COMODO Internet Security

[Six1]

Quote:

Originariamente inviato da Roby_P

Ciao Six1,
System lo devi bloccare perchè non ti serve!
Mi spiego meglio. Così com'è ora la situazione, ti capita spesso che System ti chieda di connettersi ad Internet, se lo lasci andare vedrai che scambia dati con l'esterno. Io non ho mai controllato gli IP, cmq sicuramente si tratterà di Microsoft. Il punto è che non si tratta di aggiornamenti del SO o di altro che possa favorire il funzionamento del tuo pc. Infatti se lo blocchi tutto funziona perfettamente!! Provare per credere

Questo discorso non vale per svchost.exe, che è un'applicazione di sistema usata da molti servizi di XP. Alcuni di questi sono essenziali per far funzionare internet, come per esempio RPC e DNS, altri assolutamente inutili.
Se vuoi farti un'idea di cosa siano i servizi e a cosa servano, puoi leggere questo articolo

http://www.ilsoftware.it/articoli.asp?id=2159&pag=0

E' formato da due parti: la prima è "Introduzione ai servizi di Windows", la seconda è "Come gestire i processi senza fare danni". In questa seconda parte trovi spiegato come diabilitare i servizi.
Sia chiaro che non ti sto consigliando di fare tutto quello che c'è scritto su quell'articolo (alcune cose io le ho trovate complicate e non le ho fatte ), ma solo di leggerlo per farti un'idea generale.

In giro su Internet trovi tantissime guide ai servizi di XP. Io di solito uso questa

http://www.harrrdito.it/faq/search.asp?id=552

Anche qui .... non prendere tutto quello che leggi per oro colato!!!
Leggi a cosa servono i vari servizi e decidi a seconda delle tue esigenze.

Poi ti do due consigli personali
Non disabilitare troppi servizi tutti insieme, io ne disabilito una decina al massimo per volta, perchè se qualcosa poi non funziona non riesci più a risalire al servizio che ti causa il problema. Dopo aver disabilitato i servizi, riavvia il pc e usa internet e tutti i tuoi programmi. Così se ci sono problemi te ne accorgi subito!!
L'altro consiglio è lascia il servizio Client DNS su automatico. Contrariamente a quanto si legge su internet, se lo metti su manuale all'occorenza NON parte da solo. Torna in dietro di qualche giorno e vedrai che un amico del forum ha avuto proprio questo problema

Una discussiona alla quale puoi fare riferimento per questa storia dei servizi è questa

http://www.hwupgrade.it/forum/showthread.php?t=1158384

Ultima cosa.
La maggior parte delle cose che ti ho scritto le ho prese dalla guida di Sirio ed in particolare dalle FAQ. Quindi ti consiglio di dargli un'altra occhiata, sai com'è meglio andare sempre alla fonte

Spero che ti basti, perchè io più di così non so

Ciao
Ti ringrazio moltissimo.
Adesso con i link che mi hai dato piano piano inizierò a farmi un idea.....

[@Sirio@]

Quote:

Originariamente inviato da Roby_P

Ciao a tutti

Ho diverse richieste di svchost.exe sulla porta 135, precisamente ms-rpc(135).
Qualcuno ha idea di che servizio sia questo MS RPC?!?
Cercando con Google trovo solo roba in inglese in cui si dice di modificare delle chiavi di registro.

Non mi pare una grande idea mettere mano al registro senza avere la più pallida idea di quello che si fa

Grazie Roby

Cara Roby eccomi qua a fare il maestrino

Allora... per quanto riguarda DCOM RPC porta 135, si può disabilitare con un click nel tool WWDC (per windows xp) che si trova nelle F.A.Q. in prima pag.

Se vuoi togliere manualmente dallo stato di ascolto la porta 135 devi seguire una procedura un po' più complicata.

Valida solamente per XP.

Prima di tutto devi disabilitare il supporto DCOM in Windows: Start==>> Esegui==>> digiti dcomcnfg, si aprirà Servizi componenti, selezioni a sinistra Servizi componenti, sulla destra ti apparirà una cartella Computer,doppio click su di essa e vedrai Risorse del computer... click col tasto destro==>> Proprietà==>> tab Proprietà predefinite e togli il flag su Abilita DCOM in questo computer==>> Applica==>> Ok.

