vsegda
Уважаемый.
Ваш вопрос из разряда "Заглушил машину - не могу зависти - что делать!".
Значит криво снесли. Криво поставили. Защита программы Вас заблочила. У Вас барахлит операционная система. Поломан реестр.
Понимаете? Что угодно может быть.
Вы даже не написали какую версию вы используете. С регистрацией, со сломанным dll, с лицензией.
Тут не ясновидящие сидят. Хотите помощи - указывайте исчерпывающий набор данных.

Проблема с Outpost!
 

Короче вот такая трабла. У меня стоит Виндоус ХП! .. Ну и поставил Outpost файерволл! ... Однако , совсем недавно устанавливал ради любопытства Панду , вроде называлось оно Mechanic Tools! .... После того поставил обратно Аутпост ... теперь такая картина, когда винда загрузилась , пытаюсь подрубитmся к инету, все гут, коннект идет! , но после того как ничинаю просто передавать данные то все! .. не могу не передать данные не из инета не в него!.. Как только убью процесс outpost.exe в памяти!, то все гут , все работает! ..Пробывал сносить Аутпост, но после этого вообще инет не работает, как и другие сетевые соединения. Как только возвращался устанавливать все гут, то есть , после убивания outpost.exe все работает!

Помогите плиз, решить проблемку!!!

Manfrod
По Аутпосту существует топ. Объединил

ОС Windows XP Pro. Agnitum Outpost v.2.1 ставил поверху v.2.0 в ту же папку. Всё функционирует нормально, но как оказалось в Control Panel\ Add or Remove Programs фигурируют две отдельные проги: одна на 6.57 МБ и другая на 16.13 МБ. Смотрю в папку там один exe файл, один uninst файл. Так что это одна прога или две? И не слетит ли всё если удалить одну из них?
Спасибо за ответ.

Пардон-пардон. Я просто думал, что это не такая уж экзотическая проблема. Значит так. Система WinXP SP1, стоял аутпост 2.1.314. Снес шампунем, но два раза (т.к. до
этого ставил один поверх другого, и в шампуне были два лога).
После этого ставил несколько разных версий. С ломанными длл-ками. Поскольку серийник ввести нет возможности: не запускается программка.
Из Services пытался стартовать сервис OutpostFirewall вручную - пишет что процесс неожиданно прерван (error 1067).
В event log такая вот письменность:
The Outpost Firewall Service service terminated unexpectedly. It has done this 6 time(s).
Вот.
Полагаю, что снеся первый аутпост два раза, я обнулил счетчик какой-нибудь расшаренной длл-ки, и она снеслась с чем-нибудь еще.
Возможно поврежден некий системный файл. Вот только я не нашел, как в ХР провести диагностику системных файлов.

For more information, see Help and Support Center at

vsegda
Пуск - Выполнить - sfc /scannow

По порядку ...
 

Заранее прошу прощения у модераторов если пост мой окажется не совсем в тему.
По проверке файлов в XP.
есть такая служба у XP "SFC". Осуществляет защиту системных файлов. Из консоли можно запустить файл "sfc.exe" с параметрами. Вот её краткий хелп:
****************************************************
SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]

/SCANNOW Scans all protected system files immediately.
/SCANONCE Scans all protected system files once at the next boot.
/SCANBOOT Scans all protected system files at every boot.
/REVERT Return scan to default setting.
/PURGECACHE Purges the file cache.
/CACHESIZE=x Sets the file cache size.
****************************************************
теперь по Аутпосту:
сначала добавьте в системные переменные переменную:
DEVMGR_SHOW_NONPRESENT_DEVICES и присвойте значение 1 (Для вступления значения в силу придётся перезагрузить систему)
это позволит вам видеть в диспетчере устройств все устройства а не только те что подключены сейчас пункт показать скрытые устройства
к чему это я, :) при удалении (некорректном) Оутпоста (и не только) иногда остаются фильтры (виртуальные сетевые устройства) они в ветке "No Plug & Play Devices" их (ненужные) и следует удалить (если остались). Дело в том, что при чистке реестра вручную, и удалении записей об этих фильтрах, чаще всего разрушается цепочка привязки сетевых фильтров к протоколу и адаптерам и сеть начинает "глючить". Установка программ заново зачастую лишь усугубляет положение. Однако если удаление фильтров производить из диспетчера устройств то за сохранностью и целостностью цепочки будет следить винда - возможность ошибки тут минимальна. И только после чистки через "Диспетчер устройств" можно почистить реестр от остатков (для поиска значений в реестре рекомендую "Registry Crawler" желающие найдут ссылки в этом форуме) это как чистить реестр от ненужных драйверов и фильтров.

