-
Junior Member
- Вес репутации
- 59
Как настроить Comodo?
Здравствуйте!
Подскажите как правильно настроить Comodo.
Каждые пять секунд в Журнале отображает следующее:
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.4 Порт 27017)
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.54 Порт nbname (137))
Политика входящих нарушений (Доступ запрещен, IP=192.168.1.30 Порт nbdgram (13)
и еще ругается на svchost, которых 2 штуки
1й в c:\windows\system32 родитель `services.exe`
2й в c:\windows родитель `неизвестно`
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
artstud
2й в c:\windows родитель `неизвестно`
Вот это и подозрительно, попробуйте Правила выполнить, может найдут чего =)
Порт 27017 это видимо игровой сервер
137, 138 это нетбиос.
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Junior Member
- Вес репутации
- 59
Поискал при помощи DrWeb и при помощи AVZ - никаких результатов.
На прошлой неделе находил таких гостей как: RemoteAdmin(30), PassView(27), PWS.Multi и Sentinel.
Последний раз редактировалось artstud; 17.03.2008 в 11:37.
-
Сообщение от
artstud
Поискал при помощи DrWed и при помощи AVZ - никаких результатов.
На прошлой неделе находил таких гостей как: RemoteAdmin(30), PassView(27), PWS.Multi и Sentinel.
я не увидел вашей темы с логами
-
-
Да уж, учитывая, что "второй" "svchost" находится, видимо в c:\windows, то без темы с логами действительно не обойтись..
-
Junior Member
- Вес репутации
- 59
А что делать с nbname(137) и nbdgram(13. Что это такое? А то я в этом ничего не понимаю.
Последний раз редактировалось artstud; 14.03.2008 в 10:26.
Причина: Добавлено
-
Как сказать - что делать.. netbios name service и netbios datagram service и порты 137 и 138, упоминаемые Вами - часть механизма netbios over tcp/ip (если интересно что это - посмотрите хотя бы в Википедии). Отвечают эти порты за регистрацию и проверку сетевых имен, обнаружение сетевых устройств и тому подобное. Вообще говоря, если Вы пользуетесь локальной сетью только для выхода в Интернет, функционал отвечающий за эти порты неплохо было бы отключить.
Последний раз редактировалось Kinneas; 13.03.2008 в 14:59.
-
Junior Member
- Вес репутации
- 59
Локальной сетью действительно пользуюсь только для выхода в интернет.
А как отключить этот самый функционал?
-
-
Junior Member
- Вес репутации
- 59
Спасибо! Сейчас попробую сделать.
Добавлено через 2 часа 22 минуты
2 Kinneas
Сделал все как написано на форуме. Ситуация с фаерволом не изменилась. Также ругается "Политика входящих нарушений".
Последний раз редактировалось artstud; 13.03.2008 в 18:06.
Причина: Добавлено
-
Сообщение от
artstud
Сделал все как написано на форуме. Ситуация с фаерволом не изменилась. Также ругается "Политика входящих нарушений".
@ artstud:
У вас проблемы не пройдут сами по себе, даже если у вас 10 файрволов. У вас какой-то левый svchost, чьи отец и мать - неизвестны (он НЕ ДОЛЖЕН находиться в c:\windows). Поэтому предлагаю вам выполнить правила и открыть тему в разделе Помогите.
Paul
Последний раз редактировалось XP user; 13.03.2008 в 19:48.
-
Здравствуйте, Paul.
Я тоже собирался это сказать, но тема в разделе "Помогите" была уже открыта и хелперы даже уже запостили необходимые для лечения скрипты, так что я автоматически подумал, что о фальшивом svchost уже можно не беспокоиться.
-
Сообщение от
Kinneas
Здравствуйте, Paul.
Я тоже собирался это сказать, но тема в разделе "Помогите" была уже открыта и хелперы даже уже запостили необходимые для лечения скрипты, так что я автоматически подумал, что о фальшивом svchost уже можно не беспокоиться.
Да... только что увидел, что тема уже открыта, но дело до конца ещё не доделано, по моему...
@ artstud:
Если все звери убиты, то тогда покажите отчёт TCPView.
В статье, которую привёл Kinneas не указано, что надо ещё применть Windows Worms Doors Cleaner.
Открыть программку. Все параметры должны быть зелёными. Если нет, то тогда нажать Disable и перезагрузить компьютер.
Paul
-
На правах оффтопика: не совсем понятно, кстати говоря, почему до сих пор в той статье ничего не сказано про wwdc, стоило бы попросить модераторов исправить, ведь именно благодаря wwdc закрываются порты 445, 135 и 137-139, которые "штатными" средствами закрыть нельзя.
