyzetet. Egyes fájlok ellenőrzésből való kizárása akkor lehet hasznos, ha bizonyos fájltípusok ellenőrzése az adott kiterjesztéseket használó program helytelen működéséhez vezet. MS Exchange-szerver használata esetén érdemes lehet például kizárni az .edb, az .eml és a .tmp kiterjesztésű fájlokat az ellenőrzésből. 4.1.6.5
Korlátok
A Korlátok részben megadhatja az ellenőrizendő objektumok maximális méretét és a többszörösen tömörített fájlok maximális szintjét: Maximális objektumméret Az ellenőrizendő objektumok maximális méretének megadására szolgál. Az adott víruskereső modul csak a megadott méretnél kisebb objektumokat fogja ellenőrizni. Az alapértelmezett érték módosítására általában nincs szükség, ezért nem javasoljuk azt. A beállítás módosítása csak olyan tapasztalt felhasználóknak javasolt, akik megfelelő indokkal rendelkeznek a nagyobb méretű objektumok ellenőrzésből való kizárásához. Objektumok ellenőrzésének maximális időtartama (mp.) Itt adhatja meg az objektumok ellenőrzésének maximális időtartamát. Felhasználó által megadott érték esetén a víruskereső modul leállítja az objektum ellenőrzését függetlenül attól, hogy az ellenőrzés befejeződött-e, vagy sem. Többszörösen tömörített fájlok maximális szintje Itt adhatja meg a tömörített fájlok ellenőrzésének maximális mélységét. Nem javasoljuk az alapértelmezett érték (10) módosítását; erre normál körülmények között nincs szükség. Ha az ellenőrzés a többszörösen tömörített fájlok száma miatt idő előtt megszakad, a tömörített fájl ellenőrizetlen marad. Tömörített fájlok maximális mérete Itt adhatja meg az ellenőrizendő tömörített fájlok közt található fájlok (kibontás utáni) maximális méretét. Ha egy tömörített fájl ellenőrzése a mérete miatt idő előtt megszakad, a tömörített fájl ellenőrizetlen marad. 19
4.1.6.6
Egyéb
Változó adatfolyamok (ADS) ellenőrzése Az NTFS fájlrendszer által használt változó adatfolyamok olyan fájl- és mappatársítások, amelyek a szokásos ellenőrzési technikák számára láthatatlanok maradnak. Számos fertőzés azzal próbálja meg elkerülni az észlelést, hogy változó adatfolyamként jelenik meg. Háttérben futó ellenőrzések indítása alacsony prioritással Minden ellenőrzés adott mennyiségű rendszererőforrást használ fel. Ha a használt programok jelentősen leterhelik a rendszererőforrásokat, az alacsony prioritású háttérellenőrzés aktiválásával erőforrásokat takaríthat meg az alkalmazások számára.
A fertőzéseknek a programmal történő kezelését szemléltető általános példaként tételezzük fel, hogy az alapértelmezett megtisztítási szintet alkalmazó valós idejű fájlrendszerfigyelő fertőzést talál. Ilyenkor az eszköz megkísérli a fájl megtisztítását vagy törlését. Ha a valós idejű védelmi modulhoz nincs előre definiálva az elvégzendő művelet, a program egy riasztási ablakban kéri annak kiválasztását. Rendszerint a Megtisztítás, a Törlés és a Kihagyás lehetőség áll rendelkezésre. Nem tanácsos a Kihagyás lehetőséget választani, mert a fertőzött fájlok ebben az esetben változatlanok maradnak. Kivételnek számít az a helyzet, ha az adott fájl biztosan ártalmatlan, és a program hibásan észlelte azt fertőzöttnek.
Minden objektum naplózása Ha bejelöli ezt a jelölőnégyzetet, a program nemcsak a fertőzött fájlokat, hanem az összes ellenőrzött fájlt meg fogja jeleníteni a naplóban. Utolsó hozzáférés időbélyegének megőrzése Jelölje be ezt a jelölőnégyzetet, ha a frissítés helyett meg szeretné őrizni az ellenőrzött fájlok eredeti hozzáférési idejét (például az adatok biztonsági mentését végző rendszerekkel való használathoz). Napló görgetése Ezzel a jelölőnégyzettel engedélyezheti, illetve letilthatja a napló görgetését. Ha bejelöli, az adatokat függőleges irányban görgetheti a megjelenítési ablakban. Összegzés megjelenítése új ablakban az ellenőrzés végén Ha bejelöli ezt a jelölőnégyzetet, a program külön ablakot nyit meg az ellenőrzési eredmények megjelenítéséhez.
Megtisztítás és törlés Megtisztítást akkor érdemes alkalmazni, ha egy nem fertőzött fájlt megtámadott egy olyan vírus, amely kártékony kódot csatolt a fájlhoz. Ilyen esetben először a fertőzött fájlt megtisztítva kísérelje meg visszaállítani annak eredeti állapotát. Ha a fájl kizárólag kártékony kódból áll, akkor a program törli azt. Ha egy fertőzött fájl „zárolva” van, vagy ha azt éppen egy rendszerfolyamat használja, annak törlése rendszerint csak a feloldás (általában a rendszer újraindítása) után történik meg.
4.1.7
Fertőzés észlelése
A fertőzések számos különböző ponton – például weboldalakról, megosztott mappákból, e-mailen keresztül vagy cserélhető számítógépes eszközökről (USB-eszközökről, külső lemezekről, CD-kről, DVD-kről, hajlékonylemezekről stb.) – juthatnak be a rendszerbe. Ha a számítógép fertőzés jeleit mutatja, azaz működése lelassul, gyakran lefagy stb., ajánlott elvégeznie az alábbiakat: •
Nyissa meg az ESET NOD32 Antivirus programot, és válassza a Számítógép ellenőrzése almenüt.
•
Kattintson az Optimalizált ellenőrzés hivatkozásra (további információért lásd: Optimalizált ellenőrzés).
•
Az ellenőrzés végeztével a naplóban megtekintheti az ellenőrzött, a fertőzött és a megtisztított fájlok számát.
Ha csak a lemez egy bizonyos részét kívánja ellenőrizni, kattintson az Egyéni ellenőrzés hivatkozásra, és a víruskereséshez jelölje ki az ellenőrizendő célterületeket. 20
Tömörített fájlokban lévő fájlok törlése Az alapértelmezett megtisztítási szint használata esetén a program csak akkor törli a kártevőt tartalmazó teljes tömörített fájlt, ha az kizárólag fertőzött fájlokat tartalmaz. Más szóval a program nem törli a tömörített fájlokat abban az esetben, ha azok ártalmatlan, nem fertőzött fájlokat is tartalmaznak. Az automatikus megtisztítással járó ellenőrzés végrehajtásakor azonban körültekintően kell eljárni, ekkor ugyanis a program a tömörített fájlt a benne lévő további fájlok állapotától függetlenül akkor is törli, ha csak egyetlen fertőzött fájlt tartalmaz. 4.2 A program frissítése A program által nyújtott maximális biztonság elérésének alapfeltétele annak rendszeres frissítése. A frissítési modul biztosítja a program folyamatos naprakész állapotát. Ez két lépésben érhető el: a vírusdefiníciós adatbázis és a rendszerösszetevők frissítésével. A frissítés aktuális állapotáról (beleértve a vírusdefiníciós adatbázis aktuális verzióját, valamint frissítésének szükségességét) a Frissítés ikonra kattintva tájékozódhat. A megjelenő ablakban található – Vírusdefiníciós adatbázis frissítése – hivatkozás segítségével azonnal aktiválhatja a folyamatot, emellett megadhatja az alapvető frissítési beállításokat is (például a frissítési szerverekhez tartozó felhasználónevet és jelszót).
Az információs ablakban látható ezen kívül az utolsó sikeres frissítés időpontja és a vírusdefiníciós adatbázis száma is. Ez a verziószámjelzés egy hivatkozás az ESET webhelyére, ahol az adott frissítéssel hozzáadott vírusdefiníciók olvashatók. A Licencvásárlás és aktiválás hivatkozásra kattintva a megjelenő regisztrációs űrlap segítségével regisztrálhat, amelyet követően az ESET elküldi a hitelesítési adatokat.
4.2.1.1
Frissítési profilok
A felhasználók a többféle frissítési konfiguráció érdekében az egyes frissítési feladatokhoz eltérő frissítési profilokat hozhatnak létre. A különféle frissítési profilok létrehozása különösen mobil felhasználók számára hasznos, akiknél az internetkapcsolat tulajdonságai gyakran változnak. A frissítési feladat módosításával a mobil felhasználók megadhatják, hogy ha a program nem frissíthető a Saját profil konfigurációjával, akkor a frissítés egy másik profil használatával történjen. A Kiválasztott profil legördülő menüben a jelenleg kiválasztott profil látható. Alapértelmezés szerint a bejegyzés értéke a Saját profil. Új profil létrehozásához kattintson a Profilok, majd a Hozzáadás gombra, és a Profil neve mezőbe írja be a saját profilnevét. Új profil létrehozásakor átmásolhatja egy meglévő profil beállításait, ha kijelöli azt a Beállítások másolása a következő profilból legördülő menüben.
Megjegyzés: a felhasználónevet és a jelszót az ESET bocsátja rendelkezésére a program megvásárlását követően. 4.2.1
A frissítés beállításai
A frissítés beállításainál adhatja meg a frissítés forrásának beállításait, például a frissítési szervereket és a hozzájuk tartozó hitelesítési adatokat. Alapértelmezés szerint a Frissítési szerver mezőhöz az Automatikus kiválasztás van beállítva. Ez az érték biztosítja, hogy a program az ESET legkisebb hálózati terhelésű szerveréről töltse le a frissítési fájlokat. A frissítés beállításai a További beállítások (F5) fastruktúra Frissítés csomópontjában találhatók.
A profil beállításai között megadhatja azt a frissítési szervert, amelyről a program letölti a frissítéseket. Használhatja a rendelkezésre álló szerverek listájának bármelyik elemét, vagy megadhat új szervert. A jelenleg meglévő frissítési szerverek listája a Frissítési szerver legördülő menüben található. Új frissítési szerver hozzáadásához a kiválasztott profilhoz tartozó frissítési beállítások csoportban kattintson a Szerkesztés, majd a Hozzáadás gombra. 4.2.1.2
További frissítési beállítások
A további frissítési beállítások megjelenítéséhez kattintson a Beállítások gombra. A további frissítési beállítások közé tartoznak a Frissítési mód, a HTTP-proxy, a Helyi hálózat és a Tükrözés beállításai. 4.2.1.2.1
Frissítési mód
A Frissítési mód lapon találhatók a programösszetevők frissítéséhez kapcsolódó beállítások. A Programösszetevők frissítése csoportban három választógomb közül választhat:
Az aktuális frissítési szerverek listája a Frissítési szerver legördülő menüben érhető el. Új frissítési szerver hozzáadásához a kiválasztott profilhoz tartozó frissítési beállítások csoportban kattintson a Szerkesztés, majd a Hozzáadás gombra. A frissítési szerverekhez való hozzáférési hitelesítést a felhasználónév és a jelszó biztosítja, amelyeket a terméklicenc megvásárlása után az ESET hoz létre és küld el a felhasználónak.
•
Programösszetevő-frissítés kikapcsolása
•
A programösszetevők frissítésének végrehajtása minden esetben
•
Programösszetevők letöltésének felajánlása, ha van új verzió
A Programösszetevő-frissítés kikapcsolása választógomb bejelölése biztosítja, hogy a program nem tölti le az ESET által kiadott új programösszetevő-frissítéseket, így az adott munkaállomáson nem történik programösszetevő-frissítés. A programösszetevők frissítésének végrehajtása minden esetben választógombot bejelölve az alkalmazás programösszetevő-frissítést hajt végre minden olyan alkalommal, amikor az ESET frissítési szerverein új frissítés jelenik meg, tehát a programösszetevők mindig frissülnek a letöltött verzióra. A harmadik választógomb, a Programösszetevők letöltésének felajánlása, ha van új verzió bejelölése esetén a program a felhasználó jóváhagyását kéri a programösszetevők letöltéséhez, amikor azok 21
elérhetővé válnak. Ilyenkor egy, az elérhető programösszetevőfrissítések adatait tartalmazó párbeszédpanel jelenik meg, jóváhagyó és elutasító lehetőségekkel. Jóváhagyás esetén a program letölti a frissítéseket, és telepíti az új összetevőket. Az alapértelmezett frissítési beállítás a Programösszetevők letöltésének felajánlása, ha van új verzió.
A Proxyszerver használatának mellőzése választógomb bejelölésével beállíthatja, hogy a program ne használjon proxyszervert a frissítéshez.
