Множество вопросов по настройке COMODO Firewall

1. установила в COMODO майлагент как почтовый агент, но через какое-то время Комодо сообщает, что майлагент пытается получить доступ к памяти и изменению реестра.
2. на компе установлен Комодо и антивирус eset nod32 , после установки последнего Комодо при загрузке компа не загружается, хотя Комодо добавлен в исключения антивируса eset.
3. Комодо обнаружил процесс rasautou.exe и две локальные сети, в сетевых подключениях винды отображается только одна локальная сеть. Комп не в какую дом.сеть не объединен.
4. Какую политику применять для скайпа в Комодо?
5. в торенте DHT запрещен ( в самом торенте стоит галочка “включить сеть DHT”

[attachment deleted by admin]

1. Майлу разрешить доступ.
2. Следует первым установить антивирус, приостановить защиту, потом comodo. Ввести их друг другу в доверенные.
3. Уберите галочку обнаруживать новые сети.
4. Для Скайпа - да просто можно “разрешить”.
5. Не знаю)))))

Насколько я понял, для майлагента задействована предопределенная политика файервола “Почтовый клиент”. Про доступ к памяти и изменение реестра сообщает Защита, которую также надо настроить. Очень стало интересно - что майлагент хочет записать в файл host, и почему он у него и в C:\Windows,и в C:\Windows\common, и в C:\Windows\System32? Никогда не пользовался майлагентом, может это и нормально, но очень уж любопытно.

Еще (и в первую очередь) антивирус eset надо добавить в исключения Комодо. По поводу того, как подружить Eset и Comodo воспользуйтесь поиском по форуму. Тема обсуждалась. По 1 и 2 совокупно и исходя из журнала защиты могу добавить, что если есть уверенность в том, что компьютер чистый рекомендую выбрать режим “Чистый ПК” - вопросов защиты и неприятностей будет меньше.

Это не знаю. Процесс rasautou.exe это Microsoft Remote Access Dialler - Управление модемным соединением. Варианты 1) интенет через модем 2) какое то не очень умное и/или очень старое приложение пытается выполнить дозвон 3) не совсем “Чистый ПК”

Можно создать правила в режиме обучения файервола.

1. Не все трекеры поддерживают DHT. 2) Слышал также, хотя сам и не сталкивался, что некоторые провайдеры борются различными способами с торрент-клиентами. 3) Открыты ли входящие для торрент-клиента, нормально ли он в остальном работает, да и правила можно было бы для него огласить.

Мне вот тоже интересно что майлу надо в хосте и реестре, и чем его не устраивает знание почтового агента. почему майл подключается через порт 9999?
Для торрента политика: разрешены все входящие и исходящие запросы, отдача просто 5-6 КБ. Интернет через оптоволокно. Моих документах постоянно появляется файл default.rdp.

Агент Mail.Ru НЕ почтовый клиент а система обмена мгновенными сообщениями (да еще со своими наворотами). Правил почтового клиента ему мало. Порт 9999 это, очевидно, порт исходящего соединения. Сам Агент Mail.Ru должен соединяться на удаленные порты 2041, и 2042 TCP (Список портов TCP и UDP — Википедия). В описании протокола (http://agent.mail.ru/ru/developers/protocol.html) сказано что “инициатором установления соединения может быть только клиент” и фигурируют только порты 80, 2041, 2042, 443. Входящего на 9999 быть не должно, впрочем входящие в CIS 5, кажется, закрыты ГЛОБАЛЬНЫМ правилом по умолчанию.

Если я все же не ошибаюсь и входящие в CIS 5 закрыты глобальным правилом по умолчанию, то проверить/настроить ГЛОБАЛЬНОЕ разрешающее правило для входящих на порт используемый для этого торрент клиентом. Настройка торрент клиентов неоднократно обсуждалась на форуме.

глобальная политика у меня следующая:
как мне настроить чтобы все нормально работало?
торрент настраивала по ссылке https://forums.comodo.com/10551086108810911089108910821080-russian/eth�ethdegethordm-ethiquestn�ethdegethsup2ethcedilethraquon�ethfrac12ethfrac34-ethfrac12ethdegn�n�n�ethfrac34ethcediln�n�-n�ethdegethplusmnethfrac34n�n�-cis-n�-mtorrent-t62708.0.html

[attachment deleted by admin]

Для торрент-клиента (uTorrent) “по-быстрому” начиная с
https://forums.comodo.com/10551086108810911089108910821080-russian/ethordmethdegethordm-ethfrac34n�ethordmn�n�n�n�-ethiquestethfrac34n�n�-t61157.0.html;msg430180#msg430180
если “шлифовать” далее, то идем по ссылке
https://forums.comodo.com/10551086108810911089108910821080-russian/global-rules-ethacuteethraquon�-utorrent-t25630.0.html
Еще по скриншоту глобальных правил добавлю, что лично я бы входящие ICMP запретил (можно просто поднять кнопкой Выше последнее блокирующее правило).

