COMODO Internet Security

[levriero]

Quote:

Originariamente inviato da Roby_P

Ciao levriero,
hai cancellato quella network zone SBAGLIATA che includeva quell'IP da bloccare, giusto?
Hai scansionato il pc con antivirus, antispyware, antirootkit etc... giusto?
Se non è venuto fuori niente, è facile che si tratti di un'applicazione che tu consideri sicura.
Hai controllato tra le regole del Firewall (Network Security Policy) se hai dato il permesso a qualche applicazione di connettersi a quell'IP?!? Se si tratta di un'applicazione che consideri sicura, se ti è comparso un pop up, avrai sicuramente dato Allow!!!
Se hai impostato l'Alert Frequency Level su Very High, come suggerito nella guida, nelle regole potrai vedere il singolo IP al quale si connette l'applicazione.
Spulcia le regole che hai fatto e poi facci sapere che hai trovato



Come ti ha già detto Sirio, comodo blocca ma non lo segnala nel Log, a meno che tu non crei una regola specifica, solo in quel caso l'evento viene riportato nel Log. Ma questa è una cosa che non si può fare inserendo un singolo IP in My Blocked Network Zone, ma solo creando delle regole nella Network Security Policy

Ciao ciao

Grazie Roby x la disponibilità^^
Ho resettato le rules ed infatti la connessione parte in fase d'avvio della macchina...
Comodo la ritiene sikura xkè parte da un programma fidato.
Adesso sto cercando di kapire quale..presumo l'aggiornamento automatiko java ma non ne sono sikuro al 100%...ci sto lavorando...e soprattutto sto tenendo d'okkio svchost.exe e gli aggiornamenti di Xp
Devo solo dire ke PeerGuardian 2 ha operato egregiamente e coopera perfettamente con Comodo..kon Pg2 ho il log delle konnessioni
Sirio ke c'è? ti 6 alzato kon lo zokkolo sbagliato?
Penso ke sia interesse komune sapere se un soft ke riteniamo fidato vada a konnettersi a server non propriamente fidati...leggi la diskussione su Antivir

[cloutz]

Quote:

Originariamente inviato da Koldy

Ciao qualche giorno fà ho riscontrato lo stesso tuo problema, potresti spiegare esattamente cme hai fatto nel caso mi si riprentasse di nuovo.

ciao koldy

certo
tasto destro su Risorse del Computer> Proprietà>scheda Avanzate> in Prestazioni fare click su Impostazioni

Nella nuova finestra spostarsi nell'ultima tab a destra, chiamata Protezione Esecuzione Programmi..Qui, per far funzionare lo scan si Comodo, teoricamente si possono fare 2 cose:
1. mettere la spunta alla prima opzione, e basta..
2. mettere la spunta alla seconda (quella che ho preferito), inserendo però tra le eccezioni il file cmdagent.exe, presente nella directory di Comodo. Per fare ciò cliccare su Aggiungi e recarsi al percorso della cartella di comodo (es.: C:\programmi\COMODO\Comodo Internet Security\cmdagent.exe).

Per entrambe le opzioni alla fine è necessario cliccare su Applica, Ok, e poi riavviare il pc per applicare le modifiche..

Attualmente, con questo metodo, sembra che abbia risolto..ho fatto 5 scan (riavviando ogni volta) di cui 3 completi, uno della cartella system32, e uno della cartella drivers..il tutto senza riscontrare problemi...

[Koldy]

Quote:

Originariamente inviato da cloutz

certo
tasto destro su Risorse del Computer> Proprietà>scheda Avanzate> in Prestazioni fare click su Impostazioni

Nella nuova finestra spostarsi nell'ultima tab a destra, chiamata Protezione Esecuzione Programmi..Qui, per far funzionare lo scan si Comodo, teoricamente si possono fare 2 cose:
1. mettere la spunta alla prima opzione, e basta..
2. mettere la spunta alla seconda (quella che ho preferito), inserendo però tra le eccezioni il file cmdagent.exe, presente nella directory di Comodo. Per fare ciò cliccare su Aggiungi e recarsi al percorso della cartella di comodo (es.: C:\programmi\COMODO\Comodo Internet Security\cmdagent.exe).

