COMODO Internet Security

[levriero]

2 Domandine...La diagnostika funziona?
da quando ho installato Comodo3...non è mai riuscita a fissare problemi..
E poi il solito problema d'ip.
Adesso Comodo mi segnala una nuova local area network dove kompare proprio l'ip ke voglio blokkare...Sirio, ekko xkè provvedeva solo PeerGuardian^^
Azz...mika me n'ero akkorto...
Ke signifika?
Ho tolto la spunta e ovviamente ora NON rileva quella rete
L'ip l'ho verifikato...appartiene alla robtex(www.robtex.com)

La konnessione parte dal Nt Os kernel...
NON ce sto a kapì...
Rileto la guida...la conf.è ok...
Ma NON blokka. Uff...l'ip è sempre in uscita.

[Roby_P]

Quote:

Originariamente inviato da levriero

2 Domandine...La diagnostika funziona?
da quando ho installato Comodo3...non è mai riuscita a fissare problemi..
E poi il solito problema d'ip.
Adesso Comodo mi segnala una nuova local area network dove kompare proprio l'ip ke voglio blokkare...Sirio, ekko xkè provvedeva solo PeerGuardian^^
Azz...mika me n'ero akkorto...
Ke signifika?
Ho tolto la spunta e ovviamente ora NON rileva quella rete
L'ip l'ho verifikato...appartiene alla robtex(www.robtex.com)

La konnessione parte dal Nt Os kernel...
NON ce sto a kapì...
Rileto la guida...la conf.è ok...
Ma NON blokka. Uff...l'ip è sempre in uscita.

Scusa ma come è possibile che ti sei ritrovato una network zone con quell'IP?!?
Se non l'hai creata tu manualmente, COMODO deve aver rilevato una network zone e tu gli hai dato l'OK!!
Questa cosa mi sembra moooolto strana!
Poi dici che la connessione a quell'IP è sempre in uscita, pensi che ci sia un'applicazione che tenta di connettersi alla robtex?
Hai fatto una bella scansione? Approfondita?!?

[levriero]

Quote:

Originariamente inviato da Roby_P

Scusa ma come è possibile che ti sei ritrovato una network zone con quell'IP?!?
Se non l'hai creata tu manualmente, COMODO deve aver rilevato una network zone e tu gli hai dato l'OK!!
Questa cosa mi sembra moooolto strana!
Poi dici che la connessione a quell'IP è sempre in uscita, pensi che ci sia un'applicazione che tenta di connettersi alla robtex?
Hai fatto una bella scansione? Approfondita?!?

La network zone me l'ha kreata una persona ke NON sapeva neanke dove fosse il tasto Esc ...quindi NON me n'ero akkorto prima...
La konnessione si...è sempre in uscita e Pg2 la blokka(anke a router stakkato ) quindi presumo ke ci sia un'applikazione ke tenta la konnessione ma NON riesko a risalire a quale sia.
Ho skansionato per bene il Pc...NON ho trovato nulla...propendo priprio per un software ke konsidero"fidato"
Kakkio..ma kom'è ke komodo NON mi segnala il blokko di quell'ip se l'ho messo nella blocked zone...e mi blokka invece un ip ke è nella trust?
Sto pensando seriamente di ripulire tutte le rules...

[@Sirio@]

Quote:

Originariamente inviato da nV 25

sviluppatori informati.

Ma dove? Io 'ste segnalazioni non le vedo.

Quote:

Originariamente inviato da nV 25

si può fare, ma non prima di stasera...

Potrei postare direttamente qui poi provvedi quando ti pare a copiarlo dove ti pare...

Grazie caro, ho proprio bisogno di una mano....



@ Tutti

...e in particolare a Romagnolo e Roby, se avete qualche idea, suggerimenti o qualsiasi altra cosa per modificare o ampliare la guida in prima pag., sentitevi pure liberi di farlo, anzi, gradirei 'na cifra

Ciao ciao

[@Sirio@]

Quote:

Originariamente inviato da nV 25

Il post che Sirio chiedeva gli scrivessi, cmq, credo possa essere una cosa di questo tipo:


------------------------------------------------------------------------
Là dove si dovessero riscontrare problemi non legati ovviamente ad un eventuale difficoltà d'uso del software ma tali da farci pensare di essere di fronte ad un BUG del software, si prega di fornire i seguenti dati necessari agli sviluppatori perchè possano tentare di isolare il malfunzionamento nel minor tempo possibile.