Fatto questo hai disabilitato DCOM e quindi sei già al sicuro però rimarrà svchost.exe in ascolto sulla porta 135 e per chiudere questa benedetta porta dovrai lavorare ancora un po', vediamo come.
Dovrai scaricarti un tool dove troverai rpccfg.exe (RPC Configuration Tool) che ti servirà per riconfigurare MS RPC:

1. Start==>> Esegui==>> e digiti: cmd
2. Dal prompt del DOS digiti: rpccfg -l (avrai una lista delle interfacce disponibili) e prendi nota del numero successivo alla subnet 127.0.0.0, che probabilmente sarà 1.
3. Adesso digiti: rpccfg -a 1 (o il numero che hai annotato prima)
4. Infine digiti: rpccfg -q (controlli che siano listati solamente gli indirizzi di loopback)

Non è finita qui la storia

Adesso per terminare la procedura dovrai aprire l'editor del registro:

1. Start==>> Esegui==>> e digiti: regedit
2. Trovi la chiave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs"
   aggiungi il seguente valore "ListenOnInternet" ed impostalo su "N"

Fatto tutto questo riavvi il PC e la porta 135 non sarà più in ascolto.

La procedura è descritta qui.

Ciao ciao

[@Sirio@]

@ boba66

Thanks

Le aggiungo nelle F.A.Q. casomai qualcuno ne avesse bisogno.

Ciao.

[nV 25]

Il problema segnalato da .Kougaiji. (post 6936 che ha una sua "rappresentazione grafica" nel log di quest'altro post..), in realtà è collegato ad un un fenomeno, quello delle "asimmetrie informative" che vizia pesantemente la guida in linea di D+:

sono omesse, infatti, una marea di informazioni che potrebbero aiutare a comprendere meglio il funzionamento dell'HIPS in oggetto agevolando di conseguenza la risoluzione di eventuali problemi come quelli evidenziati ad es. da .Kougaiji....

Di cosa parlo?

Semplice:
i settaggi relativi alle protezioni (chiamati "Protection Settings") hanno una forza maggiore dei permessi relativi ai processi (che si trovano nella scheda "Process access right")

Se questo fosse stato espresso nel manuale, .Kougaiji. avrebbe probabilmente trovato da solo la soluzione alla sua difficoltà...


Poichè allora tutte le voci (o processi...) governate dalla policy "Comodo Internet Security" sono protette contro tentativi di terminazione e di invasione dello spazio di memoria, ne discende che, per il ragionamento fatto poc'anzi, una regola permissiva su un processo (nel ns/caso, dwm.exe/taskeng.exe) per gli eventi citati (terminazione/invasione spazio di memoria) avrà una priorità MINORE rispetto alle protezioni previste dalla policy "Comodo Internet Security"...


PS:
cercherò di allegare immagini per chiarire meglio tutto, ora devo uscire...

.Kougaiji., nel frattempo, può fare come descritto qui:
https://forums.comodo.com/feedbackco...-t35894.0.html

[.Kougaiji.]

Quote:

Originariamente inviato da nV 25

Il problema segnalato da .Kougaiji. (post 6936 che ha una sua "rappresentazione grafica" nel log di quest'altro post..), in realtà è collegato ad un un fenomeno, quello delle "asimmetrie informative" che vizia pesantemente la guida in linea di D+:

sono omesse, infatti, una marea di informazioni che potrebbero aiutare a comprendere meglio il funzionamento dell'HIPS in oggetto agevolando di conseguenza la risoluzione di eventuali problemi come quelli evidenziati ad es. da .Kougaiji....

Di cosa parlo?

Semplice:
i settaggi relativi alle protezioni (chiamati "Protection Settings") hanno una forza maggiore dei permessi relativi ai processi (che si trovano nella scheda "Process access right")

Se questo fosse stato espresso nel manuale, .Kougaiji. avrebbe probabilmente trovato da solo la soluzione alla sua difficoltà...


Poichè allora tutte le voci (o processi...) governate dalla policy "Comodo Internet Security" sono protette contro tentativi di terminazione e di invasione dello spazio di memoria, ne discende che, per il ragionamento fatto poc'anzi, una regola permissiva su un processo (nel ns/caso, dwm.exe/taskeng.exe) per gli eventi citati (terminazione/invasione spazio di memoria) avrà una priorità MINORE rispetto alle protezioni previste dalla policy "Comodo Internet Security"...