Несколько предупреждений
При удалении устройств из диспетчера не увлекайтесь !
Сначала думаем потом делаем !
Не удаляйте более 1 устройства за раз (потом не поймёте почему всё сломалось)
Устройства отсутствующие в данный момент имеют бледносерый цвет однако не все НЕПРИСУТСТВУЮЩИЕ в данный момент устройства можно удалять.
НЕ УДАЛЯЙТЕ "Unknown Device" "Неизвестное Устройство" из списка "No Plug & Play Devices" !!! С вероятностью в 99% вы начисто обнулите HW "железную" конфигурацию системы и без наличия под рукой необходимых драйверов и правильной последовательности их установки следующей перезагрузки может не быть система откажется грузиться !!!

трабла такая, сижу как обычно в инете, браузер - опера 7.23, фаер - ессно аутпост 2.1, вроде все нормуль, захожу сразу на несколько сайтов; но после закрытия оперы фаер начинает бешено фиксировать сканирование портов + какие-то атаки (обычно RST) с тех сайтов, на которые я зашел до этого (когда опера была открыта) причем эта проблема не зависит ни от прова (использовал и диал ап, и выделенку, и GPRS), ни от тех сайтов, на которые я зашел
может кто сталкивался с подобным?? как решить траблу? может использовать другой софт??

Врятли это сканирование.
Это всего скорее обычный прием файлов.
Т.е. ты запустил Оперу, она запросила у сайтов кучу файлов.
Опера открывает у тебя на компе порты и начинает принимать файлы.
Фаервол видит, что порты открыла Опера, т.е. разрешенная программа, и динамически на них всё пускает.
Потом ты вдруг вырубил Оперу. Или закрыл сайт (немного не понятно из твоего поста, что ты там закрыл).
Но запросы то идут с файлами на твои порты.
А фаервол пускал на эти порти динамически, т.е. когда твой комп посылал запросы и получал ответы. Т.е. была какая-то связка.
Впринципе должно быть понятно.
И соовет. фаервол начинает это всё отсекать и фиксировать в журнале.
Надеюсь примерно так должно быть :) Другого объяснения я не вижу.
+ всякие нюансы идут работы с оперой.

народ подскажите проста не пайму что такое.
В общем вот что.
Переодически выдаёт такое сообщение
Действие-RST атака
IP адпес-127,0,0,1->127,0,0,1
То есть я так понимаю что мой комп сам себя и атакует локально.
Может кто объеснить что это такое и откуда взялось

Народ, ну знаете, пардон конечно, но нельзя до такой степени быть ленивыми. Так можно дойти до вопросов, что такое кнопка Пуск.

1ых, в аутпосте есть классный хел.

2ых, есть поисковики.
Вот поиск я сделал:
_http://www.google.ru/search?hl=ru&ie=UTF-8&q=RST+%D0%B0%D1%82%D0%B0%D0%BA%D0%B0&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D 0%BA&lr=
На слова RST атака
Первая же ссылка ведет нас на FAQ:
_http://winfaq.by.ru/www/software/safety/02_06/203142260f.htm
====================================
Вопрос: FireWalls Аутпост обнаружил атаку Rst. Что это такое, чем опасно и главное как понять отбил Аутпост ее или нет?

Ответ: Обычно, если файрвол говорит тебе об атаке, то он её отбил. Ты спрашивал, что такое RST-атака. Самому интересно стало и вот, что накопал. Далее цитаты из разных источников. ---------------------------------------- 1) "пакеты сбpоса соединения(RST)" 2) "Модуль слежения системы RealSecureT может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак." 3) Для идентификации TCР-пакета в TCP-заголовке существуют два 32-разрядных идентификатора, которые также играют роль счетчика пакетов. Их названия - Sequence Number и Acknowledgment Number. Также нас будет интересовать поле, называемое Control Bits. Это поле размером 6 бит может содержать следующие командные биты (слева направо): URG: Urgent Pointer field significant ACK: Acknowledgment field significant PSH: Push Function RST: Reset the connection SYN: Synchronize sequence numbers FIN: No more data from sender --------------------------------------------- Отсюда следует, что Rst-пакет - это пакет закрытия TCP/IP соединения. Ресурс, откуда это взято:http://security.tsu.ru/info/misc/ssl/c45.html Советую посетить - жутко интересно, очень понятно написано. Узнаешь много нового.

