COMODO Internet Security

[gyonny]

Salve ragazzi, questa discussione l'avevo precedentemente aperta in una sezione errata, quella nominata "Aiuto sono infetto! Cosa faccio?" ed è stata chiusa quindi il moderatore mi ha indirizzato tramite un link questo 3D dedicato a Comodo internet security che spero sia la sezione corretta per il mio problema, non sapevo dove altro postare.

Ultimamente mi è successa una cosa che non mi era mai successa prima: mentre navigavo in internet mi è comparso un popup di avviso da parte del firewall di Comodo in cui c'era scritto "svchost.exe sta tentando una connessione in entrata utilizzando la porta UDP 52175, svchost.exe è un'applicazione sicura ma se non sai cosa fare dovresti bloccare questa azione" quindi io nel dubbio ho bloccato.
svchost.exe (Processo host per servizi di Windows) so che è una applicazione sicura che si trova in C:\Windows\System32 ma quello che mi è sembrato insolito è che abbia tentato una connessione in entrata utilizzando la porta UDP 52175 che utilizzo e tengo aperta solo per eMule, premmetto pure che quando è successo questo eMule era stato chiuso da poco quindi non era in funzione.

Secondo voi ho fatto bene a bloccare questa azione? Oppure dovevo consentire perchè si trattava di un'applicazione sicura?

[Roby_P]

Quote:

Originariamente inviato da Xaolao

hai rielaborato troppo!

Ciao Xaolao

Scusa non avevo visto che avevi già risposto tu

Quote:

Originariamente inviato da Xaolao

Qualche consiglio:

1) penso dovresti aggiungere le regole globali per le porte 135-139, 445, 500 come da guida
2) potresti restringere le regole per gli update di Sony Ericsson (raggrupparle, porte specifiche, magari ip specifici)
3) restringi la porta per gli aggiornamenti di Adobe (ancora meglio evita gli agg auto, ancora meglio molla Adobe)
4) EVGAPrecision, Steam, mcsacore non so che siano
5) prevx restringi almeno alla porta 80
6) sidebar non lo uso (però a me non piacerebbe che se ne vada a spasso per la rete)
7) DISABILITA WEBGUARD E MAILGUARD (che così puoi pure passare a d Avira free e risparmi)
8) che è Adobe ARM?
9) firefox come Web browser (vabbè, queste so facili però!)
10) wmpntwk non sono sicuro perché io lo blocco senza pietà e non lo uso nemmeno
11) io uso SVista, non 7, però non penso che rundll32, taskhost e PING abbiano bisogno di connettersi
12) avupdate come prevx
13) iexplore come firefox
14) explorer lo puoi pure bloccare
15) vmware lascio stare che ho visto hai delle esigenze particolari
16) mbam come prevx
17) applicazioni M$ Office non le uso

penso per cominciare basti

1) non penso proprio
2) non so bene come funge, mi spiace

ciao

Tutti ottimi consigli (e certi pure divertenti ) tranne il primo
Quelle porte non le può bloccare nelle regole globali, perchè ha una LAN

Ciao ciao

[maxx1973]

Quote:

Originariamente inviato da Xaolao

hai rielaborato troppo!

Qualche consiglio:

1) penso dovresti aggiungere le regole globali per le porte 135-139, 445, 500 come da guida
2) potresti restringere le regole per gli update di Sony Ericsson (raggrupparle, porte specifiche, magari ip specifici)
3) restringi la porta per gli aggiornamenti di Adobe (ancora meglio evita gli agg auto, ancora meglio molla Adobe)
4) EVGAPrecision, Steam, mcsacore non so che siano
5) prevx restringi almeno alla porta 80
6) sidebar non lo uso (però a me non piacerebbe che se ne vada a spasso per la rete)
7) DISABILITA WEBGUARD E MAILGUARD (che così puoi pure passare a d Avira free e risparmi)
8) che è Adobe ARM?
9) firefox come Web browser (vabbè, queste so facili però!)
10) wmpntwk non sono sicuro perché io lo blocco senza pietà e non lo uso nemmeno
11) io uso SVista, non 7, però non penso che rundll32, taskhost e PING abbiano bisogno di connettersi
12) avupdate come prevx
13) iexplore come firefox
14) explorer lo puoi pure bloccare
15) vmware lascio stare che ho visto hai delle esigenze particolari
16) mbam come prevx
17) applicazioni M$ Office non le uso

penso per cominciare basti

1) non penso proprio
2) non so bene come funge, mi spiace

ciao

Che bello ho lavoro per una serata intera adesso
Intanto ti ringrazio per il supporto
Vediamo un po.