A programösszetevő-frissítések telepítése után előfordulhat, hogy a modulok megfelelő működéséhez a számítógép újraindítása szükséges. Az Újraindítás a programösszetevők frissítése után csoportban a következő lehetőségek közül választhat: •
Automatikus újraindítás kikapcsolása
•
A számítógép újraindításának felajánlása, ha szükséges
•
A számítógép újraindítása értesítés nélkül, ha szükséges
Az alapértelmezett újraindítási beállítás a számítógép újraindításának felajánlása, ha szükséges. A Frissítési mód lapon található programösszetevő-frissítéseket az egyes számítógépek feladatkörének megfelelően érdemes beállítani: vegye figyelembe a munkaállomások és a szerverek közötti különbségeket (súlyos károkat okozhat például, ha a frissítést követően automatikusan indítja újra a szervert). 4.2.1.2.2
Proxyszerver
Az adott frissítési profil proxyszerver-beállításainak eléréséhez kattintson a Frissítés csomópontra a további beállítások listájában (F5), majd kattintson a További frissítési beállítások felirat jobb oldalán található Beállítások gombra. Kattintson a HTTP-proxy fülre, és jelölje be az alábbi három választógomb egyikét: •
Globális proxyszerver-beállítások használata
•
Proxyszerver használatának mellőzése
•
Kapcsolódás proxyszerveren keresztül (ebben az esetben a Proxyszerver és a további mezők kitöltése is szükséges)
A Globális proxyszerver-beállítások használata választógomb bejelölése esetén a program a további beállítások listája Egyéb beállítások > Proxyszerver ágán korábban megadott beállításokat alkalmazza.
22
A Kapcsolódás proxyszerveren keresztül választógombot akkor kell bejelölni, ha proxyszervert használ az interneteléréshez, és az nem egyezik meg a globális beállítások között (Egyéb beállítások > Proxyszerver) megadott proxyszerverrel. Ebben az esetben további beállításokat kell megadni: a proxyszerver címét, a használandó portot, valamint a proxyszerver használatához szükséges felhasználónevet és jelszót (ha van ilyen). Ezt a választógombot kell bejelölni abban az esetben is, ha a proxyszerverbeállításokat nem adta meg globálisan, az ESET NOD32 Antivirus azonban proxyszervert használ a frissítéshez. A proxyszerver alapértelmezett beállítása a Globális proxyszerverbeállítások használata. 4.2.1.2.3
Csatlakozás a helyi frissítési szerverhez
Windows NT-alapú helyi frissítési szerverről történő frissítéskor alapértelmezés szerint minden hálózati kapcsolatot hitelesíteni kell. A legtöbb esetben a helyi rendszerfióknak nincs megfelelő hozzáférési joga a frissítési fájlok másolatát tartalmazó tükörmappához. Ebben az esetben írja be a felhasználónevet és a jelszót a frissítési beállításoknál, vagy adjon meg egy olyan fiókot, amellyel a program eléri a frissítési szervert (tükröt). Ilyen fiók beállításához kattintson a Helyi hálózat fülre. A Kapcsolódás a helyi frissítési szerverhez csoportban a Rendszerfiókkal (alapbeállítás), az Aktuális felhasználóként és a Megadott felhasználóként választógombok közül választhat.
A Rendszerfiókkal választógomb bejelölésével a rendszerfiókot használhatja hitelesítésre. Ha a fő frissítési beállításoknál nem adta meg a hitelesítési adatokat, általában nem történik hitelesítés. Ha azt szeretné, hogy a program az éppen bejelentkezett felhasználó fiókjával hitelesítse magát, jelölje be az Aktuális felhasználó választógombot. E megoldás hátránya, hogy a program nem tud a frissítési szerverhez csatlakozni, ha nincs bejelentkezett felhasználó. A Megadott felhasználóként választógomb bejelölésével egy adott felhasználói fiókot használhat hitelesítésre. A csatlakozás alapértelmezett beállítása a Rendszerfiókkal. Figyelmeztetés: Ha az Aktuális felhasználóként vagy a Megadott felhasználóként választógomb be van jelölve, előfordulhat, hogy amikor a program identitást vált, hiba lép fel. Ezért célszerű a hálózati hitelesítési adatokat a fő frissítési beállításoknál megadni. Ebben a beállítási részben a hitelesítési adatokat a következőképpen kell beírni: tartománynév\felhasználó (munkacsoport esetében munkacsoport\ felhasználó) és a jelszó. Ha a helyi szerver HTTP-verziójáról frissít, nem szükséges hitelesítés. 4.2.1.2.4
Helyi frissítési szerver létrehozása – tükrözés
Az ESET NOD32 Antivirus Business Edition segítségével a felhasználó másolatot (tükröt) készíthet a frissítési fájlokról, amellyel a hálózaton levő többi munkaállomást frissítheti. A munkaállomások tükörből történő frissítése javítja a hálózati terheléselosztást, és internetes sávszélességet szabadít fel. A helyi frissítési szerver beállításai (miután a program további beállításokat tartalmazó részében, a licenckezelőben hozzáadott egy érvényes licenckulcsot) a További beállítások lapon találhatók. (Ennek eléréséhez nyomja le az F5 billentyűt, és a további beállítások listájában kattintson a Frissítés csomópontra. Kattintson a További frissítési beállítások felirat jobb oldalán található Beállítások gombra, és válassza a Tükrözés lapot.)
A tükrözés beállításának első lépéseként jelölje be a Frissítési tükör létrehozása négyzetet. A bekapcsolással aktiválja a többi tükrözési beállítást, például megadhatja a frissítési fájlok elérésének módját vagy a tükrözött fájlok elérési útját. A tükrözés további beállításairól „A tükör elérésének módjai” című, következő fejezetben tájékozódhat. A tükrözésnek két alapvető módja van: a frissítési fájlokat tartalmazó mappa vagy megosztott hálózati mappaként vagy HTTP protokollon keresztül érhető el. A tükör frissítési fájljainak tárolására szánt mappát a tükrözött fájlok tárolómappája részben adhatja meg. A helyi számítógépen lévő vagy a megosztott hálózati mappa tallózásához kattintson a Mappa gombra. Ha a megadott mappához hitelesítés szükséges, a hitelesítési adatokat adja meg a Felhasználónév és a Jelszó mezőben. A felhasználónevet tartomány/felhasználó vagy munkacsoport/felhasználó formátumban kell beírni. A helyes működéshez a jelszó megadása is szükséges. A tükrözés részletes beállításainak megadásakor meghatározhatja, hogy mely nyelvi verziókhoz szeretne frissítési másolatokat letölteni, amit a Fájlok > Rendelkezésre álló verziók részben tehet meg. 4.2.1.2.4.1 Frissítés helyi frissítési szerverről (tükörből) A helyi frissítési szerver által létrehozott tükör megosztott hálózati mappaként vagy HTTP-szerverként konfigurálható. A tükör elérése belső HTTP protokollon keresztül Az előre definiált programkonfigurációban ez a beállítás az alapértelmezett. A tükör HTTP protokollon keresztüli elérése érdekében lépjen a További beállítások párbeszédpanel Tükrözés lapjára, és jelölje be a Frissítési tükör létrehozása négyzetet. A Tükrözés lap További beállítások gombjára kattintva adja meg azt a szerverportot, amelyiken keresztül a HTTP-szerver a frissítést szolgáltatja, illetve a szerver által használt hitelesítés típusát. Alapértelmezés szerint a szerverport értéke a következő: 2221. A Hitelesítés beállítás adja meg a frissítési fájlok eléréséhez használt hitelesítés típusát. A választható lehetőségek a következők: Nincs, Egyszerű és NTLM. Az Egyszerű hitelesítés base64 kódolást használ egyszerű felhasználónév- és jelszóalapú hitelesítéssel. Az NTLM beállítás biztonságos kódolási metódust használ, a hitelesítéshez pedig a tükörszerveren létrehozott felhasználót használja. Az alapértelmezett beállítás a Nincs, amellyel a frissítési fájlok hitelesítés nélkül is elérhetők. 23
Figyelmeztetés: Amennyiben a frissítési fájlokat (tükröt) HTTP protokollon keresztül szeretné elérni, a tükörmappa csak a tükörszerver helyi mappája lehet.
4.2.1.2.4.2 A tükörből történő frissítéssel kapcsolatos hibaelhárítás A tükörmappa elérésének módjától függően különféle problémák jelentkezhetnek. A legtöbb esetben a tükörszerverről való frissítés közbeni problémákat a következők okozzák: a tükörmappa beállításainak helytelen megadása, nem megfelelő hitelesítési adatok használata, a tükörből letölteni próbáló munkaállomások hibás beállításai vagy mindezek együttesen. Az alábbiakban áttekintheti a leggyakoribb problémákat, melyek a tükörből történő frissítéskor adódhatnak: •
Az ESET NOD32 Antivirus hibát jelez a tükörszerverhez történő csatlakozáskor (megosztáson keresztül történő frissítés esetén) – oka valószínűleg a helyi frissítési szervernek (vagy a tükörmappa hálózati elérési útjának) a hibás megadása. A mappa ellenőrzéséhez kattintson a Windows Start menüjének Futtatás parancsára, szúrja be a mappa nevét, és kattintson az OK gombra. Megfelelő beállítások esetén a mappa tartalma jelenik meg.
•
Az ESET NOD32 Antivirus felhasználónevet és jelszót kér – oka valószínűleg a hitelesítési adatok (a felhasználónév és a jelszó) helytelen megadása a frissítési beállítások között. A felhasználónév és a jelszó biztosítja a hozzáférést a helyi tükörszerverhez. Ellenőrizze, hogy a megadott hitelesítési adatok helyesek-e, és a megfelelő formátumban vannak-e megadva, például tartomány\felhasználónév vagy munkacsoport\felhasználónév alakban, az ahhoz tartozó jelszóval együtt. Ne feledje, hogy a tükörszerver „Mindenki” számára elérhetővé tétele nem biztosít mindenkinek megfelelő hozzáférési jogosultságot. A nem hitelesített felhasználók nem tartoznak a „Mindenki” csoportba, csak a tartomány felhasználói. Így a frissítési beállításoknál akkor is meg kell adni a felhasználónevet és a jelszót, ha a mappa „Mindenki” számára elérhető.
•
Az ESET NOD32 Antivirus hibát jelez a tükörszerverhez történő csatlakozáskor (HTTP-n keresztül történő frissítés esetén) – a tükör HTTP-verziójának eléréséhez megadott porton valami gátolja a kommunikációt.
A helyi tükörszerver beállítása után a munkaállomásokon a frissítési beállításoknál adjon meg egy új frissítési szervert http://a_szerver_ IP_címe:2221 formátumban. Ehhez tegye az alábbiakat: •
Nyissa meg az ESET NOD32 Antivirus további beállításait, és kattintson a Frissítés csomópontra.
•
Kattintson a Frissítési szerver mező jobb oldalán található Szerkesztés gombra, és adja hozzá az új szervert a következő formátumban: http://a_szerver_IP_címe:2221
•
A frissítési szerverek listájából válassza ki az új frissítési szervert.
A tükör elérése megosztásokon keresztül Először hozzon létre egy megosztott mappát egy helyi vagy hálózati eszközön. A tükörmappa létrehozásakor írási jogot kell adnia annak a felhasználónak, aki a frissítési fájlokat a mappába menti, és olvasási jogot az összes olyan felhasználónak, aki a tükörmappából fogja frissíteni az ESET NOD32 Antivirus programot.
4.2.2
Frissítési feladatok létrehozása
Ezután a További beállítások párbeszédpanel Tükrözés lapján tiltsa le a Frissítési fájlok biztosítása belső HTTP-szerveren keresztül beállítást. (Ez az alapértelmezett beállítás a Frissítési tükör létrehozása jelölőnégyzet.)
A frissítéseket azonban futtathatja ütemezett feladatként is – ütemezett feladat beállításához válassza az Eszközök > Feladatütemező lehetőséget. A programban alapértelmezés szerint a következő feladatok aktívak:
Amennyiben a tükrözéshez kijelölt megosztott mappa másik számítógépen van, eléréséhez be kell állítani a hitelesítési adatokat. A hitelesítési adatok megadásához nyissa meg az ESET NOD32 Antivirus további beállításait (F5), és kattintson a Frissítés csomópontra. Kattintson a Beállítások gombra, majd a Helyi hálózat fülre. Ez megegyezik a frissítéshez használt, a „Csatlakozás a helyi frissítési szerverhez” című fejezetben ismertetett beállítással.
•
Rendszeres automatikus frissítés
•
Automatikus frissítés a telefonos kapcsolat létrejötte után
•
Automatikus frissítés a felhasználó bejelentkezése után
A frissítések elindíthatók kézzel, a Frissítés elemre való kattintás után megjelenő információs ablakban a Vírusdefiníciós adatbázis frissítése hivatkozásra kattintva.
A helyi tükörszerver beállítása után a munkaállomásokon a frissítési beállításoknál adjon meg egy új frissítési szervert \\UNC\ÚTVONAL formátumban. A művelet az alábbi lépésekkel hajtható végre:
Az említett frissítési feladatok mindegyike igény szerint módosítható. Az alapértelmezett frissítési feladatok mellett a felhasználó által definiált konfigurációjú új feladatok is létrehozhatók. A frissítési feladatok létrehozásával és beállításával kapcsolatban a „Feladatütemező” című fejezet nyújt részletes tájékoztatást.
•
Nyissa meg az ESET NOD32 Antivirus további beállításait (F5), és kattintson a Frissítés csomópontra.
4.3 Feladatütemező
•
Kattintson a Frissítési szerver mező mellett a Szerkesztés gombra, és adjon hozzá egy új szervert \\UNC\ÚTVONAL formátumban.
•
A frissítési szerverek listájából válassza ki az új frissítési szervert.