====================================

Makc666
Спасибо конечно.
Но суть вапроса не в том, что такое RST атака.
А почему комп сам себя атакует там же по IP ясно что он сам себя атакует вот мне что интерестно.
там ведь отака идёт с localhost на localhost.

Какое-нибудь сетевое приложение так работает.
Не более того.
Например Tmeter висит на 127.0.0.1 и многие другие службы.
Соответственно он открывает и закрывает сетевые соединения.
Аутпост наверное криво на это реагирует.
Потому что он работает там криво откровенно и многие сайты постоянно светились, когда из в браузере смотрел. Вот надеюсь что в 2.5 будет доработано, а вернее переработано.
У меня например в аутпосте Attack Detection вообще отключен.

Спасибо за подробный ответ. Эх... Теперь, учитывая мои богатые познания в этой сфере, мне предстоит пара-тройка увлекательных месяцев:)
Нашел я то, о чем Вы писали. Действительно - там куча "затененных" устройств. И очень похоже, что львиная доля их осталась мне в наследство от снесенного Нортон Антивируса 2003 (он был предустановлен на моем ноутбуке, шампунь, следовательно, тут был бессилен).
Взгляните, плиз на некоторые названия -
NAVENG
NAVEX15
Portable Media Serial Number
Registry Management Service
RDPNP
SAVRTPEL
Symantec Event Manager
SYMDNS
SymEvent
SYMFW
SYMIDS
SYMIDSCO
SYMNDIS
SYMREDRV
SYMTDI

Вот те, которые NA и SYM - это похоже наследство Нортона? Просто спросил: вдруг знаете.

Еще раз спасибо.

Верный способ ....
 

Скорее всего ДА к Outpost-у эти компоненты не имеют никакого отношения => могут быть удалены.
Однако:
1е что стоит делать это внимательно просмотреть список приложений доступных для удаления ("Symantec" например оставляет "Live Update" ! При удалении Symantec-овских прог о нём можно и позабыть случайно, Symantec приведён как яркий пример) и попытаться удалить всё ненужное сначала ШТАТНЫМИ средствами.
2е в свойствах каждого из компонентов есть ссылка на файл драйвера, а уже в нём по копирайту можно вычислить кому принадлежит файл и следовательно и компонент. Если хозяин компонента уже на великом сервере на небесах (тобиш деинсталирован) то отправляем и компонент туда же. Возможна ситуация когда ссылки на файл нет (либо уже удалён либо и небыло вовсе) тогда для выяснения принадлежности, добро пожаловать в реестр, ишем информацию там.

Ещё один совет напоследок: При таких чистках сетевых компонентов сам Outpost лучше всего временно снести ;) и почистить систему и от его компонентов тоже, чтобы впоследствии поставить НАШУ ЛЮБИМУЮ СТЕНУ сызнова, начисто :cool:

Однако мы отвлеклись и уже беседуем не в тему ветке, так что пора завязывать.

во-первых, я никаких файлов с сайтов не загружал (в момент выхода), если имеется в виду html-страницы - то это другое дело, опера их ессно грузит, но именно в тот момент когда я закрываю оперу, то я специально жду когда все страницы и окна в опере будут загружены и только тогда выхожу, в результате возникает ситуация, которую я описал в предыдущем посте

я закрываю именно оперу, я попробовал: если закрывать окна поотдельности, то ничего не происходит, т.е. нет никаких сканирований

как раз ничего не понятно
никакие файлы не грузятся, все страницы (сайты) полностью загружены, и после закрытия оперы не должно происходить никакого "дозакачивания" этих самых сайтов. так мало того что они пытаются дазакачиваться, так они почему-то производят атаку на комп. ессно я понимаю, что это ни какой-то злой админ этого сайта делает, а все дело скорее всего в нестыковке ПО, а именно agnitum autpost 2.1 + opera 7.23 rus, а может что то в настройках машины, но вот вопрос в чем именно???