1) ok, (non comprometto la lan giusto?)
2) potrei bloccarlo, ed eventualmente abilitarlo qunado serve? Visto che è una cosa che non uso anche per mesi, visto che riguarda l'aggiornamento firmware del cell.
3) Quale alternativa al reader di Adobe potrei usare? Conoscevo foxit ?!?
4) Evga precision è un programma per gestire frequenze e ventola della scheda video, in teoria può anche non accedere ad internet perchè se ci sono aggiornamenti li scarico dal sito. Mcsacore è il processo di Mcafee site advisor. Steam è una piattaforma di gioco con community dove puoi trovarti con gli amici (tipo x-fire) comprare giochi in dd, e giocare online. Quindi deve andare in internet quasi liberamente.
5) restringi nel senso blocco la porta 80?
6) ok
7) ok per il webguard, ma il mailguard perchè?
8)ARM è il manager dei download (aggiornamenti) del reader di adobe (quindi vedi punto 3)
9)ok
10)ok, blocco
11)ok, blocco tutti
12) ok
13) ok
14) ok
15) se hocapito ciò che ho fatto dovrei avere limitato il traffico dalle vm verso l'host, ma non il contrario. Se è così mi va bene
16) ok
17) vebbè lascio com'è...un po di dati li devo inviare a MS sennò si sentono soli

Bene, appena torno a casa mi metto a sistemare tutto.

Ciao

[maxx1973]

Quote:

Originariamente inviato da Roby_P

C'avevo pensato pure io, però non volevo esagerare facendoti fare da cavia
Penso vada bene, dicci tu se funziona
In questo modo, se ho capito bene, vuoi permettere al pc host di accedere al guest, ma non il contrario.
L'unica cosa che non ho capito è perchè c'è scritto consenti, ma poi c'è il pallino rosso di blocca
Sarà un bug!
Fammi sapere se funziona

Vai tranquilla, quando ho tempo di "operare" faccio volentieri da cavia...si imparano tante cose..ho fatto da cavia sul downgrade del bios della mia mobo appena uscita perchè avevo fatto un aggiornamento buggato e nessuno aveva mai provato il downgrade
Si si proprio quello dall'host verso tutti e nessuno verso l'host (di vm parlando)
Faccio sapere come va il tutto.

Quote:

Originariamente inviato da Roby_P

Misteri di Microzzoz..... Media Player ce l'ha sia tra i programmi a 32bit che tra quelli a 64bit
Tratta anche wmpntwrk.exe come WMediaPlayer
IE trattalo come Web Browser
Per VMware hai impostato per tutti i suoi exe le regole su Chiedi.
Penso vada bene, visto che in generale non le fai connettere ad internet, perchè se per esempio usassi il browser in una delle tua VM verresti sommerso di richieste

Ok

Quote:

Originariamente inviato da Roby_P

Le regole per System secondo me vanno bene, sono analoghe alle regole globali.

ok

Quote:

Originariamente inviato da Roby_P

Applicazione fidata è fatta in modo che chieda se può oppure no lanciare altri eseguibili.
Basta che una delle applicazioni alle quali hai applicato questa policy ti abbia chiesto di eseguire un altro exe e che tu abbia risposto per trasformare la policy da Applicazione fidata a Policy personale.
Insomma niente di anomalo
Per MBAM non so, meglio aspettare Romagnolo, che conosce meglio il programma

Capito

Quote:

Originariamente inviato da Roby_P

Ciao ciao

Grazie...gantilissima

Quote:

Originariamente inviato da Roby_P

Ciao Xaolao

Scusa non avevo visto che avevi già risposto tu



Tutti ottimi consigli (e certi pure divertenti ) tranne il primo
Quelle porte non le può bloccare nelle regole globali, perchè ha una LAN

Ciao ciao

Ok, allora evito le regole sulle porte perchè blocco la lan..