Megjegyzés: a megfelelő működés érdekében a tükörmappa elérési útját UNC-útvonalként kell megadni. Előfordulhat, hogy csatlakoztatott meghajtóról nem sikerül a frissítés. 24
A Feladatütemező akkor érhető el, ha a Hozzáértő mód aktív az ESET NOD32 Antivirus programban. A Feladatütemező az ESET NOD32 Antivirus főmenüjének Eszközök menüjében található. A Feladatütemező valamennyi ütemezett feladat és azok beállított tulajdonságainak (például előre definiált dátum, időpont és ellenőrzési profil) összesített listáját tartalmazza.
Példaként egy új frissítési feladat hozzáadását ismertetjük.
A Feladatütemező alapértelmezés szerint a következő ütemezett feladatokat jeleníti meg: •
Rendszeres automatikus frissítés
•
Automatikus frissítés a telefonos kapcsolat létrejötte után
•
Automatikus frissítés a felhasználó bejelentkezése után
•
Rendszerindításkor automatikusan futtatott fájlok ellenőrzése (felhasználói bejelentkezéskor)
•
Rendszerindításkor automatikusan futtatott fájlok ellenőrzése (a vírusdefiníciós adatbázis sikeres frissítésekor)
A már meglévő (alapértelmezett és a felhasználó által) ütemezett feladatok beállításainak módosításához kattintson a jobb gombbal a feladatra, és kattintson a Szerkesztés parancsra, vagy jelölje ki a módosítani kívánt feladatot, és kattintson a Szerkesztés gombra. 4.3.1
A feladatok ütemezésének célja
A Feladatütemező bizonyos feladatok (frissítés, számítógép ellenőrzése stb.) előre definiált beállításokkal történő indítását végzi. Ilyen beállítás például a feladatindítás ideje, futtatásának gyakorisága, az ellenőrzési beállításokat tartalmazó profil stb. 4.3.2
Új feladatok létrehozása
Ha új feladatot szeretne létrehozni a Feladatütemezőben, kattintson a Hozzáadás gombra vagy a helyi menü Hozzáadás parancsára. Ötféle ütemezett feladat közül lehet választani: •
Külső alkalmazás futtatása
•
Rendszerindításkor automatikusan futtatott fájlok ellenőrzése
•
Pillanatkép létrehozása a számítógép állapotáról
•
Kézi indítású számítógép-ellenőrzés
•
Frissítés
Az Ütemezett feladat legördülő listában jelölje ki a Frissítés elemet. Kattintson a Tovább gombra, majd írja be a feladat nevét a Feladat neve mezőbe. Adja meg a feladat gyakoriságát. A választható lehetőségek a következők: Egyszer, Ismétlődően, Naponta, Hetente és Esemény hatására. A kiválasztott gyakoriságtól függően különböző frissítési paramétereket kell beállítani. Ezután meghatározhatja, hogy milyen műveletet hajtson végre a rendszer akkor, ha a feladat nem hajtható végre vagy nem fejezhető be az ütemezett időpontban. Az alábbi három lehetőség közül választhat: •
Várjon a következő ütemezett időpontig
•
Hajtsa végre a feladatot az első adandó alkalommal
•
Azonnal hajtsa végre a feladatot, ha a legutóbbi végrehajtás óta a megadottnál hosszabb időtartam telt el (ez az Időtartam görgetődobozban adható meg)
A következő lépésben a szoftver megjeleníti az aktuális ütemezett feladat teljes összegzését, és automatikusan bejelöli a „Feladat futtatása adott paraméterekkel” négyzetet. Kattintson a Befejezés gombra. Megjelenik egy párbeszédpanel, amelyen kiválaszthatók az ütemezett feladathoz használandó profilok: megadható egy elsődleges és egy másodlagos profil – ez utóbbi akkor használható, ha a feladat nem hajtható végre az elsődleges profillal. Hagyja jóvá a művelet megkezdését a „Frissítési profilok” párbeszédpanel „OK” gombjára kattintva. A program felveszi az új ütemezett feladatot a jelenleg ütemezett feladatok listájára. 4.4 Karantén A karantén fő feladata a fertőzött fájlok biztonságos tárolása. A fájlokat akkor kell a karanténba helyezni, ha nem tisztíthatók meg, ha törlésük kockázattal jár vagy nem ajánlott, illetve ha a program tévesen észlelte őket. A karanténba helyezhető fájlok típusa nem korlátozott. Akkor érdemes karanténba helyezni a szóban forgó fájlt, ha annak viselkedése gyanús, de nem észleli a víruskereső. A karanténba helyezett fájlok elküldhetők elemzésre az ESET víruslaborjainak.
25
4.5 Naplófájlok A karanténmappában lévő fájlokat egy táblázat jeleníti meg, amelyben látható a karanténba helyezés dátuma és időpontja, a fertőzött fájl eredeti helyének elérési útja, a fájl bájtban megadott mérete, a karanténba helyezés (felhasználó által megadott) oka és a fertőzések száma (például az, hogy egy több fertőzést is hordozó tömörített fájlról van-e szó). 4.4.1
Fájlok karanténba helyezése
A program automatikusan karanténba helyezi a törölt fájlokat (ha nem érvénytelenítette ezt a beállítást a riasztási ablakban). Szükség esetén bármely gyanús fájl karanténba helyezhető a Karantén gombra kattintással. Ebben az esetben a program nem távolítja el az eredeti fájlt az eredeti helyéről. Ez a művelet a helyi menü használatával is végrehajtható: kattintson a jobb gombbal a karanténablakban, majd válassza a Hozzáadás parancsot. 4.4.2
Visszaállítás a karanténból
A karanténba helyezett fájlok visszaállíthatók az eredeti helyükre. Erre a célra szolgál a karanténablakban lévő kérdéses fájlra a jobb gombbal kattintva megjelenő helyi menü Visszaállítás parancsa. A helyi menüben megtalálható a Visszaállítás... parancs is, amellyel a törlés helyétől eltérő helyre is visszaállíthatók a fájlok. Megjegyzés Ha a program tévesen helyezett karanténba egy fájlt, akkor visszaállítása után zárja ki az ellenőrzésből, és küldje el az ESET terméktámogatásának. 4.4.3
A Naplófájlok lap a fontos programeseményekről tájékoztatást, az észlelt veszélyekről áttekintést nyújt. A naplózás fontos szerepet tölt be a rendszerelemzésben, észlelésben és hibaelhárításban. A program a naplózást a háttérben aktívan, felhasználói beavatkozás nélkül végzi. Az információkat az aktuális naplórészletességi beállításoknak megfelelően rögzíti. A szöveges üzenetek és naplóbejegyzések megtekinthetők közvetlenül az ESET NOD32 Antivirus környezetéből, de lehetőség van a naplók archiválására is. A naplófájlok az ESET NOD32 Antivirus főablakából, az Eszközök > Naplófájlok parancsra kattintva érhetők el. Jelölje ki a kívánt naplótípust az ablak tetején található Napló legördülő listában. A választható naplók az alábbiak: 1. Észlelt kártevők – Ezt a lehetőséget választva megtekintheti az észlelt kártevőkkel kapcsolatos események összes adatát. 2. Események – Ezt a lehetőséget választva a rendszergazdák és a felhasználók megoldhatják az esetleges problémákat. A program az ESET NOD32 Antivirus által elvégzett összes műveletet rögzíti az eseménynaplóban. 3. Kézi indítású számítógép-ellenőrzés – Ezt a lehetőséget választva megtekintheti az összes futtatott ellenőrzés eredményét. Az egyes bejegyzésekre duplán kattintva megjelennek az adott kézi ellenőrzés részletes adatai.
Fájl elküldése a karanténból
Ha karanténba helyezett egy, a program által nem észlelt gyanús fájlt, vagy ha egy adott fájlt a szoftver tévesen jelölt meg fertőzöttként (például a kód heurisztikus elemzésével), és karanténba helyezte, kérjük, küldje el a fájlt az ESET víruslaborjába. A karanténban lévő fájl elküldéséhez kattintson a jobb gombbal a fájlra, majd válassza a helyi menü Elemzésre küldés parancsát.
A megjelenített információk mindegyik naplóból közvetlenül a vágólapra másolhatók (ehhez jelölje ki a kívánt bejegyzést, és kattintson a Másolás gombra). Több bejegyzés kijelöléséhez nyomja le és tartsa lenyomva a CTRL vagy a SHIFT billentyűt. 26
4.5.1
Naplókezelés
Az ESET NOD32 Antivirus naplózási beállításai a fő programablakból érhetők el a Beállítások > Minden további beállítási lehetőség megtekintése > Eszközök > Naplófájlok elérési úton. A naplófájlokhoz az alábbi beállítások adhatók meg: •
Bejegyzés automatikus törlése – A jelölőnégyzet bejelölésekor a rendszer automatikusan törli a megadott számú napnál régebbi naplóbejegyzéseket.
•
Naplófájlok automatikus optimalizálása – A jelölőnégyzet bejelölésével engedélyezi a naplófájlok automatikus töredezettségmentesítését abban az esetben, ha a megadott százalékos értéknél nagyobb a használaton kívüli rekordok száma.
•
Naplók minimális részletessége – A naplózás részletességi szintjét határozza meg. A választható lehetőségek az alábbiak: – Kritikus figyelmeztetések – Ezt a lehetőséget választva a program csak a kritikus (például a vírusvédelem indításával kapcsolatos) hibákat naplózza. – Hibák – Ezzel a beállítással a program csak a fájlletöltési hibákat és a kritikus hibákat jegyzi be a naplóba. – Figyelmeztetések – Ezt a lehetőséget választva a program a kritikus hibákat és a figyelmeztető üzeneteket egyaránt bejegyzi a naplóba.
Amennyiben a grafikus elemek csökkentik a számítógép teljesítményét vagy egyéb problémákat okoznak, törölje a jelölést a Grafikus felhasználói felület négyzetből. A grafikus felhasználói felület kikapcsolható a gyengén látók munkájának megkönnyítése végett is, mivel használata ütközhet a képernyőtartalom felolvasását végző speciális alkalmazások használatával. Az ESET NOD32 Antivirus nyitóképernyőjének letiltásához törölje a jelölést a Nyitóképernyő megjelenítése indításkor négyzetből. A Normál menü használata négyzettel engedélyezhető vagy letiltható az ESET NOD32 Antivirus fő programablakának tetején megjelenő normál menü. Az Eszköztippek megjelenítése négyzet bejelölésekor a program rövid leírást jelenít meg az adott szoftverelemről a fölé vitt egérmutató hatására. Az Aktív vezérlőelemek kijelölése négyzet bejelölésének hatására a rendszer az egérmutató alatt lévő aktív területen található minden elemet kijelöl. A kijelölt elem ezután egy egérkattintást követően aktívvá válik. Az animált hatások sebességének csökkentéséhez vagy növeléséhez jelölje be az Animált vezérlők használata négyzetet, és mozgassa a Sebesség csúszkát jobbra vagy balra. A különböző műveletek folyamatának jelzésére szolgáló animált ikonok megjelenítéséhez jelölje be az Animált ikonok használata a folyamatok jelzésére négyzetet. Ha fontos eseményeknél hangjelzést szeretne kapni, jelölje be a Hangjelzés használata négyzetet.
– Tájékoztató bejegyzések – Ezt a beállítást megadva a program a tájékoztató jellegű üzeneteket veszi fel a naplóba (beleértve a sikeres frissítésekről szóló üzeneteket és a fent említett bejegyzéseket). – Diagnosztikai bejegyzések – Ezt a lehetőséget választva a program a fent említett bejegyzéseken kívül az összes olyan információt bejegyzi a naplóba, amely a szoftver finomhangolásához szükséges.
A Felhasználói felület beállításai azt is lehetővé teszik, hogy jelszóval lehessen védeni az ESET NOD32 Antivirus beállítási paramétereit. A beállítás a Felhasználói felület menü Beállítások védelme almenüjében található. A rendszer maximális védelme érdekében fontos a program megfelelő beállítása. A jogosulatlan módosítások a fontos adatok elvesztésével járhatnak. A beállítási paraméterek védelmét biztosító jelszó beírásához kattintson a Jelszó megadása gombra. 4.6 Felhasználói felület Az ESET NOD32 Antivirus felhasználói felületének beállításai tetszés szerint megváltoztathatók, így a munkakörnyezetet saját igényei szerint alakíthatja. Ezek a beállítások az ESET NOD32 Antivirus további beállításokat tartalmazó listájának Felhasználói felület csomópontjából érhetők el. A Felhasználói felület elemei csoportban át lehet váltani Hozzáértő módra, amely megjeleníti az ESET NOD32 Antivirus részletesebb beállítási lehetőségeit és további vezérlőelemeit.