T-ViRus
Могу тебе тока одно сказать, когда опера загрузила странички все, это ещё не значит что порты закрыти динамические. На всех вебсерверах есть таймаут сессий. И сессии соответ. закрываются не сразу, а через определенное время, тем самым не заставляет браузер пользователя заново инициировать соединение, грубо говоря.
Поэтому у тебя два варианта:
1. Остановить оперу открытой на минут 15-20 и потом закрыть и посмотреть поведение.
2. Попробовать её обновить до последней версии, пускай и на английском будет, и посмотреть её поведение там.
+ не знаю как устроен у Оперы кэш, но вдруг он что-то обновляет или проверяет при закрытии, я бы тоже это не исключал.

А на сколько он безопасней? (firewall) ;)

Столкнулся тут недавно с проблемой того, что Outpost не дает нормально работать расшаренным по локальной сетке соединениями (пресловутая проблема блокирования "транзитных пакетов"). Первым делом полез за решением в архив этой ветки, однако нашел в нем, к сожалению, только много вопросов на эту тему и ни одного дельного ответа :mad:
После двух затраченных на поиск дней проблему все-таки победить удалось. Так как в этой ветки данное решение еще не проскавивало, запощу его - неверняка кому-нибуль пригодиться.

В общем, для того, чтобы отучить Outpost от самовольного блокирования транзитных пакетов, и заставить его нормально раршаривать соединения необходимо сделать следующее:
1. Выгрузить Outpost из памяти (с остановкой сервиса).
2. Открыть папку с Outpost (по дефолту "C:\Program Files\Agnitum\Outpost Firewall").
3. Открыть в ней файл "outpost.ini", и найти в нем раздел "[Interface]".
4. Добавить в конец этого раздела строчку "ShowNATColumn=yes" (если она и так присутсвует, то поменять "no" на "yes"). Сохранить файл.
5. Загрузить Outpost заново.
6. Идти в Параметры/Системные, открыть окно с настройками локальной Сети (вместе с двуми привычными колонками "NetBIOS" и "Доверенные" там будет еще и третья - "ICS" (Internet Connection Share)).
8. Поставить в столбце "ICS" галочку рядом с той сеткой, с которой необходимо расшарить соединение.
9. Запустить Outpost.

После этого все должно волшебным образом заработать :beer:
Стопроцентной гарантии этот метод не дает, но в большинстве случаев помагает.

P.S. Я его проверял на версии 2.1.303.4009 (314) и на бетке 2.5. У меня все работало в обоих случаях.

Выполнил 3 и 4 без 1 и 2, колонка появилась без перезагрузки... Заодно уменьшил время показа отчетов об атаках (звать параметр ReportCloseTimer ). Винда 98se.
yogurt респект, однозначно...

boor
Ещё тут (http://www.imho.ws/showpost.php?p=591636&postcount=512) почитай насчёт Rst-атаки

yogurt
Отткуда такую инфу нарыл? Поделись ;)

yogurt
Вопросы тебе...
А в каком режиме у тебя находится Аутпост, когда ты через другой компьютер лезешь в инет?
А какие галки стоят в остальных колонках?
А какой Windows?
Поподробнее...

Проблема в том, что тут все понимают, что у Agnitum по идее нет основание скрывать этот столбец, в единственном случае, если он барахлит! Я описанный тобой способ проделал, но увы и ах, в режиме обучения Оутпост как не пускал соседний комп в сеть, так и не пускает.

Так что мне приходится все равно переводить фаервол в режим "Разрешения" и работать таким образом.
У меня правда стоит ещё другой фаер технический, поэтому режим "Разрешения" в Оутпост меня не очень сильно беспокоит, я его использую для блокировки реклами, поп-ап, куки и некотрых программ.

К тому же я очень более 2 месяцев с ними переписывался по поводу данной проблемы, они уже заобещались её решить.
Поэтому, всего скорее, у кого-то данный способ может и прокатит, а у кого-то нет.
У меня Windows XP SP1...

Версия этой поганки: 2.1.303.4009 (314)

T-ViRus
Насчет такого поведения браузера Opera могу предложить только такую версию - просто идет сохранение текущей сессии перед закрытием :)
"Опера" позволяет в новом сеансе начать работу с прерванного места предыдущего сеанса.

P.S. Это только версия.

