Как настроить Comodo?

Здравствуйте!
Подскажите как правильно настроить Comodo.
Каждые пять секунд в Журнале отображает следующее:

Политика входящих нарушений (Доступ запрещен, IP=192.168.1.4 Порт 27017)
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.54 Порт nbname (137))
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.30 Порт nbdgram (138))

и еще ругается на svchost, которых 2 штуки
1й в c:\windows\system32 родитель `services.exe`
2й в c:\windows родитель `неизвестно`

[quote=artstud;200901]2й в c:\windows родитель `неизвестно`[/quote]
Вот это и подозрительно, попробуйте Правила выполнить, может найдут чего =)
Порт 27017 это видимо игровой сервер
137, 138 это нетбиос.

Поискал при помощи DrWeb и при помощи AVZ - никаких результатов.

На прошлой неделе находил таких гостей как: RemoteAdmin(30), PassView(27), PWS.Multi и Sentinel.

[quote=artstud;200971]Поискал при помощи DrWed и при помощи AVZ - никаких результатов.

На прошлой неделе находил таких гостей как: RemoteAdmin(30), PassView(27), PWS.Multi и Sentinel.[/quote]
я не увидел вашей темы с логами:?

Да уж, учитывая, что "второй" "svchost" находится, видимо в c:\windows, то без темы с логами действительно не обойтись..

А что делать с nbname(137) и nbdgram(138). Что это такое? А то я в этом ничего не понимаю.

Как сказать - что делать.. netbios name service и netbios datagram service и порты 137 и 138, упоминаемые Вами - часть механизма netbios over tcp/ip (если интересно что это - посмотрите хотя бы в Википедии). Отвечают эти порты за регистрацию и проверку сетевых имен, обнаружение сетевых устройств и тому подобное. Вообще говоря, если Вы пользуетесь локальной сетью только для выхода в Интернет, функционал отвечающий за эти порты неплохо было бы отключить.

Локальной сетью действительно пользуюсь только для выхода в интернет.
А как отключить этот самый функционал?

К примеру, прочитать здесь:
[URL="http://forum.kaspersky.com/index.php?showtopic=30184"]http://forum.kaspersky.com/index.php?showtopic=30184[/URL]

Спасибо! Сейчас попробую сделать.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 22 минуты[/I][/B][/color][/size]

2 Kinneas
Сделал все как написано на форуме. Ситуация с фаерволом не изменилась. Также ругается "Политика входящих нарушений".

[quote=artstud;201426] Сделал все как написано на форуме. Ситуация с фаерволом не изменилась. Также ругается "Политика входящих нарушений".[/quote]
@ [b]artstud[/b]:

У вас проблемы не пройдут сами по себе, даже если у вас 10 файрволов. У вас какой-то левый svchost, чьи отец и мать - неизвестны (он НЕ ДОЛЖЕН находиться в c:\windows). Поэтому предлагаю вам выполнить [url=http://virusinfo.info/showthread.php?t=1235]правила[/url] и открыть тему в разделе Помогите.

Paul

Здравствуйте, Paul.

Я тоже собирался это сказать, но тема в разделе "Помогите" была уже открыта и хелперы даже уже запостили необходимые для лечения скрипты, так что я автоматически подумал, что о фальшивом svchost уже можно не беспокоиться.

[quote=Kinneas;201535] Здравствуйте, Paul.

Я тоже собирался это сказать, но тема в разделе "Помогите" была уже открыта и хелперы даже уже запостили необходимые для лечения скрипты, так что я автоматически подумал, что о фальшивом svchost уже можно не беспокоиться.[/quote]
Да... только что увидел, что тема уже открыта, но дело до конца ещё не доделано, по моему...
@ artstud:
Если все звери убиты, то тогда покажите отчёт [url=http://download.sysinternals.com/Files/TcpView.zip]TCPView[/url].
В статье, которую привёл Kinneas не указано, что надо ещё применть [url=http://www.firewallleaktester.com/tools/wwdc.exe]Windows Worms Doors Cleaner[/url].
Открыть программку. Все параметры должны быть зелёными. Если нет, то тогда нажать Disable и перезагрузить компьютер.

Paul

На правах оффтопика: не совсем понятно, кстати говоря, почему до сих пор в той статье ничего не сказано про wwdc, стоило бы попросить модераторов исправить, ведь именно благодаря wwdc закрываются порты 445, 135 и 137-139, которые "штатными" средствами закрыть нельзя.