Direi un grazzissimo a tutti....mi sto facendo una cultura su Comodo grazie a voi

Vi tengo aggiornati su come procede il tutto

[Xaolao]

Quote:

Originariamente inviato da Roby_P

Ciao Xaolao

Scusa non avevo visto che avevi già risposto tu



Tutti ottimi consigli (e certi pure divertenti ) tranne il primo
Quelle porte non le può bloccare nelle regole globali, perchè ha una LAN

Ciao ciao

Ecco questa è una cosa che ti volevo chiedere (infatti nei consigli ho detto "penso", hi hi, e poi sono i giornalisti che mi fraintendono )

io non ho una LAN vera e propria, però vi sono comunicazioni tra pc e router che voglio permettere (quindi una LAN "di fatto") perché se no, avendo cadenza di tipo un secondo tra una e l'altra, mi intasano il log e per aprirlo ci vogliono tipo 10 secondi.

Quindi ho organizzato le regole così:

Una

Due

adesso, lasciando perdere che ho messo il "ricorda" (e che quindi il log mi si intasa lo stesso con i consenti ), perché sto facendo delle prove, che ne pensi?

ciao

[Xaolao]

Quote:

Originariamente inviato da maxx1973

Che bello ho lavoro per una serata intera adesso
Intanto ti ringrazio per il supporto
Vediamo un po.

1) ok, (non comprometto la lan giusto?)
2) potrei bloccarlo, ed eventualmente abilitarlo qunado serve? Visto che è una cosa che non uso anche per mesi, visto che riguarda l'aggiornamento firmware del cell.
3) Quale alternativa al reader di Adobe potrei usare? Conoscevo foxit ?!?
4) Evga precision è un programma per gestire frequenze e ventola della scheda video, in teoria può anche non accedere ad internet perchè se ci sono aggiornamenti li scarico dal sito. Mcsacore è il processo di Mcafee site advisor. Steam è una piattaforma di gioco con community dove puoi trovarti con gli amici (tipo x-fire) comprare giochi in dd, e giocare online. Quindi deve andare in internet quasi liberamente.
5) restringi nel senso blocco la porta 80?
6) ok
7) ok per il webguard, ma il mailguard perchè?
8)ARM è il manager dei download (aggiornamenti) del reader di adobe (quindi vedi punto 3)
9)ok
10)ok, blocco
11)ok, blocco tutti
12) ok
13) ok
14) ok
15) se hocapito ciò che ho fatto dovrei avere limitato il traffico dalle vm verso l'host, ma non il contrario. Se è così mi va bene
16) ok
17) vebbè lascio com'è...un po di dati li devo inviare a MS sennò si sentono soli

Bene, appena torno a casa mi metto a sistemare tutto.

Ciao

1) qua per adesso lascia com'è
3) di solito viene consigliato foxit, ma a me piace di più pdfxchange
5) no, permetti solo sulla porta 80
7) per me servono a poco (SIA CHIARO, opinione personale)
17)

ciao

[maxx1973]

Quote:

Originariamente inviato da Xaolao

1) qua per adesso lascia com'è
3) di solito viene consigliato foxit, ma a me piace di più pdfxchange
5) no, permetti solo sulla porta 80
7) per me servono a poco (SIA CHIARO, opinione personale)
17)

ciao

Ok, sulla lan lascio com'è.
Bene, adobe non la sopporto tanto...con tutte quelle menate di processi per un semplice visualizzatore di pdf
Provo quello che consigli te.
Perfetto non avevo capito una mazza sulla porta 80
Allora restringo solo su quella.
Disabilito intanto il webguard, (tra l'altro mi sembra che anche Romagnolo consigliasse di disattivarlo), poi in seguito vedo per il mailguard.
L'ultimo punto è il più bello

Grazie ancora

[Sikillo]

Java invece come andava trattato con i preset di Policy predefinita? Questo è un passaggio che ancora non riesco a focalizzarlo.

