ESET NOD32 Antivirus

ESET NOD32 Smart security

Есть несколько способов вернуть работоспособность для совместной работы Staffcop-агента и Eset Nod32.

Первый способ

  • Откройте программу, нажав значок Eset Nod в правой части панели задач Windows.

  • Перейдите в раздел Настройка.

  • Перейдите в раздел Защита Интернета → Расширенные параметры.

  • Откажитесь от проверки HTTPS (опция Включить проверку протокола HTTPS).

../../_images/exclusions_31.png

Второй способ

Является более правильным, т.к. заставляет и антивирус и Staffcop-агент работать совместно и без конфликтов.

Суть заключается, в том, чтобы добавить корневой сертификат агента Staffcop в антивирусную программу.

Скачать корневой сертификат для драйверной-версии:

NeonLightInc.crt (Mozilla)

NeonLightInc.cer (Windows)

Сертификаты нужно скопировать на машину у которой есть доступ к центральному серверу администрирования настройками антивируса или на локальную машину если нужно импортировать сертификат единовременно на локальную машину.

Затем вам надо следовать указаниям из этой статьи пункт 2 (Статья на Русском), чтобы импортировать сертификат, вам нужен раздел - Список известных сертификатов (List of known certificates).

Конкретно вот эту картинку вам нужно принять как руководство к импорту сертификата:

../../_images/exclusions_41.png

После импорта сертификата лучше перезапустить как службу Staffcop-агента, так и сам браузер.

Чтобы перезапустить агента, надо открыть консоль Windows От имени администратора и выполнить следующее:

c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe stop
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe start

И проверить работу сайтов в браузере снова.

Примечание

В зависимости от версии программы пути к нужной настройке могут различаться.

ESET NOD32 Endpoint 5.x

Если планируется установить агента на рабочую станцию пользователя, то вначале нужно отключить защиту антивируса, чтобы он не удалил агента до момента его установки.

../../_images/eset5-31.png

Для того, что бы вручную добавить исключения нужно кликнуть правой кнопкой по иконке антивируса в трее и выбрать пункт - «Открыть ESET Endpoint Security». Далее, нажать кнопку F5.

../../_images/eset5-11.png

И в меню «Компьютер - Защита от вирусов и шпионских программ - Исключения» добавить в список следующие исключения:

../../_images/eset5-21.png

Файлы:

c:\windows\auxiliaryservice.exe
c:\Windows\System32\TimeControlSvc\dpinst_32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv64.exe
c:\Windows\System32\TimeControlSvc\sysprotect.exe
c:\Windows\System32\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\System32\TimeControlSvc\Proxy\PCController.exe
c:\Windows\System32\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\System32\TimeControlSvc\Proxy\RunHiddenConsole.exe
c:\Windows\SysWOW64\TimeControlSvc\dpinst_64.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv32.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe
c:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\PCController.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RunHiddenConsole.exe
C:\Windows\SysWOW64\TimeControlSvc\*.*
C:\Windows\System32\TimeControlSvc\*.*
C:\windows\installer\*
c:\Windows\SysWOW64\TimeControlSvc
c:\Windows\System32\config\systemprofile\AppData\Roaming\TimeSvc3
c:\Windows\agent.msi
c:\Windows\Winexesvc.exe
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.cat
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.sys
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\FileMonitorInstallation64.inf
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv.sys
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv64.sys
C:\Windows\System32\drivers\ProcObsrv64.sys
C:\Windows\System32\drivers\CaptureFileMonitor64.sys

Примечание

Для устранения конфликта c антивирусом при установке агента на рабочую станцию пользователя, вы должны отключить антивирус. Или запускать утилиту удалённой установки на рабочей станции где антивирус не запущен.

ESET Security Managment Center 7

Для настройки исключений в политике по умолчанию, входим в консоль «ESET Security Managment Center»:

../../_images/eset_11.JPG

Затем переходим на вкладку - Polices - ESET Endpoint for Windows и выбираем политику Antivirus Balanced нажимаем на шестерёнку и выбираем пункт - Edit

../../_images/eset_2_21.JPG ../../_images/eset_31.JPG

Добавляем исключения в DETECTION ENGINE

В разделе SETTINGS - DETECTION ENGINE - BASIC.