[quote=p2u;201543]надо ещё применть [URL="http://www.firewallleaktester.com/tools/wwdc.exe"]Windows Worms Doors Cleaner[/URL].
Открыть программку. Все параметры должны быть зелёными. Если нет, то тогда нажать Disable и перезагрузить компьютер.
Paul[/quote]
Странная прога.. Заорала, что у меня вирус, ибо svchost слишком большой и бушует не в меру

[quote=ALEX(XX);201550]Странная прога.. Заорала, что у меня вирус, ибо svchost слишком большой и бушует не в меру[/quote]
Да, там какие-то параметры заданы для svchost. Если он больше определённого количество МБ использует, то тогда это требует внимание. Если вы точно знаете, что заражения нету, то тогда можно не обращать внимание. Перезагрузить комп тоже вариант. Программка очень хорошо закрывает все уязвимые порты (135, 445, 137-139, 5000, и отключает Службу сообщений).

P.S.1: Если ответить на вопрос темы: 'Как настроить Comodo?', то тогда ответ такой:

В раздел Network Monitor (Сетевой Монитор) должны быть 3 правила для пакетов [b]если у вас IP-адрес постоянным[/b]:
[color=blue]1. Разрешать + Журнализировать [b]UDP Исх[/b], Источник (любой), Получатель: (DNS-адреса вашего провайдера) - порт источника (любой) - Порт Получателя [b]53[/b]
2. Разрешать + Журнализировать [b]TCP Исх[/b], Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
3. Блокировать + Журнализировать [b]IP Вх/Исх[/b], Источник (любой), Получателя (любой), - порт источника (любой) - порт получателя (любой)[/color]

Таким образом, даже когда вы разрешите на уровне приложений что-то не то (или Троян щёлкает 'разрешить'), то тогда беды не будет - блокируется всё равно.

[b]Если IP-адрес меняется каждый раз[/b], то тогда получаются 4 правила:
[color=blue]1. Разрешать + Журнализировать [b]UDP Вх/Исх[/b], Источник (любой), Получатель: (желательно только DHCP-адреса вашего провайдера), - порт источника [b]68[/b], порт получателя [b]67[/b].
2. Разрешать + Журнализировать [b]UDP Исх[/b], Источник (любой), Получатель: (DNS-адреса вашего провайдера) - порт источника (любой) - порт получателя [b]53[/b]
3. Разрешать + Журнализировать [b]TCP Исх[/b], Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
4. Блокировать + Журнализировать [b]IP Вх/Исх[/b], Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)[/color]

Далее, в разделе 'Защита' - 'Дополнительно' - 'Дополнительное Обнаружение и Отражение атак' ('Настройть' - 'Разное') надо отметить ВСЕ пункты, Нажать ОК, и перезагрузить компьютер.

P.S.2: Геймеры и другие, которым нужен 'высокий' Ping должны оставить правила по умолчанию для ICMP пакетов, иначе успеха не будет. Самое главное - не забудем, что блокирующее правило должно стоять ниже, чем разрешающее.

Paul

Здравствуйте! Это выводит в окошке TCPView:

System:4 TCP foto-08f50b72bf:microsoft-ds foto-08f50b72bf:0 LISTENING
svchost.exe:740 TCP foto-08f50b72bf:epmap foto-08f50b72bf:0 LISTENING
IEXPLORE.EXE:204 UDP foto-08f50b72bf:1088 *:*
System:4 UDP foto-08f50b72bf:microsoft-ds *:*

В wwdc Enable Locator и Close Messenger - желтенькие. Остальное все зеленое.

[quote=artstud;201737] В wwdc Enable Locator и Close Messenger - желтенькие. Остальное все зеленое.[/quote]
ОК. Параметр Messenger - Он видимо не может найти ключ. Это ничего страшного. Для полного закрытия порта 445 я вам сейчас напишу инструкции. Ждите немного. :)
[b]Update[/b]:
Пуск - Выполнить:
- HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableDCOM" - поставить на N.
- HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableRemoteConnections" - поставить на N.
- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols" - удалить параметр "ncacn_ip_tcp"
Перезагрузить комп.

Paul

1 - уже стоял N.
2 - такого нет. Создать?
3 - без параметров.

[quote=artstud;201781]2 - такого нет. Создать?[/quote]
Да. Можно создать. У меня в данном окне (HKEY_LOCAL_MACHINE\Software\Microsoft\OLE) ещё стоят:

Название: EnableRemoteConnect
Тип: REG_SZ
Значение: N

Название: EnableDCOM
Тип: REG_SZ
Значение: N

Название: EnableDCOMHTTP
Тип: REG_SZ
Значение: N

После изменений ПЕРЕЗАГРУЗИТЬ систему!

Paul