[Roby_P]

Quote:

Originariamente inviato da Xaolao

Ecco questa è una cosa che ti volevo chiedere (infatti nei consigli ho detto "penso", hi hi, e poi sono i giornalisti che mi fraintendono )

io non ho una LAN vera e propria, però vi sono comunicazioni tra pc e router che voglio permettere (quindi una LAN "di fatto") perché se no, avendo cadenza di tipo un secondo tra una e l'altra, mi intasano il log e per aprirlo ci vogliono tipo 10 secondi.

Quindi ho organizzato le regole così:

Una

Due

adesso, lasciando perdere che ho messo il "ricorda" (e che quindi il log mi si intasa lo stesso con i consenti ), perché sto facendo delle prove, che ne pensi?

ciao

Hai fatto casino con le immagini
Vabbè.... le ho corrette nel quote così da portele vedere

Non ho capito bene questa faccenda delle richieste che trovi nel Log del firewall.
Le regole per System non credo servano, per quanto ne so System in una LAN si occupa solo del trasferimento file/cartelle e tra router e pc non c'è questo tipo di traffico, quindi secondo me sono inutili.
Forse ti confondi con le richieste NetBios (dico forse perchè non ho capito bene) che sono principalmente sulla porte 137, 138 e 139.
Visto che come me non hai una LAN puoi tranquillamente disabilitare NetBios
Oppure se non vuoi toccare i servizi, blocca System e non se ne parla più

Per le regole globali non saprei .... non ho capito la faccenda delle comunicazioni tra pc e router che vuoi autorizzare

Ciao ciao

[Roby_P]

Quote:

Originariamente inviato da gyonny

Salve ragazzi, questa discussione l'avevo precedentemente aperta in una sezione errata, quella nominata "Aiuto sono infetto! Cosa faccio?" ed è stata chiusa quindi il moderatore mi ha indirizzato tramite un link questo 3D dedicato a Comodo internet security che spero sia la sezione corretta per il mio problema, non sapevo dove altro postare.

Ultimamente mi è successa una cosa che non mi era mai successa prima: mentre navigavo in internet mi è comparso un popup di avviso da parte del firewall di Comodo in cui c'era scritto "svchost.exe sta tentando una connessione in entrata utilizzando la porta UDP 52175, svchost.exe è un'applicazione sicura ma se non sai cosa fare dovresti bloccare questa azione" quindi io nel dubbio ho bloccato.
svchost.exe (Processo host per servizi di Windows) so che è una applicazione sicura che si trova in C:\Windows\System32 ma quello che mi è sembrato insolito è che abbia tentato una connessione in entrata utilizzando la porta UDP 52175 che utilizzo e tengo aperta solo per eMule, premmetto pure che quando è successo questo eMule era stato chiuso da poco quindi non era in funzione.

Secondo voi ho fatto bene a bloccare questa azione? Oppure dovevo consentire perchè si trattava di un'applicazione sicura?

Ciao gyonny,
per me hai fatto bene a bloccare, nel dubbio meglio bloccare
E poi io non ho mai sentito che svchost.exe usi quella porta.

Ciao ciao

[Roby_P]

@ max e Xaolao

Raga mi state facendo spaccare dalle risate

[Roby_P]

Quote:

Originariamente inviato da Sikillo

Java invece come andava trattato con i preset di Policy predefinita? Questo è un passaggio che ancora non riesco a focalizzarlo.

