» Comodo Firewall Pro / Comodo Internet Security (3)

Roka, я за ламеров никого не принимаю. Вы сами о таком способе не написали, поэтому и вам написал.

То вы пишите, что у вас там экзешников тьма, то пишете, что вы не ламер... Как-то не состыкуются эти две фразы. Но мне без разницы какие у вас познания, вы задали вопрос - я предложил проверить то, что нужно пробовать первым делом.

Поищите в Program Files группу по COMODO или CIS, а внутри нужный экзешник: у меня сейчас всё еще CFP стоит, поэтому какой там экзешник в CIS не скажу, но там их немного и по названию точно определите нужный.

Roka, товарищи, ведь такого не бывает:

Цитата:

Никаких нигде ярлыков нет, ни в трее ничего не висит.

Просто CIS не встал правильно ! Причем здесь Program Files ? Почто человека мучите ?
Всю жизнь у CISа были и ярлык на столе и значек в трее.
Попробуйте переустановить.

---

WIGF, а вы не пробовали русскую локализацию из CISа к CFP прикрутить, такое вообще возможно ?

ikar2006
Чтобы, в твоем случае для Skype, появлялись алерты, надо, кроме удаления самой программы из раздела "Сетевые политики безопасности", перевести Фаер в режим "Пользовательский", а модуль Защита в режим как минимуи "Чистый ПК".

ЗЫ: а чтобы создавались более точные правила для данного (и не только данного) приложения, нужно в Настройках фаервола - Настройки опопвещения, перевести движок в положение "Очень высокий". Кстати, WGIF только-что, чуть выше, писал об этом

Цитата:

WIGF, а вы не пробовали русскую локализацию из CISа к CFP прикрутить, такое вообще возможно ?

Dorovsky, так я ей давным-давно пользуюсь. Всё работает. У меня всё обновляется, просто в названии стоит CFP, а не CIS. Ну и русик встал нормально. А сейчас исправленный русик стоит.

Ярлыков и т.п. может и не быть, если при установке премудрая Виста что-то не так сделала (или пользователь её не так настроил или неверно на её запросы отвечал). CIS может работать (теоретически) и без значка в трее. Так через Program Files в данном случае можно было попробовать запустить GUI и посмотреть на результат.

У меня тоже с первого раза CIS установился не совсем хорошо. Не потребовал перезагрузку (вручную перезагружался), не добавил ярлыки, в автозагрузку попал только SafeSurf. Установил еще раз (поверх), и все, на первый взгляд, встало правильно.

WIGF,
день добрый, подскажите пожалуйста какое правило стоит создать и где, чтобы уберечь себя от атак червя kido/conficker'a у себя в локалке, а то замучало уже.
дела обстоят так - в сети есть компьютеры, зараженные этим червем и они естественно атакуют другие машины. при включенном CIS 3.9.95478 червь все равно пролазит, о чем мне говорит NOD32 2.3 (ESS 3.0.672 раньше стоял, так его сканер по доступу тоже орал регулярно по 10 раз в день, что в C:\windows\system32\ktagasru.ykt заражен этим червем). когда комод поставил, наконец понял в следсвии чего этот файл появляется, вот скриншот ниже:


после вот таких вот атак, когда входящих соединений больше 20 и все они с зараженного компьютера (а таких в сети 10-15), и создается C:\windows\system32\ktagasru.ykt.
почитал в интернете, там сказано что кидо распрстранаяется в сети(кроме флешек и других сменных носителей) через 135 и 445 порты. добавил правило для процеса System блокировать ТСП пакеты на 135 и 445 порты с 192.168.0.24 (100% зараженный гад), так сегодня этот червь уже на 139 стучится и успешно проходит.

так вот, как бы закрыть себя от атак этого червя в сети 1-2 правилами, чтоб оставалась возможность открытия разшар в локалке для обмена файлами? или в GR что то можно придумать блокирующе порты, которые кидо использует и еще для svchost, какие правила создать, этому процесу ведь только на сайты майкрософта лезть за апдейтами надо.

Phoen_ua

Цитата:

какое правило стоит создать и где, чтобы уберечь себя от атак червя kido/conficker'a у себя в локалке

Обновления системы надо поставить. Читайте тут.
P.S. Это не Вы случайно - Georgos на ВирусИнфо, с которым я сейчас общаюсь?

Phoen_ua, добрый день !
Можно создать правило в таком виде:
Блокировать TCP и UDP входящие из IP [Заражённые компы] в IP любой, где порты источника любые, а порты получателя [Группа портов: 135, 137-139, 445]
Потом в эту группу добавлять все заражённые компы.