Per entrambe le opzioni alla fine è necessario cliccare su Applica, Ok, e poi riavviare il pc per applicare le modifiche..

Attualmente, con questo metodo, sembra che abbia risolto..ho fatto 5 scan (riavviando ogni volta) di cui 3 completi, uno della cartella system32, e uno della cartella drivers..il tutto senza riscontrare problemi...

Grazie, se il problema si ripresenta farò come hai fatto tu

[cloutz]

Quote:

Originariamente inviato da Koldy

Grazie, se il problema si ripresenta farò come hai fatto tu

in realtà, tanto per abbondare, ho inserito tra le esclusioni anche cavscan.exe oltre che cmdagent.exe

ma credo che solo cmdagent.exe basti, come tra l'altro consigliato nel forum di Comodo..

[andrea.ippo]

Vi è mai successo che il msg nel popup del D+ fosse talmente lungo da dover usare lo scroll?
Se vi capita, provate ad usarlo...e ditemi se anche a voi si sovrappongono le righe rendendo il tutto illeggibile (non so se dipende dai miei driver video o no)

Tnx

EDIT: ecco una gif che rende l'idea:





PS: ovviamente una volta arrivato in fondo con lo scroll, se torno su non è che torna tutto come prima
Anzi, si mescola ancora meglio

[cloutz]

Quote:

Originariamente inviato da andrea.ippo

Vi è mai successo che il msg nel popup del D+ fosse talmente lungo da dover usare lo scroll?
Se vi capita, provate ad usarlo...e ditemi se anche a voi si sovrappongono le righe rendendo il tutto illeggibile (non so se dipende dai miei driver video o no)

Tnx

EDIT: ecco una gif che rende l'idea:





PS: ovviamente una volta arrivato in fondo con lo scroll, se torno su non è che torna tutto come prima
Anzi, si mescola ancora meglio

confermo, l'avevo trovato anke io, ma non ero riuscito a fare nessuno screen, così ho aspettato mi ricapitasse (ma i popup sono molto rari ormai)
se hai tempo segnalalo qui, inserendo la .gif, che rende benissimo l'idea

Buon pomeriggio

[andrea.ippo]

Quote:

Originariamente inviato da cloutz

confermo, l'avevo trovato anke io, ma non ero riuscito a fare nessuno screen, così ho aspettato mi ricapitasse (ma i popup sono molto rari ormai)
se hai tempo segnalalo qui, inserendo la .gif, che rende benissimo l'idea

Buon pomeriggio

Grazie, provvedo il prima possibile.

Nel frattempo, vi segnalo un bug piuttosto grave che sta mettendo a rischio la sicurezza di molti utenti di Comodo:
http://forums.comodo.com/other_gener...-t36974.0.html

[cloutz]

Quote:

Originariamente inviato da andrea.ippo

Grazie, provvedo il prima possibile.

Nel frattempo, vi segnalo un bug piuttosto grave che sta mettendo a rischio la sicurezza di molti utenti di Comodo:
http://forums.comodo.com/other_gener...-t36974.0.html

LOL l'avevo letto poco prima di postare...che occhio

...certo che ce n'è di gente che non ha nulla da fare

[@Sirio@]

Quote:

Originariamente inviato da levriero

...

Sirio ke c'è? ti 6 alzato kon lo zokkolo sbagliato?

..no ho dormito col culetto scoperto.

Quote:

Penso ke sia interesse komune sapere se un soft ke riteniamo fidato vada a konnettersi a server non propriamente fidati...leggi la diskussione su Antivir

Sono d'accordo con te però erano 3 post che mi dicevi che CIS non bloccava la connessione all'IP e che non registrava l'evento, quando ti avevo già spiegato che non era così.

Scusami se a volte esagero.

[@Sirio@]

Quote:

Originariamente inviato da andrea.ippo

Grazie, provvedo il prima possibile.