27
és értesítések megjelenítését. Jelölje be a Csak a felhasználói beavatkozást igénylő értesítések megjelenítése az alkalmazások teljes képernyős módban való futtatásakor jelölőnégyzetet az összes nem interaktív értesítés letiltásához. A megjelenítendő események minimális részletessége legördülő listában kiválaszthatja a megjelenítendő riasztások és értesítések kezdő súlyossági szintjét. A lap legalján azt adhatja meg, hogy többfelhasználós környezetben mely címekre küldjön értesítést a program. A Több felhasználó esetén az értesítések megjelenítése az alábbi felhasználó képernyőjén mezőbe írhatja be azokat a címeket, amelyekre az ESET NOD32 Antivirus 4 elküldi a fontos értesítéseket. A mezőbe rendszerint a rendszer vagy a hálózat adminisztrátorának címe kerül. Ez a lehetőség különösen hasznos terminálszerverek esetében, feltéve ha a rendszerrel kapcsolatos összes értesítést az adminisztrátor kapja meg. 4.7 ThreatSense.Net 4.6.1
Riasztások és értesítések
A Felhasználó felület beállításcsoport Riasztások és értesítések kategóriája lehetővé teszi annak beállítását, hogy az ESET NOD32 Antivirus 4 miként kezelje a kártevőkkel kapcsolatos riasztásokat és a rendszer által létrehozott értesítéseket. Az első négyzet neve Riasztási ablak megjelenítése. Ha törli a négyzet jelölését, a szoftver egyetlen riasztást sem jelenít meg – mindez azonban csak az események szűk körére alkalmazható beállítás. A legtöbb felhasználó számára javasolt, hogy a beállítást az alapértelmezett értéken hagyja (bejelölve). A felugró ablakok adott időtartam utáni automatikus bezárásához jelölje be az Értesítési ablakok megjelenítésének időtartama (mp.) négyzetet. Ha a felhasználó nem teszi meg manuálisan, akkor a rendszer a megadott időtartam elteltével automatikusan bezárja a riasztási ablakokat. Az asztalon megjelenő értesítések és a buborékértesítések olyan tájékoztató eszközök, amelyek nem teszik lehetővé, de nem is teszik szükségessé a felhasználói beavatkozást, és a képernyő jobb alsó sarkában az értesítési területen láthatók. Ha engedélyezni szeretné az asztali értesítések megjelenítését, jelölje be az Értesítések megjelenítése az asztalon négyzetet. Az Értesítések konfigurálása gombra kattintva további részletek is megjeleníthetők: megváltoztatható az értesítés megjelenítésének időpontja, valamint az értesítési ablak átlátszósága. Az értesítések előnézetéhez kattintson az Előnézet gombra. A Buborékértesítések megjelenítésének időtartama (mp.) négyzetet bejelölve megadhatja, hogy mennyi ideig legyenek láthatók az értesítések.
A ThreatSense.Net Korai Riasztási Rendszer azonnal és folyamatosan értesíti az ESET víruslaborját az új fertőzésekről, és az a célja, hogy a program minél hatékonyabb védelmet biztosíthasson felhasználóinak. Az új kártevőkről úgy értesülhet a megjelenésüket követően mihamarabb, ha a lehető legtöbb ügyfelével tartja fenn a kapcsolatot, és előrejelzésként használja fel visszajelzéseiket. A felhasználónak kell eldöntenie, hogy részt vesz-e a korai riasztási rendszer segítségével ebben az információszolgáltatásban. •
A felhasználó dönthet úgy, hogy nem engedélyezi a ThreatSense. Net Korai Riasztási Rendszer használatát. Ez semmilyen funkcióvesztéssel nem jár a szoftverben, a program ettől a beállítástól függetlenül védi a számítógépet.
•
A korai riasztási rendszer beállítható úgy is, hogy anonim információt küldjön az új kártevőkről, valamint arról, hogy az adott fájlban hol található a kártevőt hordozó új kód. A szoftver ezt a fájlt el tudja küldeni az ESET víruslaborjába további elemzés céljából. A kártevők tanulmányozásával az ESET javíthatja a rájuk vonatkozó észlelési megoldások hatékonyságát. A ThreatSense. Net Korai Riasztási Rendszer összegyűjti a számítógép újonnan észlelt kártevőkkel kapcsolatos adatait. Ez az információ tartalmazhatja a kártevőt magában foglaló fájl mintáját vagy másolatát, a fájl elérési útját és nevét, a dátumot és az időt, azt a folyamatot, amelyen keresztül a kártevő megjelent a számítógépen, illetve a számítógép operációs rendszerére vonatkozó adatokat. A Microsoft Windows felépítéséből adódóan az információ kiterjedhet a felhasználó személyes adataira is (például egy elérési útban szereplő felhasználónév). Az elküldött információk mintája itt látható.
Noha nem kizárt, hogy ezzel a lehetőséggel esetenként a felhasználó néhány személyes adata vagy a számítógép bizonyos adatai eljutnak az ESET kártevőket vizsgáló laboratóriumába, az adatok felhasználásának kizárólagos célja új megoldások kidolgozása az új kártevőkkel szemben. Az ESET NOD32 Antivirus alapértelmezés szerint úgy van beállítva, hogy rákérdezzen a műveletre, mielőtt elküldené a gyanús fájlokat részletes elemzésre az ESET laboratóriumának. Fontos megjegyezni, hogy adott (például .doc és .xls) kiterjesztésű fájlok a fentieknél bizalmasabb személyes adatokat tartalmazhatnak, ezért azokat még kártevő észlelése esetén sem küldi el a szoftver elemzésre. Az elküldésből kitiltott fájltípusok listája testre szabható. A ThreatSense.Net beállítása a további beállítások listájából érhető el az Eszközök > ThreatSense.Net csomópontra kattintva. Jelölje be a ThreatSense.Net Korai Riasztási Rendszer engedélyezése négyzetet. Ekkor aktívvá és használhatóvá válik a További beállítások gomb.
A További beállítások gombra kattintva a Riasztások és értesítések párbeszédpanelen további beállítási lehetőségek jelennek meg, többek között a Csak a felhasználói beavatkozást igénylő értesítések megjelenítése jelölőnégyzet, amellyel engedélyezheti vagy letilthatja a felhasználói beavatkozást nem igénylő riasztások 28
vagy táblázatok). A leggyakoribb fájltípusok alapértelmezés szerint ki vannak zárva (Microsoft Office, OpenOffice). A kizárt fájlok listája szükség szerint bővíthető. E-mail cím A program a gyanús fájlokkal együtt elküldi a megadott e-mail címet, amelyen az ESET cég kapcsolatba léphet Önnel. Az ESET munkatársai csak akkor keresik meg, ha a gyanús fájlokkal kapcsolatban további információkra van szükségük az elemzéshez. 4.7.2
Statisztika
A ThreatSense.Net Korai Riasztási Rendszer eszköz névadatok nélkül összegyűjti a számítógép újonnan észlelt kártevőkkel kapcsolatos adatait, például a fertőzés nevét, az észlelés dátumát és időpontját, az ESET NOD32 Antivirus verziószámát, valamint a számítógép operációs rendszerének verzióját és területi beállítását. A statisztikai adatokat a program általában naponta egy vagy két alkalommal küldi el az ESET szervereire. 4.7.1
Gyanús fájlok
A Gyanús fájlok lapon beállítható, hogy a szoftver miként küldje el a kártevőket az ESET víruslaborjába elemzés céljából. Amennyiben gyanúsan viselkedő fájlt észlel, elküldheti az ESET víruslaborjainak elemzésre. Ha a fájl ártalmas, bekerül a vírusdefiníciós adatbázis valamelyik későbbi frissítésébe. A program beállítható úgy is, hogy rákérdezés nélkül, automatikusan elküldje a fájlokat. Ha így dönt, a gyanús fájlok elküldése a háttérben zajlik. A Kérdezzen rá a gyanús fájlok elemzésre küldésére választógombot bejelölve megtekintheti, hogy a rendszer mely fájlokat küldi el elemzésre, majd jóváhagyhatja a küldést.
Az elküldött statisztikai csomag az alábbihoz hasonló tartalmú: # utc_time=2005‑04‑14 07:21:28 # country=“Hungary“ # language=“ENGLISH“ # osver=5.1.2600 NT # engine=5417 # components=2.50.2 # moduleid=0x4e4f4d41 # filesize=28368 # filename=C:\Documents and Settings\Administrator\ Local Settings\Temporary Internet Files\Content.IE5\ C14J8NS7\rdgFR1463[1].exe Küldés időpontja A Küldés időpontja részben megadható, hogy a szoftver mikor küldje el a statisztikai adatokat. Ha bejelöli az Amint lehetséges választógombot, a szoftver a létrehozásuk után azonnal elküldi a statisztikai adatokat. Akkor válassza ezt a lehetőséget, ha állandó internetkapcsolattal rendelkezik. A Frissítés közben választógomb bejelölésének hatására a rendszer összegyűjti a statisztikai adatokat, és csak a következő frissítéskor küldi el azokat.
A Ne küldje elemzésre a gyanús fájlokat választógomb bejelölésével letilthatja a fájlok elküldését. A statisztikai adatok elküldése ettől a beállítástól függetlenül történik, és konfigurálásukról a következő fejezetben olvashat. Küldés időpontja A gyanús fájlokat a lehető leghamarabb elküldi a rendszer az ESET víruslaborjainak elemzésre. Ezt a beállítást akkor ajánlott választani, ha a felhasználó állandó internetkapcsolattal rendelkezik, ezáltal a gyanús fájlok késedelem nélkül elküldhetők. A másik lehetőség az, ha a gyanús fájlokat frissítés közben küldi el a program. Ha ezt a megoldást választja, a szoftver összegyűjti a gyanús fájlokat, és a frissítés során tölti fel azokat a korai riasztási rendszer szervereire. Fájlok kizárása Bizonyos fájlok ki is hagyhatók az elemzésre elküldendő fájlok közül. A fájlok kizárásával megadhatja, hogy mely fájlokat vagy mappákat ne küldjön el a rendszer elemzésre. Olyan fájlokat érdemes például kizárni, amelyek bizalmas információt tartalmazhatnak (például dokumentumok
4.7.3
Küldés
Ebben a részben adhatja meg, hogy a fájlok és a statisztikai adatok küldése a távadminisztrációs rendszeren keresztül, vagy közvetlenül az ESET cégnek történjen-e. Ha biztos szeretne lenni abban, hogy az ESET megkapja a gyanús fájlokat és a statisztikai adatokat, jelölje be a távadminisztrációs rendszeren keresztül vagy közvetlenül az ESET víruslaborjába választógombot. A választógomb bejelölése esetén a szoftver az összes rendelkezésre álló módon elküldi a fájlokat és a statisztikai adatokat. Ha távadminisztrációval küldi el a gyanús fájlokat, úgy azok és a statisztikai adatok a távadminisztrációs szerverre kerülnek, onnan pedig az ESET víruslaborjaiba jutnak el. 29
A Közvetlenül az ESET víruslaborjába választógombot bejelölve közvetlenül az alkalmazásból történik a gyanús fájlok és a statisztikai adatok elküldése az ESET víruslaborjába.
•
Port – Ez a mező tartalmazza a kapcsolathoz használt, előre definiált szerverport számát. Ajánlott az alapértelmezett 2222 portértéket használni.
•
Adatok küldésének és fogadásának gyakorisága (perc) – Ebben a mezőben adható meg, hogy az ESET NOD32 Antivirus milyen gyakran létesítsen kapcsolatot a távadminisztrációs szerverrel az adatok (naplók stb.) elküldéséhez és a feladatok fogadásához. Ha a nulla értéket adja meg, minderre öt másodpercenként kerül sor.
•
A távadminisztrációs szerver hitelesítést igényel – Ezt a négyzetet bejelölve beírható az a jelszó, amely a távadminisztrációs szerverrel létesített kapcsolathoz szükséges, ha a szerver elérése hitelesítést igényel.
Az OK gombra kattintva jóváhagyhatja a változtatásokat, és érvénybe léptetheti a beállításokat. Az ESET NOD32 Antivirus ezeket a beállításokat használja a távoli szerverhez való kapcsolódáshoz. 4.9 Licenc
Amennyiben vannak elküldésre váró fájlok, a Küldés most gomb aktív: a gombra kattintva azonnal elküldheti a fájlokat és a statisztikai adatokat. A Naplózás engedélyezése négyzetet bejelölve engedélyezheti a fájlés a statisztikai adatok küldésének rögzítését. A beállítás hatására minden gyanús fájl vagy statisztikai adat elküldése után a program bejegyzést ír az eseménynaplóba.
A Licencek csomópontban kezelheti az ESET NOD32 Antivirus és az egyéb ESET-termékek licenckulcsait. A licenckulcsokat a vásárlás után, a felhasználónévvel és a jelszóval együtt kapja meg. A licenckulcsok felvételéhez és eltávolításához kattintson a megfelelő gombra a licenckezelő ablakban. A licenckezelő a további beállítások listájának Egyéb beállítások > Licencek elemére kattintva érhető el.
4.8 Távadminisztráció A távadminisztrációs eszközzel hatékony módon fenntartható a biztonsági házirend, és áttekintés nyerhető a hálózat számítógépein telepített biztonsági megoldásokról. A távadminisztrációs rendszer különösen hasznos nagyméretű hálózatokban, hiszen nem csupán a biztonság szintjét fokozza, de megkönnyíti az ESET NOD32 Antivirus ügyfélszámítógépeken történő adminisztrációját is. A távadminisztráció beállításai az ESET NOD32 Antivirus fő programablakából érhetők el a Beállítások > Minden további beállítási lehetőség megtekintése > Egyéb beállítások > Távadminisztráció elemre kattintással.