из объяснения
https://forums.comodo.com/10551086108810911089108910821080-russian/ethordmethdegethordm-ethfrac34n�ethordmn�n�n�n�-ethiquestethfrac34n�n�-t61157.0.html;msg430180#msg430180

не поняла : Глобальные правила - САМЫМ ПЕРВЫМ (ВЕРХНИМ) или в любом случае над блокирующим(и) (далее понятно)
Разрешить TCP или UDP входящий из IP (любой) в IP (ваш IP или любой) где порт отправления (любой) и порт назначения ХХХХХ

Почему комодо пишет, что в торренте слушает назначенный порт и порт 10000? Что за порт 10000?

Я не могу понять что за фигня с rasautou.exe Ко мне кто-то ломиться или я к кому-то?

[attachment deleted by admin]

zil968, настроила торрент как Вы описали (± с глобальным правилом), теперь виндус оператинг систем ругается. Так же никакой скорости отдачи .

[attachment deleted by admin]

Удалите один антивирусник! Поверьте, вам(компьютеру) станет легче, а траблов меньше… Или уже третий поставьте, в напрасной надежде что отлов малвары возрастёт на треть ;D, но неприятностей будет на порядок больше.

У Вас не диалаповское модем случаем? Ось какая - ХР?

Есть ли файл msblast.exe в каталоге %WinDir%\system32 ?
А наличие ключа в системном реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“windows auto update” = “msblast.exe” ?

…и посмотрите свои 3 файла hosts в разных директориях винды (они без расширения,но текстовым редактром должны читаться). Интересно, что там за айпишники прописаны. Попробую угадать :-), - либо что-то связано с майл ру(тогда норма) или с IP-адресами “вашей” вновь обнаруженной второй локальной сети(тогда беда)

у меня Комодо и ОДИН антивирусник. Да, я не разбираюсь в компе и ничего смешного я в этом не нахожу! У меня другая профессия! И меня совершенно устраивает тот факт, что я печатаю , может быть, ОДНИМ пальцем!

не обижайтесь ;), здесь вам хотят помочь, хотя на расстоянии сделать это трудно… И, к сожалению, далеко не на все вопросы здесь можно найти ответы

…понял, у вас стоят фаервол от Комодо + антивирус Нортон , правильно?! Честно говоря не лучший вариант(лично моё мнение). Конфликтуют часто
Из ваших скриншотов(рисунков) видно, что файл hosts у Вас на компьютере расположен по крайней мере в четырёх местах: в C:\Windows, в C:\Windows\common, в C:\Windows\System32 и C:\Windows\System32\drivers\etc, что само по себе уже необычно.
Откройте все файлы hosts обыкновенным блокнотом, есть ли там записи IP-адресов мэйл-агента или второй локальной сети, которую обнаружил фаервол. Ведь Вы писали -

Комодо обнаружил процесс rasautou.exe и две локальные сети, в сетевых подключениях винды отображается только одна локальная сеть. Комп не в какую дом.сеть не объединен.

Ведь зачем то svchost.exe обращается к rasautou.exe, судя по вашим скринам, зачем? А rasautou.exe (системный файл Майкрософта), который управляет модемным соединением… Но как подключается “оптиковолокно” увы не знаю, может и требует для этого присутствия управления этого (rasautou.exe) файла.

Ну а что на компьютере нет файла msblast.exe уже хорошо, значит нет червя w32.Blaster.worm, он же «MSBlast», он же «Lovesan», «Lovsan», «Blaster», «Poza»… ;D, который как раз при заражении ПК поражает rasautou.exe и lsass.exe и создает ошибки процесса svchost.exe. Скачайте на офсайте Майкрософт и поставьте на всякий случай себе вот такие заплатки KB823980 (899 Кб) для ХР - KB823980 (1,23 Мб), точно не помешают. Кстати вирус еще может порождать вместо msblast.exe вот такие файлы TEEKIDS.EXE или PENIS32.EXE. Тоже их в поиск… Больше сбоев компа никаких нет, не перезагружается сам, трафик не возрос? Ведь очень странно поведение rasautou.exe, опять же обнаруженные две сети, хотя вы не в локалке, как я понял.

И еще… При использовании протокола удаленного рабочего стола (RDP) для подключения к удаленному компьютеру на клиентском компьютере создается файл Default.rdp. Это по поводу -

Моих документах постоянно появляется файл default.rdp.

Вы что удалённым доступом пользуетесь?

Никто там не ругается, нормальный лог файервола. Порт, кажется, вы открыли. Такие сообщения в журнале будут при выключенном торрент-клиенте или после его выключения - принимать то входящие некому. Затертый на скрине IP один и тот же и это ваш IP, а 63207 это порт из настроек торрент-клиента? Если это так, то в “никакой скорости отдачи” Comodo, скорее всего не виноват - смотрите настройки торрент-клиента/возможности трекера/провайдера/и.т.д. Впрочем есть еще у Comodo и настройки правил для торрент-клиента в правилах для приложений, о которых можно только догадываться из предидущих сообщений и надеятся что они не поменялись…
Если раздражают сообщения в журнале, то создайте правило для “приложения” Windows Operating System (Добавить-Выбрать-Запущенные процессы-Windows Operating System) “Блокировать ТCP или UDP Входящие из МАС Любой В МАС Любой, где порт отправления: Любой и порт назначения 63207” (т.е. порт торррент-клиента). В правиле НЕ следует включать логирование. По сути это ничего не поменяет, но в журнале будет пусто.
По журналу похоже что открыт еще и порт 6881. Вы там случайно ВСЕ порты не открыли? Входящий на 6881 (10000??? ) и.т.д. должен не долетать до Windows Operating System и блокироваться глобальными правилами.
Совсем не плохо как минимум описывать или предоставлять скриншоты глобальных правил и правил для настраиваемых приложений, настроек самого приложения, а в общем случае версия и установленные компоненты CIS, и даже версия и разрядность ОС не помешают.