-
Сообщение от
p2u
надо ещё применть
Windows Worms Doors Cleaner.
Открыть программку. Все параметры должны быть зелёными. Если нет, то тогда нажать Disable и перезагрузить компьютер.
Paul
Странная прога.. Заорала, что у меня вирус, ибо svchost слишком большой и бушует не в меру
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Странная прога.. Заорала, что у меня вирус, ибо svchost слишком большой и бушует не в меру
Да, там какие-то параметры заданы для svchost. Если он больше определённого количество МБ использует, то тогда это требует внимание. Если вы точно знаете, что заражения нету, то тогда можно не обращать внимание. Перезагрузить комп тоже вариант. Программка очень хорошо закрывает все уязвимые порты (135, 445, 137-139, 5000, и отключает Службу сообщений).
P.S.1: Если ответить на вопрос темы: 'Как настроить Comodo?', то тогда ответ такой:
В раздел Network Monitor (Сетевой Монитор) должны быть 3 правила для пакетов если у вас IP-адрес постоянным:
1. Разрешать + Журнализировать UDP Исх, Источник (любой), Получатель: (DNS-адреса вашего провайдера) - порт источника (любой) - Порт Получателя 53
2. Разрешать + Журнализировать TCP Исх, Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
3. Блокировать + Журнализировать IP Вх/Исх, Источник (любой), Получателя (любой), - порт источника (любой) - порт получателя (любой)
Таким образом, даже когда вы разрешите на уровне приложений что-то не то (или Троян щёлкает 'разрешить'), то тогда беды не будет - блокируется всё равно.
Если IP-адрес меняется каждый раз, то тогда получаются 4 правила:
1. Разрешать + Журнализировать UDP Вх/Исх, Источник (любой), Получатель: (желательно только DHCP-адреса вашего провайдера), - порт источника 68, порт получателя 67.
2. Разрешать + Журнализировать UDP Исх, Источник (любой), Получатель: (DNS-адреса вашего провайдера) - порт источника (любой) - порт получателя 53
3. Разрешать + Журнализировать TCP Исх, Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
4. Блокировать + Журнализировать IP Вх/Исх, Источник (любой), Получатель (любой), - порт источника (любой) - порт получателя (любой)
Далее, в разделе 'Защита' - 'Дополнительно' - 'Дополнительное Обнаружение и Отражение атак' ('Настройть' - 'Разное') надо отметить ВСЕ пункты, Нажать ОК, и перезагрузить компьютер.
P.S.2: Геймеры и другие, которым нужен 'высокий' Ping должны оставить правила по умолчанию для ICMP пакетов, иначе успеха не будет. Самое главное - не забудем, что блокирующее правило должно стоять ниже, чем разрешающее.
Paul
Последний раз редактировалось XP user; 14.03.2008 в 10:38.
-
Junior Member
- Вес репутации
- 59
Здравствуйте! Это выводит в окошке TCPView:
System:4 TCP foto-08f50b72bf:microsoft-ds foto-08f50b72bf:0 LISTENING
svchost.exe:740 TCP foto-08f50b72bf:epmap foto-08f50b72bf:0 LISTENING
IEXPLORE.EXE:204 UDP foto-08f50b72bf:1088 *
System:4 UDP foto-08f50b72bf:microsoft-ds *
В wwdc Enable Locator и Close Messenger - желтенькие. Остальное все зеленое.
Последний раз редактировалось artstud; 14.03.2008 в 11:02.
-
Сообщение от
artstud
В wwdc Enable Locator и Close Messenger - желтенькие. Остальное все зеленое.
ОК. Параметр Messenger - Он видимо не может найти ключ. Это ничего страшного. Для полного закрытия порта 445 я вам сейчас напишу инструкции. Ждите немного.
Update:
Пуск - Выполнить:
- HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableDCOM" - поставить на N.
- HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
"EnableRemoteConnections" - поставить на N.
- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCO M Protocols" - удалить параметр "ncacn_ip_tcp"
Перезагрузить комп.
Paul
-
Junior Member
- Вес репутации
- 59
1 - уже стоял N.
2 - такого нет. Создать?
3 - без параметров.
-
Сообщение от
artstud
2 - такого нет. Создать?
Да. Можно создать. У меня в данном окне (HKEY_LOCAL_MACHINE\Software\Microsoft\OLE) ещё стоят:
Название: EnableRemoteConnect
Тип: REG_SZ
Значение: N
Название: EnableDCOM
Тип: REG_SZ
Значение: N
Название: EnableDCOMHTTP
Тип: REG_SZ
Значение: N
После изменений ПЕРЕЗАГРУЗИТЬ систему!
Paul