A licenckulcs egy olyan szöveges fájl, amely információt tartalmaz a megvásárolt termékről: megadja a termék tulajdonosát, a licencek számát, valamint a licenc érvényességének végét. A licenckezelő ablakának Hozzáadás gombjára kattintva lehetőség van a licenckulcsok feltöltésére és tartalmuk megtekintésére (a kulcsban tárolt adatokat megjeleníti a licenckezelő). Ha licencfájlokat szeretne törölni a listából, kattintson az Eltávolítás gombra. Amennyiben egy adott licenckulcs már nem érvényes, és szeretne egy újat vásárolni, a Megrendelés gombra kattintva beléphet az ESET online áruházába.
A távadminisztráció a Csatlakozás a távadminisztrációs szerverhez négyzet bejelölésével engedélyezhető. Ezt követően az alábbiakban ismertetett egyéb beállítások is elérhetővé válnak. •
30
Szerver címe – A távadminisztrációs szervert futtató számítógép hálózati címe.
5. Tapasztalt felhasználók számára Ez a fejezet az ESET NOD32 Antivirus azon szolgáltatásait ismerteti, amelyek a tapasztalt felhasználók számára nyújthatnak hasznos segítséget. A szolgáltatások beállításai csak Hozzáértő módban érhetők el. Ha erre a módra szeretne váltani, kattintson a fő programablak bal alsó sarkában található Megjelenítés: Hozzáértő mód felirattól jobbra a Módosítás hivatkozásra, vagy nyomja le a CTRL + M billentyűkombinációt. 5.1
A proxyszerver beállításai
A programban a proxyszerver beállításai a további beállítások fastruktúrájának két különböző részéből is hozzáférhetők. A proxyszerver beállításai az Egyéb beállítások > Proxyszerver elemére kattintva érhetők el. A proxyszerver ezen a szinten történő megadásával a beállítások a program egészére vonatkozóan, globálisan definiálhatók. Az internetkapcsolatot igénylő összes modul az itt található paramétereket fogja használni. Ha ezen a szinten szeretné megadni a proxybeállításokat, jelölje be a Proxyszerver használata négyzetet, majd írja be a proxyszerver címét a Proxyszerver mezőbe, a portszámát pedig a Port mezőbe.
5.2 Beállítások importálása és exportálása Az ESET NOD32 Antivirus aktuális konfigurációjának importálása és exportálása Hozzáértő módban, a Beállítások csoportban végezhető el. Az exportálás és az importálás is az XML fájltípus használatával történik. Az exportálás és az importálás hasznos abban az esetben, ha (bármely okból) biztonsági másolatot kell készítenie az ESET NOD32 Antivirus aktuális konfigurációjáról. A beállítások exportálásának lehetősége azok számára is előnyös lehet, akik több rendszeren szeretnék használni az ESET NOD32 Antivirus általuk definiált konfigurációját: számukra elegendő az .xml fájl importálása.
Ha a proxyszerverrel történő kommunikáció hitelesítést igényel, jelölje be a proxyszerver hitelesítést igényel négyzetet, és írjon be egy érvényes felhasználónevet és jelszót a megfelelő mezőkbe. Kattintson a Proxyszerver felismerése gombra a proxyszerver beállításainak automatikus észleléséhez és beszúrásához. Ekkor a program az Internet Explorer alkalmazásban megadott paramétereket másolja át. Ne feledje, hogy ez a funkció nem olvassa be a hitelesítési adatokat (a felhasználónevet és a jelszót); azokat a felhasználónak kell megadnia. A proxyszerver beállításai a további frissítési beállításokat tartalmazó részben (a további beállítások listájának Frissítés eleménél) is megadhatók. Ez a beállítás adott frissítési profilra vonatkozik, és hordozható számítógépek esetén javasolt, mivel azok a vírusdefiníciós adatbázis frissítéseit gyakran különböző helyekről kapják. A beállításról bővebb információt a 4.4, „A rendszer frissítése” című részben olvashat.
5.2.1
Beállítások exportálása
A konfiguráció exportálása nagyon egyszerű. Ha menteni szeretné a program aktuális konfigurációját, kattintson a Beállítások > Beállítások importálása és exportálása hivatkozásra. Jelölje be a Beállítások exportálása választógombot, és írja be a konfigurációs fájl nevét. A böngésző segítségével jelöljön ki egy helyet a számítógépen, ahová menteni szeretné a konfigurációs fájlt. 5.2.2
Beállítások importálása
A konfiguráció importálásának lépései nagyon hasonlóak. Ebben az esetben is válassza a Beállítások importálása és exportálása lehetőséget, majd jelölje be a Beállítások importálása választógombot. Kattintson a ... gombra, és tallózással keresse meg az importálni kívánt konfigurációs fájlt. 5.3 Parancssor Az ESET NOD32 Antivirus vírusvédelmi modulja a parancssor használatával is elindítható – akár manuálisan az „ecls” paranccsal, akár egy .bat kiterjesztésű kötegfájllal. 31
A kézi indítású víruskereső parancssorból történő futtatásakor az alábbi paraméterek és kapcsolók használhatók: Általános kapcsolók:: – help A súgó megjelenítése és kilépés – version A verzióadatok megjelenítése és kilépés – base dir = MAPPA Modulok betöltése a MAPPA mappából – quar dir = MAPPA A karanténként szolgáló MAPPA megadása – aind A tevékenységjelző megjelenítése -- auto Az összes merevlemez-meghajtó ellenőrzése és megtisztítása Ellenőrzendő objektumok: – files A fájlok ellenőrzése (alapbeállítás) – no files A fájlok ellenőrzésének mellőzése – boots A rendszerindítási szektorok ellenőrzése (alapbeállítás) – no boots A rendszerindítási szektorok ellenőrzésének mellőzése – arch A tömörített fájlok ellenőrzése (alapbeállítás) – no arch A tömörített fájlok ellenőrzésének mellőzése – max archive level = SZINT A tömörített fájl beágyazáshoz megadott maximális SZINT – scan timeout = KORLÁT A tömörített fájlok ellenőrzése legfeljebb a KORLÁT értékben megadott másodpercig. Ha az ellenőrzés a határértéknél több időt vesz igénybe, a tömörített fájl ellenőrzése leáll, és az ellenőrzés a következő fájllal folytatódik – max arch size=MÉRET Csak a tömörített fájlok első MÉRET bájtjának ellenőrzése (alapbeállítás: 0 = korlátlan) – mail Az e-mail fájlok ellenőrzése – no mail Az e-mail fájlok ellenőrzésének mellőzése – sfx Az önkicsomagoló tömörített fájlok ellenőrzése – no sfx Az önkicsomagoló tömörített fájlok ellenőrzésének mellőzése – rtp A futtatás közbeni tömörítők ellenőrzése – no rtp A futtatás közbeni tömörítők ellenőrzésének mellőzése – exclude = MAPPA A MAPPA kizárása az ellenőrzésből – subdir Az almappák ellenőrzése (alapbeállítás) – no subdir Az almappák ellenőrzésének mellőzése – max subdir level = SZINT Az almappák maximális beágyazási SZINTJE (alapbeállítás: 0 = korlátlan) – symlink A szimbolikus hivatkozások követése (alapbeállítás) – no symlink A szimbolikus hivatkozások mellőzése – ext remove = KITERJESZTÉSEK – ext exclude = KITERJESZTÉSEK A kettősponttal elválasztott KITERJESZTÉSEK kizárása az ellenőrzésből Módszerek: – adware Reklámprogramok, kémprogramok és biztonsági kockázatot jelentő programok keresése – no adware A reklámprogramok, kémprogramok és biztonsági kockázatot jelentő programok keresésének mellőzése – unsafe Veszélyes alkalmazások keresése – no unsafe A veszélyes alkalmazások keresésének mellőzése 32
– unwanted – no unwanted mellőzése – pattern – no pattern mellőzése – heur – no heur – adv heur engedélyezése – no adv heur
Kéretlen alkalmazások keresése A kéretlen alkalmazások keresésének Vírusdefiníciók használata A vírusdefiníciók használatának Az alapheurisztika engedélyezése Az alapheurisztika letiltása A kiterjesztett heurisztika A kiterjesztett heurisztika letiltás
Megtisztítás: – action = MŰVELET MŰVELET végrehajtása a fertőzött objektumokon Lehetséges műveletek: none (nincs), clean (megtisztítás), prompt (rákérdezés) – quarantine A fertőzött fájlok karanténba másolása (a MŰVELET kiegészítése) – no quarantine A fertőzött fájlok karanténba másolásának mellőzése Naplók: – log file=FÁJL Naplózás a FÁJL fájlba – log rewrite A kimeneti fájl felülírása (alapbeállítás: hozzáfűzés) – log all A tiszta fájlok naplózása – no log all A tiszta fájlok naplózásának mellőzése (alapbeállítás) Az ellenőrzés lehetséges kilépési kódjai: 0 1
– a program nem talált kártevőt – a program kártevőt talált, de nem tisztította meg az érintett objektumokat 10 – a program néhány fertőzött fájlt nem tisztított meg (előfordulhat, hogy kártevők) 101 – hibás tömörített fájl 102 – hozzáférési hiba 103 – belső hiba Megjegyzés: A 100-nál nagyobb számmal jelölt kilépési kódok esetén az adott fájl nem volt ellenőrizve, ezért fertőzött lehet. 5.4 ESET SysInspector Az ESET SysInspector alkalmazás alaposan átvizsgálja a számítógépét, és az összegyűjtött adatokat átfogó módon megjeleníti. A többek között a telepített illesztőprogramokra és alkalmazásokra, hálózati kapcsolatokra vagy fontos rendszer-beállítási bejegyzésekre vonatkozó információk segítségével ellenőrizheti, hogy a rendszer gyanús működését a szoftver vagy a hardver inkompatibilitása, esetleg kártevőfertőzés okozza-e. A SysInspector kétféle módon érhető el az ESET megoldásai között. A hordozható változat (SysInspector.exe) ingyenesen letölthető az ESET weboldaláról. A beépített változat az ESET NOD32 Antivirus 4 részét képezi. A SysInspector megnyitásához a bal alsó sarokban aktiválja a Hozzáértő módot, majd válassza az Eszközök > SysInspector lehetőséget. Mindkét változat működése azonos, és megegyező programvezérlőket tartalmaznak. Egyedül a kimenetek kezelése különbözik. A hordozható változat lehetővé teszi a rendszer pillanatképének XML-fájlba történő exportálását, majd lemezre mentését. Ez a SysInspector beépített változatában is lehetséges, emellett a rendszer pillanatképeit közvetlenül az ESET NOD32 Antivirus 4 > Eszközök > SysInspector alkalmazásban is tárolhatja (további információt az 5.4.1.4 Az ENA részét képező SysInspector című részben talál). Hagyjon kis időt az ESET SysInspector számára a számítógép ellenőrzéséhez, amely 10 másodperctől pár percig tarthat (ez a hardverkonfigurációtól és a rendszeren telepített alkalmazásoktól függően változhat).
5.4.1
A felhasználói felület és az alkalmazás használata
Az egyszerűbb használat érdekében a főablak négy szakaszból áll – a vezérlők találhatók a főablak tetején, a navigációs ablak a bal oldalon, a leírásokat megjelenítő ablak jobb oldalon középen és a részleteket tartalmazó ablak a főablak jobb alsó részén.
A 6–9 közötti kockázati tartományba eső összes elem biztonsági kockázatot jelent. Ha a program ilyen elemet talál, és Ön nem használja az ESET biztonsági megoldásait, javasoljuk, hogy ellenőrizze rendszerét az ESET Online Scanner internetes vírusirtóval. Az ESET Online Scanner ingyenes szolgáltatás a következő weboldalról tölthető le: http://www.eset.hu/tamogatas/viruslabor/onlineellenorzes Megjegyzés: Az egyes elemek kockázati szintje gyorsan meghatározható, ha összehasonlítja az elem színét a kockázati szint csúszkájának színével. Keresés Ez a szolgáltatás használható adott elemek gyors kereséséhez a név vagy a név egy része alapján. A keresési eredmények a leírásokat megjelenítő ablakban láthatók. Visszalépés A Balra vagy Jobbra nyílbillentyűre kattintva lépkedhet a leírásokat megjelenítő ablakban látható információkra. Állapot szakasz Megjeleníti az aktuális csomópontot a navigációs ablakban.