По записям в журнале о блокировании rasautou.exe процесcами svсhost.exe и ekern.exe, нескольких файлов hosts, доступу к памяти процесов чего то (не видно на скрине) из C:\Documents and Settings\Admin\Local Settings[b]Temp[/b] да еще и из Temp в Admin (если это то, что я думаю) могу посоветовать как минимум проверить rasautou.exe на http://www.virustotal.com/index.html а еще лучше обратиться на virusinfo.info, выполнив VirusInfo - Инструкция по оформлению запроса о помощи в лечении вирусов и сформулировав вопрос типа “Интернет не модемный, но постоянно появляется в процессах rasautou.exe и.т.д.” Правда это потребует некоторых усилий и времени.

Приветствую.
У меня такой вопрос. Недавно CIS Premium обновился до версии 5.0.163652.1142. И я столкнулся с такой проблемой: у меня стоит утилита APS для обнаружения сканирования портов. По её статистике постоянно подвергаюсь атакам по некоторым портам. Устал забивать отдельные IP с которых идут атаки, и решил попробовать заблокировать порт целиком. Подскажите, как это сделать? В фаервол - политики сетевой безопастности - глобальные правила создал правило: Запретить и логировать ТСР или UDP Входящие и исходящие из МАС любой в МАС любой, где порт отправления В Блокированные и порт назначения В Блокированные. Блокированые - набор портов, созданный в политиках, в наборах портов. Но даже после создания этого правила утилита продолжает упорно сообщать об атаках на указанные в группе порты.

SerB,

Да, никто и не обижается.

..понял, у вас стоят фаервол от Комодо + антивирус Нортон , правильно?! Честно говоря не лучший вариант(лично моё мнение). Конфликтуют часто Из ваших скриншотов(рисунков) видно, что файл [b]hosts[/b] у Вас на компьютере расположен по крайней мере в четырёх местах: в[b] C:\Windows[/b], в [b]C:\Windows\common[/b], в [b]C:\Windows\System32[/b] и [b]C:\Windows\System32\drivers\etc[/b], что само по себе уже необычно.

[/quote]

Папоки C:\Windows\common нет вообще, в следующих папках нет Hosts, хотя на компе отображаются и скрытые файлы и скрытые защищенные системные.

Откройте все файлы hosts обыкновенным блокнотом, есть ли там записи IP-адресов мэйл-агента или второй локальной сети, которую обнаружил фаервол. Ведь Вы писали - Ведь зачем то svchost.exe обращается к rasautou.exe, судя по вашим скринам, зачем? А rasautou.exe (системный файл Майкрософта), который управляет модемным соединением... Но как подключается "оптиковолокно" увы не знаю, может и требует для этого присутствия управления этого (rasautou.exe) файла.

Ну а что на компьютере нет файла msblast.exe уже хорошо, значит нет червя w32.Blaster.worm, он же «MSBlast», он же «Lovesan», «Lovsan», «Blaster», «Poza»… ;D, который как раз при заражении ПК поражает rasautou.exe и lsass.exe и создает ошибки процесса svchost.exe. Скачайте на офсайте Майкрософт и поставьте на всякий случай себе вот такие заплатки KB823980 (899 Кб) для ХР - KB823980 (1,23 Мб), точно не помешают. Кстати вирус еще может порождать вместо msblast.exe вот такие файлы TEEKIDS.EXE или PENIS32.EXE. Тоже их в поиск… Больше сбоев компа никаких нет, не перезагружается сам, трафик не возрос?
Ведь очень странно поведение rasautou.exe, опять же обнаруженные две сети, хотя вы не в локалке, как я понял.

[/quote]
Нет , ничего. Если смотреть состояние локальной сети провайдера, то принято в 400 раз больше байт, чем отправлено, иногда наоборот.

И еще... При использовании протокола удаленного рабочего стола (RDP) для подключения к удаленному компьютеру на клиентском компьютере создается файл [b]Default.rdp[/b]. Это по поводу - Вы что удалённым доступом пользуетесь?

НЕЕЕЕТ, я не пользуюсь. А вот к моему компу явно кто-то да подключается.

zil968,
Дело не в лени. Если я бы знала, я бы не спрашивала.

версия Комодо 5.0.163652.1142. система XP 2003.

[attachment deleted by admin]

SerB,

Нужна ли поддержка DCOM в Windows на дом.компе?