Dipende da quanto sei paranoico

Noi che siamo moolto paranoici lo abbiamo bloccato
Lo lasci libero di fare quel che vuole nel pc (cioè concedi tutti i permessi che chiede al D+) e gli vieti di uscire (blocca tutte le richieste del Firewall)

Ciao ciao

[Romagnolo1973]

@ maxx1973
Relativamente a MBAM io lo cosidererei fidato e non tarperei le ali al suo controllo degli IP che è una faeture utile

Per Mailguard e webguard sono inutili WebGuard è una cavolata pazzesca, basta avere settato Avira per il controllo in lettura e scrittura (è di default quindi c'è se non lo si modifica) e un eventuale allegato infetto viene controllato prima di aprirlo quindi..mailguard serve solo a rallentare il pc
Di webguard ho già parlato più volte e anche nel 3d di Polonio dei consigli e penso hai già letto quindi non ci torno su, da disabilitare assolutamente

[maxx1973]

Quote:

Originariamente inviato da Xaolao

17) applicazioni M$ Office non le uso

Quote:

Originariamente inviato da maxx1973

17) vebbè lascio com'è...un po di dati li devo inviare a MS sennò si sentono soli

Quote:

Originariamente inviato da Xaolao

17)

Quote:

Originariamente inviato da Roby_P

@ max e Xaolao

Raga mi state facendo spaccare dalle risate

Credo che il punto 17 vada inserito in prima pagina nelle regole fondamentali da inserire nel FW.



p.s. scusate ma non ho resistito

Quote:

Originariamente inviato da Roby_P

Dipende da quanto sei paranoico

Noi che siamo moolto paranoici lo abbiamo bloccato
Lo lasci libero di fare quel che vuole nel pc (cioè concedi tutti i permessi che chiede al D+) e gli vieti di uscire (blocca tutte le richieste del Firewall)

Ciao ciao

Ottimo, metto nella lista dei blocchi.

Quote:

Originariamente inviato da Romagnolo1973

@ maxx1973
Relativamente a MBAM io lo cosidererei fidato e non tarperei le ali al suo controllo degli IP che è una faeture utile

Per Mailguard e webguard sono inutili WebGuard è una cavolata pazzesca, basta avere settato Avira per il controllo in lettura e scrittura (è di default quindi c'è se non lo si modifica) e un eventuale allegato infetto viene controllato prima di aprirlo quindi..mailguard serve solo a rallentare il pc
Di webguard ho già parlato più volte e anche nel 3d di Polonio dei consigli e penso hai già letto quindi non ci torno su, da disabilitare assolutamente

Chiarissimo
Lascio il controllo IP di MBAM attivo e disattivo mail e webguard.

Grazie

[Xaolao]

Quote:

Originariamente inviato da Roby_P

Hai fatto casino con le immagini
Vabbè.... le ho corrette nel quote così da portele vedere

Non ho capito bene questa faccenda delle richieste che trovi nel Log del firewall.
Le regole per System non credo servano, per quanto ne so System in una LAN si occupa solo del trasferimento file/cartelle e tra router e pc non c'è questo tipo di traffico, quindi secondo me sono inutili.
Forse ti confondi con le richieste NetBios (dico forse perchè non ho capito bene) che sono principalmente sulla porte 137, 138 e 139.
Visto che come me non hai una LAN puoi tranquillamente disabilitare NetBios
Oppure se non vuoi toccare i servizi, blocca System e non se ne parla più

Per le regole globali non saprei .... non ho capito la faccenda delle comunicazioni tra pc e router che vuoi autorizzare

Ciao ciao

grazie per la correzione immagini

Ti posto il log per farti vedere che succede se tolgo quelle 5 regoline che ho fatto in più per System/globali


Ovviamente con le regole il log rimane lindo e pinto; le ho aggiunte per permettere delle comunicazioni che secondo me si scambiano modem e router (192.168.1.2 è il mio pc, 192.168.1.1 è il router, 192.168.56.1 è la VBox). Penso che siano comunicazioni "interne" perché gli ind. di destinazione contengono tutti 255 (cioè riguardano tutta la LAN, che anche se non c'è condivisione di file si genera lo stesso per forza).

che dici con quelle regole poi potrebbero essere permessi anche altri comportamenti pericolosi? o posso lasciarle? (no perché non mi piace vedere sempre la scritta "Il firewall ha bloccato 780 intrusione(i)" )

ma tu per curiosità hai tolto AppAggWin? non hai nessun mess nel log?