PS:
cercherò di allegare immagini per chiarire meglio tutto, ora devo uscire...

.Kougaiji., nel frattempo, può fare come descritto qui:
https://forums.comodo.com/feedbackco...-t35894.0.html

Ok, ho capito ma!Come dice il mio amichetto il logging sembra disabilitato, ma non lo è :3
Edit:Neanche deletando la regola aggiunta si ripristina... direi che qualcosa non va.

[@Sirio@]

Quote:

Originariamente inviato da .Kougaiji.

Se premo sul 5, ad esempio, mi dovrebbe comparire quella schermata con i vari eventi,no?Beh, cliccando sul 5 incrementa a 6 perchè blocca sempre dwm.exe.Ma non solo sul 5 ma anche se clicco su uno dei processi a destra incrementa perchè, giustamente, apre la nuova finestra che gli da fastidio al defense+ e incrementa asd

p.s.
non mi andava di resizzare la jpg

Ho trovato quest'altro: http://forums.comodo.com/defense_bug...0543#msg250543

[.Kougaiji.]

Quote:

Originariamente inviato da @Sirio@

Ho trovato quest'altro: http://forums.comodo.com/defense_bug...0543#msg250543

Rimane che "disabilita" il logging.Han fatto qualcosa nell'ultima build, prima non dava questo "problema".

[@Sirio@]

Quote:

Originariamente inviato da nV 25

Il problema segnalato da .Kougaiji. (post 6936 che ha una sua "rappresentazione grafica" nel log di quest'altro post..), in realtà è collegato ad un un fenomeno, quello delle "asimmetrie informative" che vizia pesantemente la guida in linea di D+:

sono omesse, infatti, una marea di informazioni che potrebbero aiutare a comprendere meglio il funzionamento dell'HIPS in oggetto agevolando di conseguenza la risoluzione di eventuali problemi come quelli evidenziati ad es. da .Kougaiji....

[...]

Andiamo "sculacciare" chi di dovere...

[@Sirio@]

Quote:

Originariamente inviato da .Kougaiji.

Rimane che "disabilita" il logging.Han fatto qualcosa nell'ultima build, prima non dava questo "problema".

...si, hanno fatto un sacco di casini

Cmq come sempre si stanno dando molto da fare per risolvere al più presto.

Ciao.

[Roby_P]

Quote:

Originariamente inviato da @Sirio@

Cara Roby eccomi qua a fare il maestrino

Allora... per quanto riguarda DCOM RPC porta 135, si può disabilitare con un click nel tool WWDC (per windows xp) che si trova nelle F.A.Q. in prima pag.

Se vuoi togliere manualmente dallo stato di ascolto la porta 135 devi seguire una procedura un po' più complicata.

Valida solamente per XP.

Prima di tutto devi disabilitare il supporto DCOM in Windows: Start==>> Esegui==>> digiti dcomcnfg, si aprirà Servizi componenti, selezioni a sinistra Servizi componenti, sulla destra ti apparirà una cartella Computer,doppio click su di essa e vedrai Risorse del computer... click col tasto destro==>> Proprietà==>> tab Proprietà predefinite e togli il flag su Abilita DCOM in questo computer==>> Applica==>> Ok.

Fatto questo hai disabilitato DCOM e quindi sei già al sicuro però rimarrà svchost.exe in ascolto sulla porta 135 e per chiudere questa benedetta porta dovrai lavorare ancora un po', vediamo come.
Dovrai scaricarti un tool dove troverai rpccfg.exe (RPC Configuration Tool) che ti servirà per riconfigurare MS RPC:

1. Start==>> Esegui==>> e digiti: cmd
2. Dal prompt del DOS digiti: rpccfg -l (avrai una lista delle interfacce disponibili) e prendi nota del numero successivo alla subnet 127.0.0.0, che probabilmente sarà 1.
3. Adesso digiti: rpccfg -a 1 (o il numero che hai annotato prima)
4. Infine digiti: rpccfg -q (controlli che siano listati solamente gli indirizzi di loopback)

Non è finita qui la storia

Adesso per terminare la procedura dovrai aprire l'editor del registro:

1. Start==>> Esegui==>> e digiti: regedit
2. Trovi la chiave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs"
   aggiungi il seguente valore "ListenOnInternet" ed impostalo su "N"

Fatto tutto questo riavvi il PC e la porta 135 non sarà più in ascolto.