5.4.1.1
Vezérlőelemek
Ez a szakasz tartalmazza az ESET SysInspector alkalmazásban rendelkezésre álló összes vezérlőelem ismertetését. Fájl Ide kattintva későbbi vizsgálat céljából mentheti az aktuális jelentés állapotát, vagy megnyithat egy korábban mentett jelentést. Ha közzé szeretné tenni a jelentést, javasoljuk, hogy küldésre alkalmas formában hozza azt létre, így nem szerepelnek benne a bizalmas adatok. Megjegyzés: Az ESET SysInspector korábbi jelentéseinek megnyitásához egyszerűen húzza azokat a főablakba. Fa Lehetővé teszi az összes csomópont kibontását vagy összecsukását. Lista A programon belüli egyszerű navigálásra szolgáló funkciókat, valamint számos egyéb műveletet tartalmaz (többek között az információk online keresését). Fontos: a vörössel kiemelt elemek ismeretlenek, ezért jelöli a program potenciálisan veszélyesnek azokat. Ha egy elem vörös, az nem jelenti automatikusan azt, hogy a fájl törölhető. Törlés előtt győződjön meg arról, hogy a fájlok valóban veszélyesek, illetve nem szükségesek. Súgó Az alkalmazásra és funkcióira vonatkozó információkat tartalmaz. Részletek A főablak egyéb szakaszaiban megjelenített információkat határozza meg, ezáltal egyszerűsíti a program használatát. Az „Alap” módban hozzáféréssel rendelkezik a rendszerben fellépő általános problémák megoldásának kereséséhez használt információkhoz. A „Közepes” módban az ESET SysInspector a kevésbé használt részleteket, míg a „Teljes” módban a nagyon specifikus problémák megoldásához szükséges információkat jeleníti meg. Elemek szűrése Az elemek szűrése a rendszerben lévő gyanús fájlok vagy rendszerbeállítási bejegyzések kereséséhez használható. A csúszka húzásával az elemeket a kockázati szintjük szerint szűrheti. Ha a csúszkát teljesen balra húzza (1. kockázati szint), a program az összes elemet megjeleníti. A csúszka jobbra húzásával a program kiszűri az aktuális kockázati szintnél kevésbé kockázatos összes elemet, és csak a megjelenített szintnél gyanúsabb elemeket jeleníti meg. Ha a csúszkát a jobb oldali szélső helyzetbe állítja, a program csak az ismert káros elemeket jeleníti meg.
5.4.1.2
Navigálás az ESET SysInspector alkalmazásban
Az ESET SysInspector néhány alapvető szakaszra (csomópontra) osztja a különböző típusú információkat. Az egyes csomópontok alcsomópontokra bontásával további részleteket jeleníthet meg. Ha egy csomópontot ki szeretne bontani vagy össze kíván csukni, kattintson duplán a csomópont nevére, vagy kattintson a név mellett látható vagy ikonra. Ha a navigációs ablakban tallózással kiválaszt egy-egy csomópontot vagy alcsomópontot, az arra vonatkozó adatok megjelennek a leírásokat tartalmazó ablakban. Ha ebben az ablakban tallóz az elemek között, további részletek jelenhetnek meg a részleteket megjelenítő ablakban. Az alábbiakban a fő csomópontok navigációs ablakban látható leírásai, valamint a leírásokat és a részleteket tartalmazó ablakban szereplő kapcsolódó információk találhatók. Futó folyamatok Ez a csomópont a jelentés létrehozásának időpontjában futó alkalmazásokra és folyamatokra vonatkozó információkat tartalmaz. Az egyes folyamatokra vonatkozóan a leírásokat megjelenítő ablak további részleteket tartalmaz (például a folyamat által használt dinamikusan csatolt függvénytárakat vagy helyüket a rendszerben, az alkalmazások gyártójának nevét, a fájl kockázati szintjét stb.). A részleteket megjelenítő ablak a leírásokat tartalmazó ablakban kijelölt elemek további adatait (például a fájl méretét vagy kivonatát) jeleníti meg. Megjegyzés: Az operációs rendszerek számos fontos, éjjel-nappal futó kernelösszetevőből állnak, és alapvető funkciókat biztosítanak a többi felhasználói alkalmazás számára. Bizonyos esetekben az ilyen folyamatok \??\ kezdetű elérési úttal jelennek meg az ESET SysInspector eszközben. Ezek a jelek a folyamatok indítás előtti optimalizálását biztosítják; biztonságosak a rendszer számára, és így helyesek is. Hálózati kapcsolatok A leírásokat tartalmazó ablak a navigációs ablakban kijelölt protokollt (TCP vagy UDP) használó hálózaton keresztül kommunikáló folyamatok és alkalmazások listáját tartalmazza azzal a távoli címmel együtt, amelyhez az alkalmazás kapcsolódik. Ellenőrizheti emellett a DNS által hozzárendelt IP-címeket is. A részleteket megjelenítő ablak a leírásokat tartalmazó ablakban kijelölt elemek további adatait (például a fájl méretét vagy kivonatát) jeleníti meg.
33
Fontos rendszer-beállítási bejegyzések Ebben a csomópontban látható a kijelölt, gyakran a rendszerrel kapcsolatos különböző hibákra (például az indítási programok vagy a böngésző segédobjektumainak megadására stb.) vonatkozó rendszerbeállítási bejegyzések listája.
a fastruktúra rész új értékeket tartalmaz eltávolított érték, csak a korábbi naplóban szerepel a fastruktúra rész eltávolított értékeket tartalmaz
A leírásokat megjelenítő ablakban megtalálhatók, hogy mely fájlok kapcsolódnak az adott rendszer-beállítási bejegyzésekhez. További adatokat találhat a részleteket megjelenítő ablakban.
érték/fájl megváltozott
Szolgáltatások A leírásokat megjelenítő ablak tartalmazza a Windowsszolgáltatásként regisztrált fájlok listáját. A részleteket megjelenítő ablakban ellenőrizheti a szolgáltatás indításának beállított módját, valamint a fájl adatait.
a kockázati szint csökkent vagy az előző naplóban magasabb volt
Illesztőprogramok A rendszerben telepített illesztőprogramok listája.
a fastruktúra rész módosított értékeket/fájlokat tartalmaz
a kockázati szint nőtt vagy az előző naplóban alacsonyabb volt A bal alsó sarokban látható magyarázó rész ismerteti az összes jelet, és megjeleníti az összehasonlított naplók nevét.
Kritikus fájlok A leírásokat tartalmazó ablakban látható a Microsoft Windows® operációs rendszerrel kapcsolatos kritikus fájlok tartalma. Rendszerinformációk A hardverrel és a szoftverrel, valamint a beállított környezeti változókkal és a felhasználói jogokkal kapcsolatos részletes információkat jeleníti meg. Fájladatok A Program Files mappában található fontos rendszerfájlok és fájlok listája. A fájlokkal kapcsolatos további információk a leírásokat és a részleteket megjelenítő ablakokban találhatók. Névjegy Az ESET SysInspector alkalmazással kapcsolatos adatok. 5.4.1.3
Összehasonlítás
Az Összehasonlítás szolgáltatás lehetővé teszi két meglévő napló összehasonlítását. A szolgáltatás megjeleníti azokat az elemeket, amelyek egyik naplóban sem gyakoriak. Akkor érdemes használni, ha nyomon szeretné követni a változásokat a rendszerben – felismerheti például a kártékony kódok tevékenységét. Elindítását követően az alkalmazás létrehoz egy új naplót, amely új ablakban jelenik meg. Ha egy naplót fájlba szeretne menteni, keresse meg a Fájl -> Napló mentése parancsot. A naplófájlokat később megnyithatja és megtekintheti. Meglévő napló a Fájl -> Napló megnyitása parancsával nyitható meg. A program főablakában az ESET SysInspector egyszerre mindig egy naplót jelenít meg. Két napló összehasonlításakor alapelv, hogy a jelenleg aktív naplót egy fájlba mentett naplóhoz hasonlítja. A naplók összehasonlításához mutasson a Fájl -> Naplók összehasonlítása menüpontra, majd válassza a Fájl kijelölése parancsot. A program összehasonlítja a kijelölt naplót a fő programablakokban lévő aktív naplóval. A létrejövő úgynevezett összehasonlítási napló csak a két napló közötti különbségeket jeleníti meg. Megjegyzés: Két naplófájl összehasonlítása esetén válassza a Fájl -> Napló mentése parancsot, és mentse a fájlt ZIP-fájlként. Ha később megnyit egy ilyen fájlt, a program automatikusan összehasonlítja a benne található naplókat. A megjelenített elemek mellett a SysInspector feltünteti az összehasonlított naplók közötti különbségeket azonosító jeleket. jel azonosítja azokat az elemeket, amelyek csak az aktív naplóban találhatók meg, és nem szerepeltek a megnyitott összehasonlítási naplóban. jel azonosítja azokat az elemeket, amelyeket csak a megnyitott napló tartalmazott, az aktív naplóból hiányoznak. Az elemek mellett látható jelek magyarázata: új érték, nem szerepel az előző naplóban 34
Minden összehasonlító napló egy fájlba menthető, és később megnyitható. Példa: Hozzon létre és mentsen egy naplót, amelyben a rendszerre vonatkozó eredeti információkat rögzíti egy előző.xml nevű fájlba. A rendszeren végzett módosításokat követően nyissa meg a SysInspector eszközt, és engedélyezze egy új napló létrehozását. Mentse azt egy jelenlegi.xml nevű fájlba. A két napló közötti változások nyomon követéséhez válassza a Fájl -> Naplók összehasonlítása parancsot. A program létrehozza a naplók közötti különbségeket megjelenítő összehasonlító naplót. Ugyanaz az eredmény érhető el az alábbi parancssori kapcsoló használata esetén: SysIsnpector.exe jelenlegi.xml előző.xml 5.4.1.4
Az ESET NOD32 Antivirus 4 részét képező SysInspector
A SysInspector megnyitásához az ESET NOD32 Antivirus 4 programban kattintson az Eszközök > SysInspector parancsra. A SysInspector ablak kezelési rendszere hasonló a számítógép-ellenőrzési naplók vagy az ütemezett feladatok esetén megismert rendszerhez. A rendszer pillanatképeivel végzett minden művelet – létrehozás, megtekintés, összehasonlítás, eltávolítás és exportálás – egy vagy két kattintással elérhető. A SysInspector ablak a létrehozott pillanatképekre vonatkozó alapinformációkat tartalmazza, többek között a létrehozás idejét, egy rövid megjegyzést, a pillanatképet készítő felhasználó nevét, valamint a pillanatkép állapotát. A pillanatképek összehasonlításához, létrehozásához vagy törléséhez a SysInspector ablakban a pillanatképek listája alatt található gombok használhatók. Ezek a műveletek a helyi menüből is elérhetők. A rendszer kijelölt pillanatképe a helyi menü Megjelenítés parancsával tekinthető meg. Ha a kijelölt pillanatképet fájlba szeretné exportálni, kattintson a jobb gombbal a fájlra, majd válassza az Exportálás parancsot. Az elérhető parancsok részletes leírása:
Összehasonlítás – Lehetővé teszi két meglévő napló összehasonlítását. Akkor érdemes használni, ha össze szeretné hasonlítani a jelenlegi és az előző naplót. A beállítás érvénybelépéséhez jelöljön ki két összehasonlítandó pillanatképet. Hozzáadás – Új bejegyzést hoz létre. Ezt megelőzően egy rövid megjegyzést kell hozzáfűzni a bejegyzéshez. A pillanatkép létrehozási folyamatának (az aktuálisan létrehozott pillanatképből) százalékos értékben megadott haladása az Állapot oszlopban látható. Minden létrehozott pillanatképet a Létrehozva állapot jelöl. Törlés – Eltávolítja a listából a bejegyzéseket. Megjelenítés – Megjeleníti a kijelölt pillanatképet. A kijelölt bejegyzésre duplán kattintva is megjelenítheti azt. Exportálás – XML-fájlba menti a kijelölt bejegyzést (tömörített változatban is). 5.4.1.5
Eltávolító szkript
Az eltávolító szkript közvetlen hatással van az operációs rendszerre és a telepített alkalmazásokra, lehetővé téve a felhasználóknak olyan szkriptek végrehajtását, amelyekkel eltávolíthatók a rendszerből a problémás összetevők, beleértve a vírusokat, a vírusok maradványait, a letiltott fájlokat, a beállításjegyzékben lévő vírusbejegyzéseket stb. A szkript mentése egy már meglévő .xml fájlból létrehozott szöveges fájlba történik. A használat megkönnyítése érdekében a .txt szkriptfájlban lévő adatok világosan és áttekinthetően rendezettek. A szkript kezdetben hatástalan. Más szavakkal, a szkript eredeti formájában semmilyen hatással nincs rendszerre, ehhez a felhasználónak szerkesztenie kell azt. Figyelmeztetés: Ez az eszköz csak tapasztalt felhasználók számára ajánlott. Helytelen használata a programok vagy az operációs rendszer sérülését okozhatja. 5.4.1.5.1
Eltávolító szkriptek létrehozása
Ha létre szeretne hozni egy szkriptet, a SysInspector főablakában kattintson a jobb gombbal a menü fastruktúrájának bármely elemére (a bal oldali panelen). A helyi menüben válassza a Minden szakasz exportálása az eltávolító szkriptbe vagy a Kijelölt szakaszok exportálása az eltávolító szkriptbe parancsot. 5.4.1.5.2 Az eltávolító szkript struktúrája A szkript fejlécének első sorában láthatók a motor verziójára (ev), a grafikus felhasználói felület verziójára (gv) és a napló verziójára (lv) vonatkozó információk. Ezek az adatok használhatók a szkriptet létrehozó és a végrehajtás során az inkonzisztenciákat megakadályozó .xml fájl lehetséges módosításainak a nyomon követéséhez. A szkript ezen részét nem célszerű módosítani. A fájl többi része olyan szakaszokból áll, amelyekben szerkeszthetők az elemek (jelölje meg a szkript által feldolgozandókat). Az elemek az előttük található „-” karakter „+” karakterre való lecserélésével jelölhetők meg a feldolgozáshoz. A szkriptben üres sor választja el egymástól a szakaszokat. Minden szakaszhoz tartozik egy szám és egy cím. 01) Running processes Ez a szakasz a rendszerben futó összes folyamat listáját tartalmazza. Az egyes folyamatok azonosítására szolgál az UNC-útvonal és azt követően a CRC16 kivonatkód csillag jelek (*) között. Példa:
01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] Ebben a példában egy folyamat, a module32.exe van kijelölve (megjelölve a „+” karakterrel); a folyamat a szkript végrehajtásakor fog befejeződni. 02) Loaded modules Ez a szakasz tartalmazza az aktuálisan használt rendszermodulokat. Példa: 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] Ebben a példában a khbekhb.dll modul van megjelölve egy „+” karakterrel. Amikor a szkript fut, felismeri az adott modult használó folyamatokat, és befejezi azokat. 03) TCP connections Ebben a szakaszban találhatók a meglévő TCP-kapcsolatokra vonatkozó adatok. Példa: 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Amikor a szkript fut, megkeresi a szoftvercsatorna tulajdonosát a megjelölt TCP-kapcsolatokban, és bezárja a szoftvercsatornát, ezáltal rendszererőforrásokat szabadítva fel. 04) UDP endpoints Ez a szakasz a meglévő UDP-végpontokról tartalmaz információkat. Példa: 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Amikor a szkript fut, elszigeteli a szoftvercsatorna tulajdonosát a megjelölt UDP-végpontoknál, és leállítja a szoftvercsatornát. 05) DNS server entries Ez a szakasz az aktuális DNS-szerver konfigurációjáról tartalmaz információkat. Példa: 35
05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] A szkript futtatásakor a szoftver eltávolítja a megjelölt DNSszerverbejegyzéseket. 06) Important registry entries Ez a szakasz a beállításjegyzék (rendszerleíró adatbázis) fontos bejegyzéseiről tartalmaz információkat. Példa: 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = “C:\Users\antoniak\AppData\Local\ Google\Update\GoogleUpdate.exe” /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] A szkript végrehajtásakor a szoftver törli, 0 bájt értékre csökkenti, illetve az alapértékekre visszaállítja a megjelölt elemeket. Az egyes bejegyzésekhez alkalmazandó művelet az adott beállításjegyzékben szereplő bejegyzés kategóriájától és kulcsértékétől függ. 07) Services Ez a szakasz jeleníti meg a rendszerben regisztrált szolgáltatásokat. Példa: 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\ windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] A szkript végrehajtásakor a szoftver leállítja és eltávolítja a megjelölt szolgáltatásokat és az azoktól függő szolgáltatásokat. 08) Drivers Ez a szakasz a telepített illesztőprogramokat sorolja fel. Példa: 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\ system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32\drivers\ adihdaud.sys, state: Running, startup: Manual [...]