Nel frattempo, vi segnalo un bug piuttosto grave che sta mettendo a rischio la sicurezza di molti utenti di Comodo:
http://forums.comodo.com/other_gener...-t36974.0.html

Ho visto la segnalazione. Grazie Andrea...

Facciamogli vedere che la comunità italiana è molto attiva.

[andrea.ippo]

Quote:

Originariamente inviato da @Sirio@

Ho visto la segnalazione. Grazie Andrea...

Facciamogli vedere che la comunità italiana è molto attiva.

Allora adesso imposto la nazionalità nel profilo

[@Sirio@]

Quote:

Originariamente inviato da nV 25

vedere il mio nick accanto ad un idea (o suggerimento...) non mi cambia la vita nè mi comporta riscossione di royalty...

Ok, ho fatto stamattina e ti ho reso anonimo

Quote:

L'attività malevola si può simulare, altrimenti puoi sempre dilettarti con i Rootkits che ti ho passato tempo fà (la famosa cartella "enne" )...

Nell'ipotesi della simulazione, che è quella più indolore e facilmente osservabile anche dagli altri, bè:
è sufficiente provare ad eseguire RootRepeal o Process Explorer e vedere cosa succede negando l'acquisizione di questo privilegio al processo che tenta di avvalersene....

Sempre nella logica della simulazione, potrei portare anche il caso di CLT:
in particolare (ma non solo...), il modo con cui viene superato il test "RootkitInstallation: MissingDriverLoad"....

Ipotesi con la mia rimanipolazione...


...e caso della scheda "My Protected Com Components" @ default...



RPC Control\ntsvcs avrebbe necessità di essere discusso altri 5 sec ma ora mi trovo senza tempo...

Non finirò mai di ringraziarti per la tua disponibilità e per le tue spiegazioni.

Il maestro è sempre il maestro...

[@Sirio@]

Quote:

Originariamente inviato da andrea.ippo

Allora adesso imposto la nazionalità nel profilo

...è vero non ci avevo mai pensato, provvedo anch'io. A parte che ormai (viste le figuracce) mi conoscono tutti.

[nV 25]

Quote:

Originariamente inviato da nV 25

...RPC Control\ntsvcs avrebbe necessità di essere discusso altri 5 sec ma ora mi trovo senza tempo...

OK, proviamo a vedere di tirare giù qualcosa di molto semplicistico concentrandoci in maniera particolare su quelle che sono le differenze tra CIS 3.5.x e 3.8.x ...

Nella versione 3.5.x il processo services.exe era gestito secondo la policy Windows System Applications e sostanzialmente, in accordo con quella policy, godeva di un grado di libertà pressochè illimitato (per il mio esempio mi interessa sottolineare in particolare il fatto che avesse totale libertà di movimento nella fase di registrazione di valori nella chiave HKLM\SYSTEM\CONTROLSET???\SERVICES\* )...



Allo stesso tempo, Comodo monitorava il tentativo di accedere all'SCM (che potremmo vedere come una sorta di "gestore dei servizi di sistema"...) con la regola sotto:



Quando dunque un processo estraneo al ruleset (si pensi ad un malware..) tentava (es.!) di registrare il proprio servizio, la prima cosa che doveva fare era guadagnarsi l'accesso al benedetto SCM e l'utente, dunque, registrava un pop-up di questo tipo:



Il problema qual'era?
Che molte applicazioni, anche legittime, avevano bisogno di questo "privilegio" per funzionare correttamente imbarazzando di conseguenza i meno avvezzi che non riuscivano a discernere quando questo comportamento fosse stato malizioso o meno visto che per n altre applicazioni questo tipo di assenso era stato dato...


Con la 3.8.x, invece, il discorso cambia rendendo più semplice anche per i meno avvezzi capire quando c'è realmente in essere un grave rischio come quello dell'es. sopra...

Ma come ci si è arrivati a questo cambiamento?

Facendo sparire la regola RPC Control\ntsvcs dalle Pseudo COM Interfaces e, al contempo, manipolando i permessi di services.exe per la parte protected registry keys che, infatti, "esce" dalla policy Windows System Applications....