La procedura è descritta qui.

Ciao ciao

Cavolo Sirio .... il tuo inglese è migliorato alla grande

Quell'articolo lo avevo trovato, ma mi ero persa a metà
Sarà che come vedo scritto che devo cambiare una chiave di registro mi si spegne il cervello

I servizi dei quali parla lì, li ho già disabilitati, stesso dicasi per DCOM, ma mi restava sempre la 135 in listening per colpa di svchost.exe
Mi sa che pur di segare svchost.exe metterò mano al registro per la prima volta

La guerra continua

PS: Dubbio dell'ultimo minuto
La procedura per chiudere la porta 135, in realtà non chiude la porta e non disabilita neanche questo benedetto servizio (ms-rpc) di RPC, ma restringe il campo d'azione di RPC alla Loopback Zone, giusto?
Così se la smette di chiede di andare in giro su internet e lascia in pace la mia porta 135, giusto?

Grazie ancora
Roby

[@Sirio@]

Quote:

Originariamente inviato da Roby_P

Cavolo Sirio .... il tuo inglese è migliorato alla grande

Quell'articolo lo avevo trovato, ma mi ero persa a metà
Sarà che come vedo scritto che devo cambiare una chiave di registro mi si spegne il cervello

I servizi dei quali parla lì, li ho già disabilitati, stesso dicasi per DCOM, ma mi restava sempre la 135 in listening per colpa di svchost.exe
Mi sa che pur di segare svchost.exe metterò mano al registro per la prima volta

La guerra continua

PS: Dubbio dell'ultimo minuto
La procedura per chiudere la porta 135, in realtà non chiude la porta e non disabilita neanche questo benedetto servizio (ms-rpc) di RPC, ma restringe il campo d'azione di RPC alla Loopback Zone, giusto?
Così se la smette di chiede di andare in giro su internet e lascia in pace la mia porta 135, giusto?

Grazie ancora
Roby

Beh si, come scritto nella pag.: "The idea is to get RPC to only bind to the loopback address." Anche perché non si può disabilitare Microsoft - RPC.

Comunque l'aggiunta nel registro di sistema della stringa "ListenOnInternet" col valore "N" credo tolga proprio dallo stato di ascolto la porta relativa al servizio "RpcSs", cioè la 135.

Ciao ciao

[boba66]

Per @Sirio@

Quote:

Originariamente inviato da boba66

TCP IN ENTRATA

IN/OUT PACCHETTI UDP

Come dicevo nel mio precedente messaggio, per quanto riguarda questa impostazione vista l'assenza di porte specifiche non ho fatto ancora una regola poiché l'unica che mi verrebbe in mente di usare sono quelle dove sia la source port che la destination port siano "port range".

@Sirio@ Secondo te ne vale la pena di fare una regola anche per questo?

Grazie
boba

[@Sirio@]

Quote:

Originariamente inviato da boba66

Per @Sirio@



Come dicevo nel mio precedente messaggio, per quanto riguarda questa impostazione vista l'assenza di porte specifiche non ho fatto ancora una regola poiché l'unica che mi verrebbe in mente di usare sono quelle dove sia la source port che la destination port siano "port range".

@Sirio@ Secondo te ne vale la pena di fare una regola anche per questo?

Grazie
boba

Si, imo puoi fare una regola TCP or UDP In/Out source address any destination address any source port 1024-65535 e destination port 1024-65535.

Proteggere le WKP è sempre buona cosa

Ciao ciao.

[Roby_P]

Quote:

Originariamente inviato da @Sirio@

Beh si, come scritto nella pag.: "The idea is to get RPC to only bind to the loopback address." Anche perché non si può disabilitare Microsoft - RPC.

Comunque l'aggiunta nel registro di sistema della stringa "ListenOnInternet" col valore "N" credo tolga proprio dallo stato di ascolto la porta relativa al servizio "RpcSs", cioè la 135.