Разделить хорошие и плохие соединения в данном случае может только антивирус (т.е. проанализировать сами пакеты). Поэтому либо закрываем полностью эти порты для заражённых компов, либо лечим эти компы. Если антивирус качественно это делает, тогда можно в нём отключить оповещение о срабатываниях, чтобы он молча убивал файлы и закрывал соединение с заражённым компом. Но при этом туда нужно периодически заглядывать и добавлять заражённые компы в группу для блокировки.

А для передачи файлов можно использовать не только расшаренные папки, но и протоколы http и ftp. Вот пример такой программы - hfs.

Для svchost.exe правила с объяснением вот тут давал. Но я не использую расшаренные папки.

WIGF

Цитата:

IP [Заражённые компы]

Если у них в сетке обновления ставить немодно, то список будет постоянно пополняться
А всех запретить - потерять шару по сетке.

gjf, согласен. Но если обратившийся не сисадмин и не может повлиять на лечение всей сетки, а может обезопасить только свой комп, то тут только запрет соединений и использование hfs или аськи для передачи файлов помогут (ну и апдейты оси, само собой нужно делать).

WIGF
у меня стоит ESET NOD32 Antivirus v4.0.437 + COMODO Internet Security (тока стенка, антивирь не устанавливал)
После этих слов
Цитата:

НОД 3 и выше пропускает весь HTTP трафик через свой локальный прокси, порт 30606. Отсюда - проблемы с тонкой настройкой фаервола.

хочу спросить: т.e мне нужно перейти на версию 2.7, чтобы комод исправно определял всё? При этом моя безопасность не ухудшится (ведь 2.7 уже устаревшая), 2.7 также ловит вирусы, как и 4?
Кстати, могу я узнать, каким антивирем вы пользуетесь?

HarDDroN, это дело вкуса. У меня NOD32 2.70.39 стоит. Но по фукционалу четвёрка, конечно, лучше. На то она и четвёртая версия, а не третья и не вторая.
Вот только то, как в CIS определяются соединения различных приложений при одновременной работе с тройкой/четвёркой NOD32, мне не очень нравится. Но можно и четвёркой пользоваться: настроить в ней http-проверку только конкретных приложений, а не портов (и по почте также). Тогда для самого антивируса в CIS нужно будет разрешить не только соединения типичные для антивируса, но и для браузера и почты. А для браузеров и почты в CIS будут отражаться только соединения с localhost по порту 30606.

Вирусы двойка тоже неплохо ловит и определяет, и базы у неё обновляются (движок просто другой, предыдущего уровня). И при настроенном модуле ЗАЩИТА в CIS антивируса достаточно и такого как вторая версия NOD32. Ну плюс настроенный браузер (с плагинами) и отсутствие привычки ставить на компе непонятно что из интернета (в т.ч. всякие кряки, непонятные модные программы и т.п.).

Согласен с gjf, конечно правила можно создать, но если поставить все необходимые заплатки от мелкософта, то и проблема отпадет без каких-либо дополнительных правил, по крайней мере у меня в сетке именно так. Правда больные компы я все же лечу...

ЗЫ: а сисадмином не обязательно быть, чтобы обезопасить свой комп, именно на него и надо поставить обновления и можно не беспокоиться об остальных компах (если не админ, конечно )

WIGF
Понятно, значит в ноде надо так сделать:


Я прав?
А ещё можно спросить? Это что?


Добавлено:
Кстати, WIGF
У вас нод хоть один раз файлы ЛЕЧИЛ? У меня чётверка все найденный файлы с вирусами УДАЛЯЕТ! Говорят, что версии 2.x более менее справлялись с этим.
P.S. если у вас хватит терпения, помогите с правилами для ekrn.exe

HarDDroN

Цитата:

У вас нод хоть один раз файлы ЛЕЧИЛ? У меня чётверка все найденный файлы с вирусами УДАЛЯЕТ!

Лечить можно только файловые вирсу - Sality, Virut и так далее. Kido - не файловый вирус, его можно и нужно только удалить.

gjf,

Цитата:

P.S. Это не Вы случайно - Georgos на ВирусИнфо, с которым я сейчас общаюсь?

неа, при всем своем желании это не я - я там даже не зарегистрирован.

Цитата:

Обновления системы надо поставить. Читайте тут.

какраз эти апдейты и ставил, но уже после того как кидо успел "нагадить", может по этому и не помогают они от новых атак((
в локалке есть и свои люди,, с которыми саму локалку делали, но есть и чужие, с которой соединили сеть другого человека, который на них денежку зарабатывает, роздавая интернет и снимая абон. плату. но и там, и там есть зараженные компы..

WIGF,

Цитата:

Можно создать правило в таком виде:
Блокировать TCP и UDP входящие из IP [Заражённые компы] в IP любой, где порты источника любые, а порты получателя [Группа портов: 135, 137-139, 445]
Потом в эту группу добавлять все заражённые компы.