Выбираем секцию EXCLUSIONS и нажимаем - Edit

../../_images/eset_41.JPG

В этом диалоге нужно будет добавить следующие строки по одной или импортировать из файла:

../../_images/eset_5_11.JPG
c:\windows\auxiliaryservice.exe
c:\Windows\System32\TimeControlSvc\dpinst_32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv32.exe
c:\Windows\System32\TimeControlSvc\vmnetdrv64.exe
c:\Windows\System32\TimeControlSvc\sysprotect.exe
c:\Windows\System32\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\System32\TimeControlSvc\Proxy\PCController.exe
c:\Windows\System32\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\System32\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\System32\TimeControlSvc\Proxy\RunHiddenConsole.exe
c:\Windows\SysWOW64\TimeControlSvc\dpinst_64.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv32.exe
c:\Windows\SysWOW64\TimeControlSvc\vmnetdrv64.exe
c:\Windows\SysWOW64\TimeControlSvc\sysprotect64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\NtControlSvc.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\PCController.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\ProxyConfigurator.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RegisterLSP64.exe
c:\Windows\SysWOW64\TimeControlSvc\Proxy\RunHiddenConsole.exe
C:\Windows\SysWOW64\TimeControlSvc\*.*
C:\Windows\System32\TimeControlSvc\*.*
C:\windows\installer\*
c:\Windows\SysWOW64\TimeControlSvc
c:\Windows\System32\config\systemprofile\AppData\Roaming\TimeSvc3
c:\Windows\agent.msi
c:\Windows\Winexesvc.exe
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.cat
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\CaptureFileMonitor64.sys
C:\Windows\SysWOW64\TimeControlSvc\Drivers\FileMonitorDriver\FileMonitorInstallation64.inf
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv.sys
C:\Windows\SysWOW64\TimeControlSvc\ProcObsrv64.sys
C:\Windows\System32\drivers\ProcObsrv64.sys
C:\Windows\System32\drivers\CaptureFileMonitor64.sys

Эти исключения помогут агенту работать на рабочей станции пользователя без его удаления со стороны антивируса.

Примечание

Если хотите, чтобы политики сработали точно - нажмите на значок молнии в строке с названием редактируемого модуля в политике.

../../_images/eset_3331.JPG

После завершения внесения изменений, нажимаем внизу кнопку FINISH, после применения политики, она будет применена сразу же на всех ПК, которым применяется эта политика.

По умолчанию эта политика распространяется на все ПК с Windows-системами.

Примечание

Работа исключений была проверена на ESET Endpoint версии 7.0.2100.46.55.0.2272, и ESET Security Management Center Version 7.0 (7.0.577.0) возможно на каких-то других версиях ESET Endpoint Antivirus\ESET Managment Center - исключения могут вести себя иначе. Если у вас возникают проблемы сообщите нам пожалуйста в техническую поддержку (support@staffcop.ru) об этой ошибке и сообщите версию Managment Center и Endpoint Antivirus.

Предупреждение

Если установка агента была произведена до внесения исключений в антивирус, то необходимо переустановить агент, иначе некоторые модули могут работать некорректно.

Примечание

Если удаление агента после внесения исключений продолжаются, пожалуйста убедитесь, что исключения действительно применились на рабочих станциях пользователей. Это можно сделать если зайти в настройки антивируса и посмотреть текущие исключения для модуля файлового мониторинга или общая страница с исключениями.

Если вам не хочется вносить изменения в исключения, чтобы была исключена папка C:\windows\installer\*, то вы можете внести исключения по угрозе:

Win32/KeyLogger.StaffCop.E
Win32/KeyLogger.StaffCop.D
Win64/KeyLogger.StaffCop.E
Win64/KeyLogger.StaffCop.D
../../_images/antivirus_eset_1.png ../../_images/antivirus_eset_2.png

В итоге, список исключений должен будет выглядеть так:

../../_images/antivirus_eset_3.png

Примечание

Это исключение работает только для антивируса версии 7.х и старше! В Качестве «Маски пути» - нужно указать диск C:\*