Codice:

CPU 
Sistema operativo + eventuali SP
Presenza di eventuali altri programmi di sicurezza (elencarli!)
Configurazione di Comodo [clean/safe/paranoid mode?][Proactive Security/Internet Security/.../?]
Presenza di un account limitato (per Vista, UAC...)
Descrizione precisa del problema ed eventuale indicazione degli step che rendono possibile replicare il malfunzionamento

Alla storiellina sopra, è sufficiente togliere il carattere piccolino là dove per Sirio andasse bene.

Ciao!

Fatto!

[@Sirio@]

Quote:

Originariamente inviato da levriero

2 Domandine...La diagnostika funziona?
da quando ho installato Comodo3...non è mai riuscita a fissare problemi..
E poi il solito problema d'ip.
Adesso Comodo mi segnala una nuova local area network dove kompare proprio l'ip ke voglio blokkare...Sirio, ekko xkè provvedeva solo PeerGuardian^^
Azz...mika me n'ero akkorto...
Ke signifika?
Ho tolto la spunta e ovviamente ora NON rileva quella rete
L'ip l'ho verifikato...appartiene alla robtex(www.robtex.com)

La konnessione parte dal Nt Os kernel...
NON ce sto a kapì...
Rileto la guida...la conf.è ok...
Ma NON blokka. Uff...l'ip è sempre in uscita.

Sono io che non capisco una mazza di quello che scrivi, Levriero, o spieghi per benino (magari in italiano) oppure lasciamo stare: ci fai perdere solo tempo.

Ti ho scritto ben 2 post dove spiegavo che il firewall blocca l'IP che hai messo nelle My Blocked Network Zones ma non registra l'evento perché non esiste l'evento, CIS lo blocca prima che avvenga.

Comprì? O ancora no?

[Roby_P]

@ Sirio

Ho visto che hai aggiornato la guida
C'ho messo due giorni per accorgermene (), ma credo che capirai....non la consulto più tutti i giorni
Ma dove l'hai presa un'immagine del Threatcast funzionante

Ciao ciao

[Roby_P]

Quote:

Originariamente inviato da levriero

La network zone me l'ha kreata una persona ke NON sapeva neanke dove fosse il tasto Esc ...quindi NON me n'ero akkorto prima...
La konnessione si...è sempre in uscita e Pg2 la blokka(anke a router stakkato ) quindi presumo ke ci sia un'applikazione ke tenta la konnessione ma NON riesko a risalire a quale sia.
Ho skansionato per bene il Pc...NON ho trovato nulla...propendo priprio per un software ke konsidero"fidato"

Ciao levriero,
hai cancellato quella network zone SBAGLIATA che includeva quell'IP da bloccare, giusto?
Hai scansionato il pc con antivirus, antispyware, antirootkit etc... giusto?
Se non è venuto fuori niente, è facile che si tratti di un'applicazione che tu consideri sicura.
Hai controllato tra le regole del Firewall (Network Security Policy) se hai dato il permesso a qualche applicazione di connettersi a quell'IP?!? Se si tratta di un'applicazione che consideri sicura, se ti è comparso un pop up, avrai sicuramente dato Allow!!!
Se hai impostato l'Alert Frequency Level su Very High, come suggerito nella guida, nelle regole potrai vedere il singolo IP al quale si connette l'applicazione.
Spulcia le regole che hai fatto e poi facci sapere che hai trovato

Quote:

Kakkio..ma kom'è ke komodo NON mi segnala il blokko di quell'ip se l'ho messo nella blocked zone...e mi blokka invece un ip ke è nella trust?
Sto pensando seriamente di ripulire tutte le rules...