спасибо за идею. я так и сделал, только использовал инверсную логику - мне легче будет разрешить только для некоторых разшары в локалке, нежели проверять ежедневно кто же еще заразился. теперь правило выглядит вот так, что скажете (GR):


а вот правило для свхоста(DHCP мне не нужен, я сам прописывал), что скажете:



Цитата:

Разделить хорошие и плохие соединения в данном случае может только антивирус (т.е. проанализировать сами пакеты). Поэтому либо закрываем полностью эти порты для заражённых компов, либо лечим эти компы. Если антивирус качественно это делает, тогда можно в нём отключить оповещение о срабатываниях, чтобы он молча убивал файлы и закрывал соединение с заражённым компом. Но при этом туда нужно периодически заглядывать и добавлять заражённые компы в группу для блокировки.

я почитал что пишет gjf и решил снести ESS 3.0.672, чтоб убрать эту транзитную проксю от эсэтовского комбайна и правильно отображались соеднинения в комоде, поэтому поставил Eset NOD32 2.7 (как вы и советовали))) не понимаю как он должен был бы "разделять хорошие и плохие соеднинения", если это всего антивирус и он не следит за траффиком в сети, я не знаю. Но его сканер по доступу уже оповещает меня о последсвиях того, что комод пропустил червя (из-за того что я правила некорректно настроил). регулярно обновляюсь через Windows Automatic Update. и еще одно - возможно ли сделать так, что бы пинговать кого то (и в локалке, и в инете)я мог, но когда пингуют меня - чтобы ответа не было? как будет выглядеть правило?

Phoen_ua

Цитата:

возможно ли сделать так, что бы пинговать кого то (и в локалке, и в инете)я мог, но когда пингуют меня - чтобы ответа не было? как будет выглядеть правило?

Можно создать глобальные правила:
1. Разрешить, ICMP, Входящие, Адреса любые, Icmp Echo ответ
2. Разрешить, ICMP, Исходящие, Адреса любые, Icmp Echo запрос
А остальные icmp запретить.
Либо просто запретить входящие запросы и (необязательно, наверно) исходящие ответы.

Phoen_ua
Я бы вам предложил такую последовательность действий.
1. Удалите Кидо, как описано в ссылке, указанной мной раньше.
2. Установите все обновления.

Потом уже мудрите с софтом.

Лично я не разделяю вашего оптимизма относительно морально устаревшего НОДа. А исходя из того, как вы перепрыгиваете с софта на софт, делаю вывод, что это всё - варез.

А потому поставьте КИС7 или КИС8 (но не 2010!) и не мучайтесь.

gjf, ну грубо говоря да, варез, потому что не платил. но ключи для ESS и NOD32, и сами дистрибутивы брал здесь, на руборде и способами которые описаны тут. О ключах отдельный разговор - но все персонально мое, имена и пасворды только мои, а не "однодневки", обновляюсь с оффсайтов, а не с каких то левых зеркал.
а от кидо я вылечился - чем только не прогонял - и кидокиллером,и софтом против кидо других производителей. и в реестре смотрел в нужных разделах, и значения параметров у свхост, и службы с рандомным именем и ее dll-ками, и файлы autorun.infи т.д. у майкрософта на сайте написано про кидо-и те инструкции выполнял и устанавливал запреты на изменение значений свхост, НОД, Ad-Aware, гмер, авз и прочее - кидо не находит, я чистый) а те файл появляются только при атаке в сети... заплатки почему то не помогли.
обидно то что фаер сам не определяет этого червя, без создания каких либо правил, заточеных под него. а КИС8 справляется с этим.. так что придеться подумать о нем.

Phoen_ua

Цитата:

а КИС8 справляется с этим.. так что придеться подумать о нем.

Ну к сожалению это один из плюсов у "комбайнов". Подумайте.

HarDDroN, сейчас вирусы в своём большинстве не встраиваются куда-то в нормальный файл, а заменяют его полностью или новый создают. Поэтому и лечить нечего в таком случае, только удалять. На моей памяти у меня антивирус если и ловил что-то, то удалял.
Картинки 1 и 2 - верно (по памяти ). На третьей картинке можно включить активный режим для различных приложений и посмотреть на их работоспособность (будут ли тормозить). Браузеры и аська у меня не тормозили. Можно и агента попробовать так же контролировать.
Но при этом не забывать, что если мы контролируем какое-то приложение в NOD32, то в CIS оно обращается на localhost, а его соединения д.б. разрешены для NOD32.
По правилам для ekrn я как раз всё это время и пишу: если двойка, то правила только для антивируса, если тройка/четвёрка, то добавить в текст и правила для контролируемых приложений (для браузеров, почты и т.д.). Типичные правила в шапке есть - Predefined Firewall Policies - соединяем их и всё (блокирующее будет, само собой, последним в списке).