36
A szkript végrehajtásakor a szoftver megszünteti a kijelölt illesztőprogramok regisztrálását, és eltávolítja az illesztőprogramokat. 09) Critical files Ez a szakasz az operációs rendszer megfelelő működése szempontjából kritikus fájlokról tartalmaz információkat. Példa: 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 […] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON […] * File: hosts - 127.0.0.1 localhost - ::1 localhost […] A szoftver törli a kijelölt elemeket vagy visszaállítja azok eredeti értékeit. 5.4.1.5.3 Az eltávolító szkriptek végrehajtása Jelölje meg az összes kívánt elemet, majd mentse és zárja be a szkriptet. Futtassa a szerkesztett szkriptet a SysInspector főablakából a Fájl menü Eltávolító szkript futtatása parancsával. Amikor megnyit egy szkriptet, a program a következő üzenetet küldi: Biztosan futtatja a(z) “%Scriptname%” eltávolító szkriptet? A kiválasztás megerősítését követően egy másik figyelmeztetés jelenhet meg arról, hogy a futtatni kívánt eltávolító szkript nincs aláírva. Kattintson a Futtatás gombra a szkript futtatásához. A szkript sikeres végrehajtásáról egy párbeszédpanelen kap megerősítést. Ha a szkript csak részlegesen hajtható végre, a következő üzenetet tartalmazó párbeszédpanel jelenik meg: Az eltávolító szkript futtatása részlegesen sikerült. Megtekinti a hibajelentést? Kattintson az Igen gombra, ha meg szeretne tekinteni egy olyan összetett hibajelentést, amely a végre nem hajtott műveleteket tartalmazza. Ha a következő üzenet jelenik meg, a szoftver nem ismerte fel érvényesként, és nem fogja futtatja a szkriptet: A kijelölt fájlt a program nem ismerte fel a művelethez érvényes eltávolító szkriptként. Újranyithatja a szkriptfájlt és a szkripten belül javíthatja a hibákat, illetve létrehozhat egy új eltávolító szkriptet. 5.5 ESET SysRescue Az ESET SysRescue egy olyan segédprogram, amely lehetővé teszi az ESET NOD32 Antivirus 4 (ENA) szoftvert tartalmazó rendszerindító lemez létrehozását. Az ESET SysRescue fő előnye abban rejlik, hogy az ENA az operációs rendszertől függetlenül fut, így közvetlen hozzáféréssel rendelkezik a lemezhez és a teljes fájlrendszerhez. Ennek köszönhetően eltávolíthatók az általában (például az operációs rendszer futásakor) nem törölhető fertőzések.
5.5.1
Minimális követelmények
Az ESET SysRescue (ESR) a Windows Vista-alapú Microsoft Windows előtelepítési környezet (Windows PE) 2.x verziójával működik. A Windows PE az ingyenes Windows automatikus telepítési csomag (Windows AIK) részét képezi, ezért a helyreállító CD létrehozása előtt telepíteni kell a Windows AIK csomagot. A Windows PE 32 bites verziójának támogatása következtében a helyreállító CD csak az ESS/ ENA 32 bites verziójával hozható létre. Az ESET SysRescue a Windows AIK 1.1-es és újabb verzióját támogatja. Az ESET SysRescue az ESET Smart Security/ESET NOD32 Antivirus 4.0-s és újabb verzióiban érhető el. 5.5.2
Helyreállító CD készítése
Ha a rendszer megfelel az ESET SysRescue programmal készítendő helyreállító CD létrehozása minimális követelményeinek, a feladat egyszerűen végrehajtható. A helyreállító CD készítésének indításához kattintson a Start > Programok > ESET > ESET NOD32 Antivirus 4 > ESET SysRescue parancsra. A varázsló először ellenőrzi, hogy megtalálható-e a Windows AIK és a rendszerindító adathordozó létrehozásához megfelelő eszköz. Következő lépésként jelölje ki a helyreállító CD helyeként szolgáló céladathordozót. CD/DVD/USB adathordozón kívül ISO-fájlba is mentheti a helyreállító CD-t. Az ISO-lemezképet később CD-re vagy DVD-re írhatja, illetve más módon is használhatja (olyan virtuális környezetben, mint például a VmWare vagy a Virtualbox). Az összes paraméter megadását követően megjelenik egy létrehozási előnézet a helyreállító CD készítésének utolsó lépéséről. Ellenőrizze a paramétereket, és indítsa el a létrehozást. A beállítások az alábbiak: Mappák ESET vírusirtó További lehetőségek Rendszerindító USB-eszköz Írás 5.5.2.1
Mappák
Ideiglenes mappa – A helyreállító CD létrehozásakor szükséges fájlok munkamappája. ISO-mappa – A létrehozás befejezését követően a létrejövő ISO-fájl mentéséhez használt mappa. A lapon lévő listában látható az összes helyi és társított hálózati meghajtó a rendelkezésre álló szabad területtel együtt. Ha néhány mappa kevés szabad lemezterülettel rendelkező meghajtón található, javasoljuk, hogy jelöljön ki egy több szabad hellyel rendelkező meghajtót. Ellenkező esetben előfordulhat, hogy a kevés szabad lemezterület következtében a létrehozás idő előtt befejeződik. Külső alkalmazások Lehetővé teszi további olyan programok megadását, amelyeket a SysRescue-adathordozóról történő rendszerindítást követően kíván futtatni vagy telepíteni. Külső alkalmazások belefoglalása – Lehetővé teszi külső program hozzáadását a készítendő helyreállító CD-hez. Kijelölt mappa – A helyreállító CD-hez hozzáadandó programokat tartalmazó mappa. 5.5.2.2
ESET Antivirus
A helyreállító CD létrehozásához az ESET-fájlok két forrásból kerülhetnek a fordítóprogramba. ENA mappa – Az a mappa, ahová az ESET programot telepítette a számítógépen.
MSI-fájl – Az ESET Smart Security vagy az ESET NOD32 Antivirus MSI telepítőcsomagja. Profil – A frissítéshez szükséges felhasználónév és jelszó az alábbi két forrásból használható: Telepített ENA – A felhasználónév és a jelszó az aktuálisan telepített ESET NOD32 Antivirus 4 vagy ESET NOD32 szoftverből származik. Felhasználó által megadott – A program a megfelelő mezőkben megadott felhasználónevet és jelszót használja. Megjegyzés: a helyreállító CD-n található ESET NOD32 Antivirus 4 vagy ESET NOD32 Antivirus frissítése az interneten keresztül vagy a helyreállító CD-t futtató számítógépen telepített ESET biztonsági szoftver mappájából történhet. 5.5.2.3
További lehetőségek
A További lehetőségek lapon optimalizálhatja a helyreállító CD-t a számítógép memóriaméretének megfelelően. Jelölje be az 512 MB vagy nagyobb választógombot a CD tartalmának a műveleti memóriába (RAM) történő írásához. Ha a kisebb mint 512 MB választógombot jelöli be, a program a helyreállító CD-ről fog futni. Külső illesztőprogramok – Ezen a részen szúrhat be illesztőprogramokat az adott hardverhez (általában hálózati adapterhez). Bár a Windows előtelepítési környezet a hardverek széles skáláját támogató Windows Vista SP1 rendszeren alapul, a rendszer néha nem ismeri fel a hardvert, és kézzel kell felvenni az illesztőprogramot. Az illesztőprogram két módon vehető fel a helyreállító CD létrehozásához – kézzel (a Hozzáadás gombbal) és automatikusan (az Aut. keresés gombbal). A kézzel történő felvétel esetén ki kell jelölnie a megfelelő .inf fájl elérési útját (megfelelő *.sys fájlnak is lennie kell a mappában). Automatikus felvétel esetén az illesztőprogram keresése automatikusan történik az adott számítógép operációs rendszerében. Az automatikus felvételt csak abban az esetben javasoljuk, ha a helyreállító CD-t olyan számítógépen használja, amely hálózati adaptere megegyezik a CD létrehozásához használt számítógép hálózati adapterével. A helyreállító CD létrehozásakor a rendszer felveszi az illesztőprogramot, így a felhasználónak nem kell később keresnie azt. 5.5.2.4
Rendszerindító USB-eszköz
Ha céladathordozóként USB-eszközt adott meg, a rendelkezésre álló USB-adathordozók közül a Rendszerindító USB-eszköz lapon jelölhet ki egyet (több USB-eszköz esetén). Figyelmeztetés: a helyreállító adathordozó létrehozásakor a rendszer formázza az USB-eszközt, ami azt jelenti, hogy törli a rajta lévő összes adatot. 5.5.2.5
Írás
Ha CD-t vagy DVD-t jelölt ki céladathordozóként, további írási paramétereket adhat meg az Írás lapon. ISO-fájl törlése – Jelölje be ezt a jelölőnégyzetet, ha a helyreállító CD létrehozását követően törölni szeretné az ISO-fájlokat. Törlés engedélyezve – A jelölőnégyzet bejelölésével kiválasztja a gyors és teljes törlést. Lemezíró eszköz – Jelölje ki az íráshoz használandó illesztőprogramot. Figyelmeztetés: Ez az alapértelmezett beállítás. Újraírható CD vagy DVD használata esetén a rendszer törli az összes rajta lévő adatot. Az Adathordozó csoportban találhatók a CD/DVD-meghajtóba helyezett aktuális adathordozóra vonatkozó információk.
37
Írási sebesség – Jelölje ki a kívánt sebességet a legördülő listában. Az írási sebesség kiválasztásakor figyelembe kell venni a lemezíró eszköz jellemzőit és a használt CD vagy DVD típusát. 5.5.3
A helyreállító adathordozó használata
A helyreállító CD/DVD/USB akkor használható, ha a számítógép az elkészített helyreállító adathordozóról indítható. A rendszerindítási prioritás a BIOS-ban módosítható. A rendszerindítási menüt a számítógép indításakor is megjelenítheti, általában (az alaplap/BIOS verziójától függően) az F9–F12 billentyűk egyikének lenyomásával. A rendszerindítást követően elindul az ESS/ENA. Mivel a helyreállító adathordozó csak adott esetekben használatos, a Számítógép ellenőrzése, a Frissítés és a Beállítások kivételével az általános ESS/ ENA szoftverben található néhány védelmi modulra és szolgáltatásra nincs szükség. A helyreállító adathordozón található modul legfontosabb szolgáltatása a vírusdefiníciós adatbázis frissítése. Javasoljuk, hogy a számítógép ellenőrzése előtt frissítse a programot. 5.5.3.1
A helyreállító adathordozó alkalmazása
Tételezzük fel, hogy a számítógépet megfertőzte egy vírus, amely a végrehajtható (EXE) fájlokat módosítja. Az ESS/ENA szoftver minden fertőzött fájlt képes megtisztítani az explorer.exe kivételével, amely még csökkentett módban sem tisztítható meg. Ennek oka, hogy az alapvető Windows-folyamatok egyikeként az explorer.exe csökkentett módban is elindul. Az ESS/ENA semmilyen műveletet nem tud végrehajtani a fájlon, ezért az fertőzött marad. Ilyen esetben a helyreállító adathordozó segítségével megoldhatja a problémát. A helyreállító adathordozó nem igényli az operációs rendszer egyetlen összetevőjét sem, ezért képes a lemezen lévő bármely fájl feldolgozására (megtisztítására, törlésére).