2ALL Если я не прав - пожалуйста поправьте.

yogurt
А вот и неправда. Ответы были! Даже больше скажу: были скриншоты!
Я тоже скриншот сделал

Makc666
От чего это зависит, интересно?.. Я пробовал Аутпост 2.0, 2.1, 2.5 на XP sp1, XP sp2 и у меня пакеты NAT никогда не блокировались. :idontnow:

Interceptor
Zilk
Господа, давайте не будем спорить.
У меня есть переписка с Агнитиум, где четко ясно, что не работает ICS. Переписка длилась в течение месяца. С моим тестированием фаервола с дебаг модулем и отсылкой логов разработчикам.

А причем тут ICS и перенаправление ICMP не ясно.

Zilk
А я пробовал на 3х компах и у меня блокируются в режиме обучения.
Работают, тока в режиме Разрешения.

Makc666
На сколько я помню, кажется Plague говорил, что после включения галочек напротив перенаправления всё стало работать. Может, ошибаюсь... :rolleyes:

кто-нибудь может подсказать:
После установки Outpost Firewall Pro 2.1.303.4009 (314), при загрузке системы постоянно появляется окно с ошибкой:
---------------------------------------------
| Outpost FireWall |
|Системе не удается найти указанный файл.|
| OK |
---------------------------------------------
как избавиться от него? ос- windows nt 4.

какие стоят сервис паки?
возможно требуется SP6, в котором находятся необходимые библиотеки для нормальной работы аутпоста
желательно также знать какой именно файл требуется...
я не знаю как там точно в NT но в ХР можно посмотреть логи
в Пуск-Администрирование-просмотр событий
может у тебя есть тоже что то аналогичное
если есть то там наверняка написан файл, который не был найден

Сканиравание UDP(1434) ?
 

Кто подскажет, чем вызван интерес сканиравания порта UDP(1434) ?

вопрос такой.
вдруг стал сам закрываться через 20м-1.5 ч
кто знает в чем дело?

viking03
Посмотри что в журнале XP пишет.

Здраствуйте!!!У меня за последние 2 дня выдал 7 атак на сканирование TCP....и разные порты!!!Чем это может быть вызвано?!!

натка
Более подробно вопрос сканирования портов рассматривался здесь http://www.imho.ws/showthread.php?t=62393

Нужно полнее писать вопросы.
Например, привести конфигурацию вашего интернет соединения.
С каких IP атаковали.
Привести записи лога.
И т.п.

Тогда Вам точно подскажут и правильный совет дадут.

Makc666

Сканирование ip -222.101.101.108 TCP(25)
81.19.69.51 TCP(3111,3110)
194.67.45.226 TCP(3121,3120)
209.8.20.194 TCP(3128,1080,8080)

А уж о кол-ве заблокированных запросов на соединение я вообще молчу!!!
Попыталась проверить ip на принадлежность...на некоторое выдает что временно зарегистрированы или несуществующий домен ,а на 2 дал вот такое имя
baym-dp10.msgr.hotmail.com и
a193-108-155-115.deploy.akamaitechnologies.com

Натка, везет же Вам - за 2 дня всего 7 атак... У меня только за сегодня около тысячи сканирований.... В основном ломятся на 445 порт (бедняги...). В Вашем случае народ интересуется наличием у Вас прокси... и возможностью отправлять через Ваш компьютер спам... Плюньте, ибо именно для таких случаев оутпост у Вас и стоит... Гораздо опаснее (и требует немедленной реакции) появление подозрительной ИСХОДЯЩЕЙ активности... Троян там, или вирус какой...

натка
Всего скорее Вы поставили себе Peer-to-Peer программу какую-нибудь, или ходите по всяким "левым" крякерным сайтам, типа cracks.am, асталависта и т.п. фуфло.

IrWert правильно сказал.
222.101.101.108 TCP(25) - это попытка найти почтовый сервер.
209.8.20.194 TCP(3128,1080,8080) - попытка найти прокси разных типов и сокс.
81.19.69.51 TCP(3111,3110) и 194.67.45.226 TCP(3121,3120) - черт знает что у нас на этих портах, разница не велика.
Вообще Аутпост устроен так, что по-умолчанию он не отвечает на таких запросы, поэтому атакующие "думаю", что у Вас этот порт не существует. Грубо говоря. :) Так что отключити столбцы NetBios и Расшаривание ресурсов на Интернет соединение, наверное у Вас одна сетевая карта или модем и всё будет нормально.

Может я конечно глупость спрошу...а это где?!!!-)