[TORNADOL]

Вот и я сходил по вашей ссылки.. Результат был тот же. Он набросился на проксик моего провайдера и написал что все путем. Пользуюсь я Аутпостом версии 2.6. Как он на ваш взгляд? Поидее если остальные компьютеры в моей сети заражены то весь трафик даже и spyware должна считать программа которая занимается подсчетом трафика. Как уберечься от спайвара на клиентских машинах? Ведь я устану их каждый день чистить. ?

[VKK]

Цитата:

Пользуюсь я Аутпостом версии 2.6. Как он на ваш взгляд?

Про Аутпост не знаю ничего: ни плохого, не хорошего.
Традиционно были ZoneAlarm от Zone Labs и Sygate Firewall от Sygate, Inc. Разница, что ZoneAlarm с самого начала была для частников, а Sygate всегда традиционно работала на корпоративные защиты, только три года назад сделала версию для частников. Обе бесплатны (для частных пользователей). Обе на рынке с незапамятных времен, еще когда Netscape 2 был лучшим на свете броузером. То есть ломают их и обходят (а они латаются на ходу) уже 11 лет без перерыва по всему свету. А кто проверял Аутпост на вшивость и где? Хотя он может быть самый-самый фаервол, не знаю. И проверять на своем железе не хочется

Цитата:

Как уберечься от спайвара на клиентских машинах?

Мы так и не выяснили, есть он у вас или нет. А в целом - как с вирусами. Это же не грипп, при кашле не передается. Если фаервол в порядке, то остаются только два варианта:
1. Через дыру в Internet Explorer
2. Прямой инсталляцией .exe-дряни

то есть:

1. Explorer со всеми critical updates, или вон FireFox вместо него (зверь, но интерфейс на английском).
2. Все юзеры c правами Guest - и прочая на тему "права доступа".

В случае кафе вообще есть программа (можно поискать), чтоб на экране было только окно броузера с засереными настройками. То есть лазай куда хочешь по интернету, но ни в винду не выйти, ни настройки не изменить, ни окно закрыть. Такие в Америке видел и пользовал - в библиотеках стоят.

[McDAK]

VKK

Цитата:

вон FireFox вместо него (зверь, но интерфейс на английском

Это почему? И с официального сайта и mozilla.ru мона скачать русскую локализацию :-)

Цитата:

Через дыру в Internet Explorer

Совсем не обязательно, дыр очень много!

[TORNADOL]

Так вот и я немогу ничего понять. Трафик берется откуда то, а откуда непонятно. И я еще сам незнаю spyware это или нет. А вы немогли бы подсказать программу для отлова шпионских модулей только бесплатную а то политика нашего заведения не разрешает использовать ломаное ПО. И еще есть проблема с вирусом. На клиентских машинах сидить вирь под названием bugbear и там какие то цифры с собакой в конце. Он в процесах отображается как BEFS.EXE. Немогли бы вы еще подсказать как с ним боротся а то он уже заколебал. Только вроде почищу машины а на следующий день все по новой. И как он пролазит мне непонятно. Может это он нагоняет мне лишний трафик? Я за ним замечал постоянное сканирование портов на моей машине со стороны зараженных-клиентских.

[VKK]

Цитата:

На клиентских машинах сидить вирь под названием bugbear

Так с этого и надо было начинать, а то мы тут какой-то абстрактной алгеброй занимаемся! Эта штука запросто может быть вашей проблемой, и фаервол не поможет, так как он автоматически вырубает любой фаервол и 3rd-party контроллеры трафика каждые 30 сек (а как нагадит, включает опять). И удалить его централизованно с сервера не удастся, так как при шухере он умеет убегать по локалке в безопасное место.

1. Скачать Symantec'овскую утилиту FxBgbear (freeware) и сбросить по копии на каждую машину
2. Скачать Spyware Doctor (freeware scanner, shareware monitor, но нам нужен только сканер) от PC Tools и сбросить по копии на каждую машину
3. На каждой машине включая сервер повторить ту же операцию:

а) Панель управления > Система > Восстановление системы > поставить флажок "Отключить восстановление системы"
б) Выключить машину.
в) Отключить всю периферию, кроме шнура питания.
г) Включить в Safe Mode
д) Запустить FxBgbear
е) Выключить
ё) Не подключая периферию, особенно сетевой кабель, включить в нормальном режиме.
ж) Запустить Spyware Doctor и дождаться конца проверки.
з) Выключить

Когда пункты а) - з) сделаны на всех машинах, воткните обратно кабели, включите машины и включите обратно восстановление системы на каждой.

Затем на каждой машине Пуск > Стандартные > Служебные > Восстановление системы > Создать точку восстановления
Назовите точку отката как-нибудь, что бы потом вспомнить, типа "Last OK state".


Следствием пятой аксиомы Паркинсона-Мёрфи является невозможность создания абсолютно неприступной системы. Каждая система характеризуется лишь большим или меньшим количеством людей, способных ее взломать, и временем взлома.
Это я к тому, что такую или подобную операцию придется, возможно, производить и в будущем ;-)

[TORNADOL]

Большое спасибо за такой развернутый и вполне понятный ответ. Как приедет наш главный системщик мы займемся этим вопросом обязательно. И у меня есть по этой теме еще пару вопросов: Потребляет ли трафик файрволл для своей нормальной работы? И можно ли защитится от этого вируса раз и навсегда? Потому что он появляется каждый день. И я заметил что он проникает через файлы Visual Basic. Это я обнаружил когда просматривал отчет о сканировании. Я в файрволе запретил использовать Visual Basic, но помойму это ни кокого эффекта не дало. Как его выгнать раз и навсегда. У моих знакомых такой заразы на машинах нет. Конечно если это вообще возможно....


И еще я заметил интересную особенность. Вчера я поотключал некоторые службы в ХР и машина стала потреблять меньше трафика. Незнаю с чем это связано но машина работает в том же режиме и глюков незамечено, а трафика набегает меньше.

[Vadikan]

TORNADOL
Вам надо начать с установки программы, анализирующей трафик, например Ethereal. Что же касается борьбы с вирусами, то для таких вопросов есть форум Информационная Безопасность. В общем, "проблема - одна тема", а не "один участник - одна тема".