38
6. Szószedet 6.1 Kártevők típusai A kártevő egy olyan szoftver, amely a felhasználó tudta nélkül megpróbál bejutni a rendszerbe, és felhasználja azt saját maga továbbterjesztésére, miközben egyéb kártékony tevékenységet is végrehajt. 6.1.1
Vírusok
A számítógépes vírus olyan fertőzés, amely fájlokat rongál meg a számítógépen. A vírusok a biológiai vírusokról kapták a nevüket, mert hozzájuk hasonló technikákkal terjednek egyik számítógépről a másikra. Elsősorban alkalmazásokat és dokumentumokat támadnak meg. Úgy replikálódnak, hogy „törzsüket” hozzáfűzik a célfájl végéhez. A vírusok működése dióhéjban a következő: a fertőzött fájl végrehajtása után a vírus (még az eredeti alkalmazás előtt) aktiválódik, és elvégzi meghatározott feladatát. Az eredeti alkalmazás csak ezt követően indul el. A vírus csak akkor képes megfertőzni a számítógépet, ha a felhasználó (véletlenül vagy szándékosan) futtatja vagy megnyitja a kártékony programot. A számítógépes vírusok tevékenységüket és súlyosságukat tekintve igen változatosak. Némelyikük rendkívül veszélyes, mert képes szándékosan fájlokat törölni a merevlemezről. Ugyanakkor vannak vírusok, amelyek nem okoznak valódi károkat, és egyetlen céljuk, hogy bosszantsák a felhasználót vagy fitogtassák szerzőjük műszaki jártasságát. Fontos megjegyezni, hogy a vírusok (a trójaiakkal vagy a kémprogramokkal összehasonlítva) egyre inkább a ritkaság kategóriájába tartoznak, mert anyagilag nem jelentenek vonzerőt a kártékony szoftverek szerzőinek. Magát a „vírus” kifejezést az összes kártevő megjelölésére is szokták – gyakran tévesen – alkalmazni. Ebben az értelemben azonban fokozatosan egy új, pontosabb terminus, a „kártevő” (angolul „malware”, malicious software, vagyis a kártékony és a szoftver szó összevonása) kezdi kiszorítani a használatát.
Ha a számítógép féreggel fertőződik meg, ajánlatos törölni a fertőzött fájlokat, mivel azok nagy valószínűséggel ártalmas kódot tartalmaznak. Jól ismert férgek például a következők: Lovsan/Blaster, Stration/ Warezov, Bagle és Netsky. 6.1.3
Trójaiak
Előzményeiket tekintve a számítógépes trójaiak olyan kártékony kódok, amelyek hasznos programokként tüntetik fel magukat, és csalárd módon ráveszik a felhasználót a futtatásukra. Fontos azonban megjegyezni, hogy ez a régebbi trójaiakra volt igaz, az újabbak már nem tartanak igényt az álcázásra. Kizárólagos céljuk, hogy a lehető legegyszerűbben bejussanak a rendszerbe, és kifejtsék kártékony tevékenységüket. A „trójai” olyan gyűjtőfogalommá vált, amely a más kategóriákba nem sorolható kártékony szoftvereket jelöli. Tág fogalomról lévén szó, gyakran különböző alkategóriákra osztják. A legismertebbek: •
Letöltő – Olyan kártékony program, amely képes más fertőző kódokat letölteni az internetről.
•
Vírushordozó – Olyan trójai, amelynek rendeltetése, hogy más típusú kártékony szoftvereket telepítsen a fertőzött számítógépekre.
•
Hátsó kapu – Olyan alkalmazás, amely távoli támadókkal kommunikál, lehetővé téve számukra a rendszerbe való behatolást és irányításának átvételét.
•
Billentyűzetfigyelő – Olyan program, amely rögzíti, hogy a felhasználó milyen billentyűket üt le, és ezt az információt elküldi a távoli támadóknak.
•
Tárcsázó – Olyan program, amelyet emelt díjas telefonszámok tárcsázására terveztek. Szinte lehetetlen észrevenni, amikor egy ilyen program új kapcsolatot létesít. A tárcsázók csak faxmodemek révén tudnak kárt okozni, ezek azonban már egyre ritkábbak.
Ha a számítógépet vírus fertőzi meg, a fájlokat vissza kell állítani eredeti állapotukba, azaz egy vírusvédelmi programmal meg kell tisztítani őket.
A trójaiak általában .exe kiterjesztésű alkalmazások. Ha a számítógép valamelyik fájljáról kiderül, hogy trójai, ajánlatos törölni, mivel nagy valószínűséggel kártékony kódot tartalmaz.
Vírusok például a következők: OneHalf, Tenga és Yankee Doodle.
Jól ismert trójaiak például a következők: NetBus, Trojandownloader. Small.ZL, Slapper
6.1.2
Férgek
A számítógépes féreg olyan kártékony kódot tartalmazó program, amely hálózatba kötött számítógépeket támad meg, és a hálózaton önmagától terjed. A vírus és a féreg között az az alapvető különbség, hogy a férgek önállóan képesek replikálódni és terjedni. Ehhez nincs szükségük gazdafájlokra (vagy rendszerindítási szektorokra). A férgek e-mailben vagy hálózati csomagokban terjednek. E tekintetben az alábbi két kategóriába sorolhatók: •
E-mailben terjedő férgek – Olyan férgek, amelyek elküldik magukat a felhasználó névjegyalbumában lévő e-mail címekre.
•
Hálózati csomagokban terjedő férgek – Olyan férgek, amelyek különböző alkalmazások biztonsági réseit aknázzák ki.
A férgek tehát sokkal életképesebbek, mint a vírusok. Az internet széleskörű hozzáférhetősége miatt kibocsátásuk után néhány órával – esetenként néhány perccel – már az egész világon felbukkanhatnak. Az önálló és gyors replikációra való képességük más kártékony szoftvereknél (például a vírusoknál) lényegesen veszélyesebbé teszi őket. A rendszerben aktiválódott féreg számos kellemetlenséget okozhat: fájlokat törölhet, ronthatja a rendszer teljesítményét, sőt akár kikapcsolhat egyes programokat. A férgek természetéből adódóan alkalmasak más típusú kártékony kódok szállítására.
6.1.4
Rootkitek
A rootkitek olyan kártékony programok, amelyek a támadónak hozzáférést biztosítanak a rendszerhez, miközben jelenlétüket elrejtik. Miután bejutnak a rendszerbe (általában annak biztonsági rését kihasználva), a rootkitek az operációs rendszer funkcióinak használatával igyekeznek észrevétlenek maradni a vírusvédelmi szoftverek előtt: folyamatokat, fájlokat és Windowsbeállításértékeket (rendszerleíró adatbázisbeli adatokat) rejtenek el. Emiatt a szokványos vizsgálati technikákkal szinte lehetetlen felderíteni őket. Ha meg szeretné előzni a rootkitek okozta fertőzéseket, vegye figyelembe, hogy az észlelés két szinten működik: 1. Az első szint az, amikor ezek a szoftverek megpróbálnak bejutni a rendszerbe. Még nincsenek jelen, ezért inaktívak. A legtöbb vírusvédelmi rendszer ezen a szinten képes a rootkitek elhárítására (feltéve, hogy egyáltalán fertőzöttként felismerik az ilyen fájlokat). 2. A második szint az, amikor a szokványos ellenőrzés elől elrejtőznek. Az ESET vírusvédelmi rendszer felhasználói élvezhetik az aktív rootkitek észlelésére és elhárítására képes Anti-Stealth technológia előnyeit.
39
6.1.5
Reklámprogramok
A reklámprogram olyan szoftver, amelynek rendeltetése hirdetések terjesztése. Ebbe a kategóriába a reklámanyagokat megjelenítő programok tartoznak. A reklámprogramok gyakran automatikusan megnyitnak egy reklámot tartalmazó előugró ablakot a böngészőben, vagy módosítják a kezdőlapot. Gyakran szabadszoftverekkel („freeware” programokkal) vannak egybecsomagolva, mert ezek fejlesztői így próbálják meg csökkenteni az (általában hasznos) alkalmazásaik költségeit. A reklámprogram önmagában nem veszélyes, de a hirdetések zavarhatják a felhasználót. A veszélyt az jelenti, hogy az ilyen programok (a kémprogramokhoz hasonlóan) nyomkövetést is végezhetnek. Ha freeware szoftver használata mellett dönt, szenteljen különleges figyelmet a telepítőprogramnak. A legtöbb telepítő valószínűleg értesítést küld a reklámprogramok telepítéséről. Gyakran lehetőség van a szoftver reklámprogram nélküli telepítésére. Egyes programok azonban nem telepíthetők, vagy csak korlátozottan használhatók a reklámprogram nélkül. Ez azt jelenti, hogy a reklámprogram „legálisan” fér hozzá a rendszerhez, mert a felhasználó erre engedélyt adott neki. A biztonságot részesítse azonban előnyben, hiszen jobb félni, mint megijedni. Ha a számítógép valamelyik fájljáról kiderül, hogy reklámprogram, ajánlatos azt törölni, mivel nagy valószínűséggel kártevőt tartalmaz. 6.1.6
Kémprogramok
Ebbe a kategóriába tartoznak mindazon alkalmazások, amelyek magánjellegű információkat továbbítanak a felhasználó tudta vagy hozzájárulása nélkül. Nyomkövető funkciók révén különböző statisztikai adatokat küldhetnek, például a meglátogatott webhelyek listáját, a felhasználó névjegyalbumában lévő e-mail címeket vagy a leütött billentyűk felsorolását. A kémprogramok szerzői azt állítják, hogy ezek az eljárások a felhasználók igényeinek és érdeklődési körének feltérképezésére, így hatékonyabban célzott reklámok létrehozására szolgálnak. A probléma azonban az, hogy nincs világos határvonal a hasznos és a kártékony alkalmazások között, és senki sem lehet biztos abban, hogy az összegyűjtött információkkal nem élnek-e vissza. A kémprogramokkal megszerzett adatok lehetnek biztonsági kódok, PIN kódok, bankszámlaszámok és így tovább. A kémprogramokat szerzőik gyakran ingyenes programverziókkal csomagolják egybe, hogy jövedelemre tegyenek szert, vagy szoftverük megvásárlására csábítsanak. Gyakran előfordul, hogy egy program a telepítéskor tájékoztatja a felhasználót a kémprogram jelenlétéről, amivel arra igyekszik rávenni őt, hogy frissítsen a szoftver kémprogrammentes verziójára. Az egyenrangú (P2P) hálózatok ügyfélalkalmazásai például olyan ingyenes („freeware”) termékek, amelyekről tudott, hogy kémprogrammal egybecsomagolva jelennek meg. A Spyfalcon vagy a Spy Sheriff (és sok más) szoftver külön alkategóriába tartozik – ezek kémprogramvédelmi alkalmazásoknak tüntetik fel magukat, ám valójában maguk is kémprogramok. Ha a számítógép valamelyik fájljáról kiderül, hogy kémprogram, ajánlatos azt törölni, mivel nagy valószínűséggel kártékony kódot tartalmaz. 6.1.7
Veszélyes alkalmazások
Számtalan törvényesen használható alkalmazás létezik, amely a hálózati számítógépek adminisztrációjának egyszerűsítését célozza. Az ilyen programok azonban rossz kezekben bűnös célokat szolgálhatnak. Az ESET ezért állította fel ezt a különleges kategóriát. Ügyfeleink most megadhatják, hogy a vírusvédelmi rendszer észlelje-e vagy sem az ilyesfajta fenyegetéseket.
40
A „veszélyes alkalmazások” csoportjába a kereskedelemben kapható, törvényes szoftverek tartoznak, többek között a távoli hozzáférést biztosító eszközök, a jelszófeltörő alkalmazások, valamint a billentyűzetfigyelők (a felhasználó minden billentyűleütését rögzítő programok). Ha észreveszi, hogy egy veszélyes alkalmazás van jelen a számítógépen és fut (de nem Ön telepítette), kérjen tanácsot a hálózati rendszergazdától, vagy távolítsa el az alkalmazást. 6.1.8
Kéretlen alkalmazások
A kéretlen alkalmazások nem feltétlenül kártevők, de hátrányosan befolyásolhatják a számítógép teljesítményét. Ezek az alkalmazások általában engedélyt kérnek a telepítésükhöz. Miután a számítógépre kerülnek, a rendszer a telepítésük előtti állapotához képest eltérően kezd viselkedni. A lényegesebb változások az alábbiak: •
Korábban nem látott új ablakok nyílnak meg.
•
Rejtett alkalmazások aktiválódnak és futnak.
•
Megnő a rendszererőforrások használata.
•
Módosulnak a keresési eredmények.
•
Az alkalmazások távoli szerverekkel kommunikálnak.