Добавлено:
Phoen_ua

Цитата:

спасибо за идею. я так и сделал, только использовал инверсную логику - мне легче будет разрешить только для некоторых разшары в локалке, нежели проверять ежедневно кто же еще заразился. теперь правило выглядит вот так, что скажете (GR):

Так даже лучше, если есть список точно доверенных. Я с другой стороны подошёл просто.
По правилам для svchost.exe: не нужно разрешать все ICMP. Только исходящие. А входящие, необходимые для ответа на tracert, разрешаем для приложения WOS. В итоге будете сами пинговать, а вас не смогут.
И ещё даю ссылку на свои правила в GR.

Добавлено:

Цитата:

обидно то что фаер сам не определяет этого червя, без создания каких либо правил, заточеных под него. а КИС8 справляется с этим.. так что придеться подумать о нем.

Ну откуда вы знаете ? Надо включить в CIS антивирус и посмотреть. Может и он ловит kido на лету. Вы же не пробовали. Возможно и вместе с NOD32 двойкой они будут работать... ну вдруг будут Кстати, очень даже это интересно. Может попробуете и нам расскажете ? (я и про ловлю kido на лету, и про совместную работу с двойкой).

WIGF

Цитата:

Может и он ловит kido на лету.

Как раз его по-моему уже все ловят. К сожалению, он не один...

у меня сейчас стоит бесплатный CIS Multilingual (в т.ч. RU) 3.9.95478.509 .. Скажите Comodo Firewall который там стоит чем отличается от Comodo Firewall Pro , на который также здесь есть ссылки?

WIGF вы могли бы сделать экспорт своих настроек и выложить где нибудь?
Сколько не проверяю на pcflank.com разные варианты настроек,результат одинаковый,самое главное без разницы включён или нет комод!

Цитата:

у меня сейчас стоит бесплатный CIS Multilingual (в т.ч. RU) 3.9.95478.509 .. Скажите Comodo Firewall который там стоит чем отличается от Comodo Firewall Pro , на который также здесь есть ссылки?

shag, ничем. Продукт развивался и превратился из CFP в CIS путем интеграции с антивирусом.

---

---

Цитата:

WIGF вы могли бы сделать экспорт своих настроек и выложить где нибудь?
Сколько не проверяю на pcflank.com разные варианты настроек,результат одинаковый,самое главное без разницы включён или нет комод!

ChronoAngel, ну это как бы бессмысленно У меня свой набор софта, у меня своё расположение файлов на компе, у меня стоит не CIS, а CFP.
Я уже давал скриншоты своих настроек и словами описывал GR, WOS, svchost.exe, System, а для обычных приложений у меня установлены правила, как в шапке мы рекомендуем по тройке.
У вас какой софт ещё стоит из защитного ? И какой стоял ? Многие продукты оставляют после себя мусор, бывает, что этот мусор в виде оставленных драйверов, которые контролируют сетевые подключения (на самом деле их разрешают). Скачайте утилиту AVZ, разархивируйте её и выполните ФАЙЛ-Стандартные скрипты-Скрипт №2. В результате будет лог-файл virusinfo_syscheck.zip. Его куда-нить залейте и дайте ссылку, а я посмотрю, что у вас там может конфликтовать с CIS или мешать его работе... если только вы сами настройки неверно не сделали в CIS (хорошы бы скриншоты ваших настроек в GR, а также WOS, System, svchost.exe).

WIGF
Из защитного ПО у меня только Avira FREE,комодо поставлен в полной комплектации но антивирус и защита постоянно выключены.В принципе в автозагрузке хлама нет никакого,ещё пару программ и всё.
Попробую с нуля настройки поставить....

ChronoAngel, в автозагрузке может и не быть, а вот где-то в дебрях системы могут и пыхтеть старые драйвера от старого софта.

Нет это наврятли,у меня винда долго не живёт,умирает молодой,ну в смысле я её убиваю format С Буду копаться вобщем,авось чего найду...
Спасибо за помошь

Цитата:

Сколько не проверяю на pcflank.com разные варианты настроек,результат одинаковый

Какой результат-то ?

Dorovsky
Любопытно? Посмотри...
http://s52.radikal.ru/i137/0906/96/e6073cad8886.jpg
http://i069.radikal.ru/0906/9d/727d460b9589.jpg
http://s47.radikal.ru/i115/0906/55/16d61b2096ea.jpg
http://s57.radikal.ru/i158/0906/36/7be66a75f2aa.jpg