Come ti ha già detto Sirio, comodo blocca ma non lo segnala nel Log, a meno che tu non crei una regola specifica, solo in quel caso l'evento viene riportato nel Log. Ma questa è una cosa che non si può fare inserendo un singolo IP in My Blocked Network Zone, ma solo creando delle regole nella Network Security Policy

Ciao ciao

[Romagnolo1973]

brava Roby !!!!

L'immagine del TC l'avrà rubata sul forum lì tra tutti forse uno che gli funziona a sprazzi lo hanno trovato

X Sirio io l'ho già detto tante volte, la tua guida è sempre la migliore del forum, se la si segue riga per riga i problemi sono zero (a parte qualche baco in alcuni pc vedi arny o xaolao ma mica è colpa tua) se vuoi il voto per me la pagina 1 è da 10 semplicemente perfetta, ovvio che non è breve essendo un prodotto completo e sofisticato e sappiamo quanto la gente si stanchi dopo 2 righe ma questo è un problema più mentale e soggettivo dell'utente, il giorno che inventano un chip da impiantare nel cervello per una assimilazione immediata delle info allora la guida la salviamo lì e bona

[nV 25]

Quote:

Originariamente inviato da @Sirio@

Ma dove? Io 'ste segnalazioni non le vedo...

Perdonasse:
io ho il contatto di Jie Dong e ho già avuto modo di parlarci via MSN, erreale ha il contatto di egemen o chi per lui...
Non penserai mica che tutti perdano tempo [] ad aprire un ticket sul forum ufficiale, vero?

[erreale]

Quote:

Originariamente inviato da nV 25

erreale ha il contatto di egemen o chi per lui...

Io ho segnalato il bug via mail direttamente a Melih e Egemen

[nV 25]

Premesso che nella guida, per una ragione di onestà intellettuale, enfatizzerei il fatto che Comodo è un software adatto ad un'utenza che parta da un livello medio e che, più che altro, sia DISPOSTA ad accettare il fastidio di (sporadici) POP-UP*, allego come promesso quella che è la mia configurazione di D+...

*i numerosi casi di coloro che nonostante tutto riescono ad infettarsi è infatti emblematico e testimonia in sostanza come questo software non possa essere spacciato come soluzione definitiva adatta a chiunque...

Aggiungo che non è LA configurazione definitiva o LA migliore, ma semplicemente IL MIO set-up...



Non forzerei peraltro la mano con emulazioni che, alla fine, potrebbero NON RISPONDERE alle specifiche necessità di ciascuno...

In un certo senso, la configurazione proposta è quindi fine a se stessa....


------------------------------------------------------------------------

Moduli installati: Firewall, HIPS
Firewall Security Level: Custom Policy Mode
D+ Security Level: Paranoid Mode
Configuration: COMODO - Proactive Security

Miscellaneous -> Settings



Defense+ Settings



Image Execution Control Settings



Computer Security Policy

(Fatto salvo pochissime applicazioni, la quasi totalità delle regole è posta sotto la regola "ALL APPLICATIONS"....)


Services.exe:
tutto su ALLOW salvo run an executable/protected registry keys impostate su ASK...

Explorer.exe:
tutto su ALLOW salvo run an executable impostato su ASK...

Rundll32.exe:
tutto su ASK...
Eccezioni per run an executable impostato per l'esecuzione di qualsiasi file nella cartella di Windows (%windir%\*) e per Process Terminations dove ho autorizzato di poter terminare logon.scr (C:\windows\system32\logon.scr)




userinit.exe/ctfmon.exe godono del max grado di libertà (= tutto su ALLOW salvo protected registry keys/protected files(folders))


Gli altri processi di sistema diversi da quelli elencati poc'anzi e che non hanno un policy predefinita da Comodo hanno diritti impostati su ASK....



My Protected Com Components

(Aggiunte 2 voci, LocalSecurityAutority.LoadDriver in Pseudo Com interfaces-Privileges & ripristinato RPC Control\ntsvcs tra le important Ports...)





Il resto dei settaggi (per file/cartelle/chiavi di registro protette..) è quello di default....