In questo modo, il pop-up che si riceve direbbe espressamente che il processo services.exe tenta di registrare il valore XY...
Anzi, la tecnologia di D+ è tale da segnalare ancora più a monte il malessere dicendo espressamente che il processo AB vuole usare services.exe per controllare la chiave ecc ecc...

Le protezioni, quindi, non solo ci sono ma sono moooolto più chiare....

La mia manipolazione su RPC Control\ntsvcs, dunque, serve fondamentalmente a ripristinare un LIVELLO, l'accesso all'SCM, cosi' che in definitiva il mio Pc possa disporre dei 3 controlli elencati poc'anzi:
le azioni sull'SCM, il famoso processo AB che vuol controllare services.exe e services.exe che vuole registrare il valore XY...



L'es. sull'ultimo aspetto viene da CPU-Z e da RealTemp.

Con la 3.5, CPU-Z accede all'SCM dopodichè tutto scorre lineare fino al caricamento vero e proprio del programma che mostra frequenza ecc del nostro processore...

Con la 3.8, CPU-Z chiede di usare services.exe cosi' che possa registrare il driver che gli permette di leggere i dati del microprocessore...

Nel mio caso ho sia SCM access che gli altri 2 controlli...

...............................................



Nella scheda che governa i diritti di CPU-Z, quindi, avrò


e


Services.exe, invece, in protected registry keys avrà




Chiaro?

[:..Giuliacci..:]

Grazie nv 25 hai dato una spiegazione eccellente

[nV 25]

mi fa piacere che tu abbia apprezzato, anche perchè non ero sicuro di risultare chiarissimo non essendo un tecnico...

Ciao!

PS: se avrò tempo/voglia, posterò l'es. di CLT eseguito sia con le mie regole che con quelle di default...

[:..Giuliacci..:]

Quote:

Originariamente inviato da nV 25

mi fa piacere che tu abbia apprezzato, anche perchè non ero sicuro di risultare chiarissimo non essendo un tecnico...

Ciao!

PS: se avrò tempo/voglia, posterò l'es. di CLT eseguito sia con le mie regole che con quelle di default...

Magari!!! Sarei molto curioso di vedere la differenza tra le tue impo e quelle di default

però se non hai tempo,pazienza,grazie comunque

[PeK]

scusate ragazzi, è impossibile leggere tutte le pagine... si potrebbe mettere in prima pagina almeno i link alle impostazioni più comuni?

per esempio come impostare in modo che si possa fare windows update senza avere unmilione di popup su cui cliccare "allow" e poi leggere "update failed"...

xp mce sp3
ie 8

utente "power user", ie8 eseguito con runas administrator.

[Koldy]

Quote:

Originariamente inviato da PeK

scusate ragazzi, è impossibile leggere tutte le pagine... si potrebbe mettere in prima pagina almeno i link alle impostazioni più comuni?

per esempio come impostare in modo che si possa fare windows update senza avere unmilione di popup su cui cliccare "allow" e poi leggere "update failed"...

xp mce sp3
ie 8

utente "power user", ie8 eseguito con runas administrator.

Ciao, io ho installato CIS da una settimana incluso L'antivirus (non l'avevo mai usato prima),mi trovo benissimo basta che segui per benino le istruzioni in prima pagina, poi se hai qualche problema posti qui e sicuramente qualcuno ti darà un piccolo aiuto.
N.B. prima di CIS avevo comodo firewal2, se questo può rassicurarti adesso ho meno popup. Ciao

koldy

[Koldy]

Quote:

Originariamente inviato da cloutz

in realtà, tanto per abbondare, ho inserito tra le esclusioni anche cavscan.exe oltre che cmdagent.exe

ma credo che solo cmdagent.exe basti, come tra l'altro consigliato nel forum di Comodo..

Ciao ho inserito tra le esclusioni di sistema sia cmdagent.exe che cavscan.exe, ho effettuato un paio di scansioni con risultato molto soddisfacente, nel senso che aprendo altre applicazioni il sistema è molto più fluido anche durante la scansione.

Ciao koldy