Ciao ciao

Grazie Sirio

[giovanni69]

Usando CIS 3.5.x ultima versione, qualche volta all'avvio del PC mi ritrovo con il cerchietto barrato sull'icona della barra delle applicazioni. Se con il tasto destro controllo lo status del Firewall o del D+ sono OK (l'AV non è attivo dato che uso NOD32 3.0); aprendo CIS il Summary afferma che "All System are active and running" con spunta verde. Se nelle Miscellaneous controllo con Diagnostics non ci sono problemi di installazione.

Quale è quindi il significato di tale status barrato e come correggerlo?

Se effettuo uno Start/Disconnetti/ e rientro con lo stesso account (Admin), lo scudetto di CIS torna normale.

[Roby_P]

Quote:

Originariamente inviato da giovanni69

Usando CIS 3.5.x ultima versione, qualche volta all'avvio del PC mi ritrovo con il cerchietto barrato sull'icona della barra delle applicazioni. Se con il tasto destro controllo lo status del Firewall o del D+ sono OK (l'AV non è attivo dato che uso NOD32 3.0); aprendo CIS il Summary afferma che "All System are active and running" con spunta verde. Se nelle Miscellaneous controllo con Diagnostics non ci sono problemi di installazione.

Quale è quindi il significato di tale status barrato e come correggerlo?

Se effettuo uno Start/Disconnetti/ e rientro con lo stesso account (Admin), lo scudetto di CIS torna normale.

Ciao Giovanni,
magari dico una cavolata, ma ho visto che hai un problema simile con Avira ed ho pensato che forse è proprio un problema in avvio e non di COMODO o Avira, tanto è vero che disconnettendo e poi riconnettendo l'utente risolvi (così facendo il SO non ricarica tutti i servizi da zero come quando spegni e riaccendi, ma solo alcuni)
Prova a togliere qualche voce in avvio automatico (qualcosa di superfluo ce lo trovi di sicuro ) o se preferisci prova a cambiare lo stato di qualche servizio da automatico a manuale e vedi se la situazione migliora.

Se poi non era questo il problema, bhè che dire .... almeno avrai il pc un pò più veloce in avvio

[Romagnolo1973]

Quote:

Originariamente inviato da Roby_P

Ciao Giovanni,
Se poi non era questo il problema, bhè che dire .... almeno avrai il pc un pò più veloce in avvio

La Dottoressa Roby_P Tirone colpisce ancora

[.Kougaiji.]

Riguardo al problema del dwm.exe ho risolto con quella regola, togliendola riavviando e poi rimettendola.In questo modo anche il logging riprende.

[Six1]

Scusate ragazzi se mi ripeto..... ho frequentemente messagi di Alert di comodo di fascia arancione comincio a stancarmi sinceramente... quando vado in internet è diventato un tormento:

-Application: svchost.exe
Remote: 82.57.133.117-TCP
Port:ms-rpc(135)


oppure:
-Application: System
Remote 82.57.93.159-TCP
Port MS-ds(445)


Poichè penso di aver configurato tutto sufficientemente e a me questo basta posso autorizzare queste richieste definitivamente....anche perchè sinceramente dovrei andare a capire ogni singola richiesta a cosa si riferisce e non ho il tempo materiale.....
Anche perchè se decidessi di bloccarle..... come mi è stato già detto da Roby(almeno nel caso di svchost.exe potrebbero succeddere casini al sistema).
Poichè anche prima con il firewall di windows queste funzionavano ed erano solo servizi di microsoft o di qualche altro mio programma posso concedergli le autorizzazione definitive secondo voi???

*Comunque ho notato una cosa il rompimento di balXle avviene in determinate fascie di orario sopratutto. Infatti adesso sembra essersi calmato mah!

[J.C.]

Riguardo il mio post di due paginette fa...
Avevo in effetti una versione vecchia del firewall,così ho installato la nuova, ma continuo a notare questa lista infinita di ip bloccati...circa 700 in poche ore.
Ne ho controllato qualcuno,e ce ne sono diversi di questo RIPE Network Coordination Centre (http://www.ripe.net/), isp da paesi sudamericani, dalla cina ecc.
Che significato hanno,visto che il firewall me li segna come tentativi intrusione?
Tra l'altro non ho utilizzato programmi p2p oggi,sempre che c'entri...