--------------
**EDIT**

Firefox, IE, MSN configurati nel medesimo modo, vedi sotto:

[Bazz89]

Quote:

Originariamente inviato da nV 25

(cut)

ciao Enne

ho dato uno sguardo veloce (sono fuori casa) alla tua configurazione, e devo dire che mi aspettavo qualkosa di piu....aggresivo

cmq piu tardi la vedo meglio.....

ritengo che la tua configurazione possa essere un ottimo modello (da mettere anche in prima pagina) per noi utenti di medio livello

Saluti

ps:le impostazioni relative a rundll e a explorer sono molto interessanti e molto utili

[nV 25]

non sono infatti nè il Vangelo nè un modello da seguire ma solo un normalissimo utente che, peraltro, si è anche rotto le °° con tutte le "attenzioni" che cerca di riporre a salvaguardia della sanità della propria macchina...

Come se poi dovessi difendere chissà quali segreti....

[Bazz89]

Quote:

Originariamente inviato da nV 25

non sono infatti nè il Vangelo nè un modello da seguire ma solo un normalissimo utente che, peraltro, si è anche rotto le °° con tutte le "attenzioni" che cerca di riporre a salvaguardia della sanità della propria macchina...

Come se poi dovessi difendere chissà quali segreti....

e chi l'ha detto che un normalisssimo utente come te nn possa fare da modello* x utenti dello stesso livello???

ciao

* a proposito: dov è il tuo book?

[cloutz]

problemi, legati all'av

-Sistema operativo + eventuali SP: MS Windows XP Professional SP3
-Cpu: Intel Pentium 4 CPU 3.00GHz, 512 Mb ram
-Programmi installati: Malwarebytes, Superantispyware (entrambi free-ondemand)
-Configurazione di Comodo: Paranoid Mode, Custom Policy Mode, Proactive Security
-Account Limitato e restrizioni software

avvio una scansione e si pianta sullo stesso file dopo una ventina di minuti:



poi se tento di cliccare su Stop Scan ottengo questo messaggio:


------------------------------------------------------
ho già provveduto a segnalare il bug nel forum di Comodo...

[Intrepido]

Quote:

Originariamente inviato da Romagnolo1973

Non uso l'antivirus di CIS ma nella sezione Antivirus c'è una sezione che si chiama Quarantine Items, entra lì e penso proprio che come tute le solite quarantene vi sia il tasto per eliminare l'infezione, sottometterla a comodo e liberarla dalla quarantena. Una volta in quarantena il file viene reso inutilizzabile quindi se è fondamentale per la tua connsessione va riabilitato e poi segnalalo come falso positivo, in pagina 1 c'è scritto come fare, però prima di segnalarlo, liberalo dalla quarantena ma fai un controllo su ViusTotal del file, per essere sicuri che sia legittimo al 100% oggi giorno non si è sicuri di nulla

Ecco fatto, lo scannarizzato, questo è il risultato, mi sembra che vada bene....o no ?

Ciao

[@Sirio@]

Quote:

Originariamente inviato da nV 25

Perdonasse:
io ho il contatto di Jie Dong e ho già avuto modo di parlarci via MSN, erreale ha il contatto di egemen o chi per lui...
Non penserai mica che tutti perdano tempo [] ad aprire un ticket sul forum ufficiale, vero?

Ecco... dovevi fare lo ..guarda che qui solo IO posso

RAGAZZI non fatevi intimidire, tutti quelli che si iscrivono nel forum ufficiale possono contattare Melih, Egemen e tutto lo staff

_____________________________


Grazie per le regole che col tuo permesso metterei in prima pagina sottolineando che non sono adatte a tutti.

Question: Perché l'aggiunta della LocalSecurityAuthority.LoadDriver nelle Pseudo COM Interfaces - Privileges e della \RPC Control\ntsvcs nelle Pseudo COM Interfaces - Important Ports?

[Intrepido]

Sto installando ora CIS su un portatile e la scansione mi rileva anche qui il file VNCviewer.exe come virus .

[andrea.ippo]

Quote:

Originariamente inviato da Intrepido

Sto installando ora CIS su un portatile e la scansione mi rileva anche qui il file VNCviewer.exe come virus .

A me no, versione di vncviewer: 1.3.10.0, db delle firme: 1086