P.S. sì, non mi piace disabilitare i servizi e NetBIOS non so bene che è
P.P.S. ma Sirio che fine ha fatto? è passato ad Outpost?

[Sikillo]

Quote:

Originariamente inviato da Roby_P

Dipende da quanto sei paranoico

Noi che siamo moolto paranoici lo abbiamo bloccato
Lo lasci libero di fare quel che vuole nel pc (cioè concedi tutti i permessi che chiede al D+) e gli vieti di uscire (blocca tutte le richieste del Firewall)

Ciao ciao

Ricapitolando con Applicazione bloccata si vieta a qualsiasi applicazione di uscire, sempre se non ho capito male; e quindi l'ho bloccato!!!!
Ormai mi avete contaggiato sto' paranoico

[Roby_P]

Quote:

Originariamente inviato da Xaolao

grazie per la correzione immagini

Ti posto il log per farti vedere che succede se tolgo quelle 5 regoline che ho fatto in più per System/globali


Ovviamente con le regole il log rimane lindo e pinto; le ho aggiunte per permettere delle comunicazioni che secondo me si scambiano modem e router (192.168.1.2 è il mio pc, 192.168.1.1 è il router, 192.168.56.1 è la VBox). Penso che siano comunicazioni "interne" perché gli ind. di destinazione contengono tutti 255 (cioè riguardano tutta la LAN, che anche se non c'è condivisione di file si genera lo stesso per forza).

che dici con quelle regole poi potrebbero essere permessi anche altri comportamenti pericolosi? o posso lasciarle? (no perché non mi piace vedere sempre la scritta "Il firewall ha bloccato 780 intrusione(i)" )

ma tu per curiosità hai tolto AppAggWin? non hai nessun mess nel log?

P.S. sì, non mi piace disabilitare i servizi e NetBIOS non so bene che è

Per capire cosa fa NetBios leggi questo
http://www.hwupgrade.it/forum/showpo...2&postcount=11

Io ho la tua stessa identica configurazione, perfino VirtualBox usa lo stesso IP
Io però ho disabilitato NetBios e il mio LOG è pulito
Ma tu condividi file tra VirtualBox ed il pc reale?
Io no

Sì cmq tutte quelle richieste che hai è proprio NetBios
In quanto a sicurezza NetBios tiene le porte in listening proprio per poter comunicare con gli altri pc della rete. Questo ovviamente ti espone, ma quanto sia grave questo rischio proprio non lo so

Le regole predefinite per AppAggWin non le ho cancellate, te l'ho detto sono pigra .... non ho voglia di rifare tutto a manina

Eh.... Sirio è a Londra ....altro che OutPost
E poi che vorresti dire??? Io e Romagnolo non ti bastiamo?

[Roby_P]

Quote:

Originariamente inviato da Sikillo

Ricapitolando con Applicazione bloccata si vieta a qualsiasi applicazione di uscire, sempre se non ho capito male; e quindi l'ho bloccato!!!!
Ormai mi avete contaggiato sto' paranoico

Esatto

[maxx1973]

Buona sera a tutti,

ho fatto un po di modifiche sulle regole del FW:







Ci sono alcune applicazioni che non conosco ed ho lasciato stare; ho disabilitato i servizi webguard e mailguard di avira....ma che tristezza l'ombrello chiuso però

Ho bloccato un po di applicativi, messo come web browser IE e FF, tolto adobe e messo pdfxchange.

Vmware, per uscire ha creato due nuove regole...(o meglio le ho fatte creare io) che ne dite? Ma altrimenti non vanno le vm

Una cosa non mi è chiara....come faccio a restringere prevx, ecc solo sulla porta 80?

In generale, come vi sembra la situazione?

Grazie

[Xaolao]

Quote:

Originariamente inviato da Roby_P

Per capire cosa fa NetBios leggi questo
http://www.hwupgrade.it/forum/showpo...2&postcount=11

Io ho la tua stessa identica configurazione, perfino VirtualBox usa lo stesso IP
Io però ho disabilitato NetBios e il mio LOG è pulito
Ma tu condividi file tra VirtualBox ed il pc reale?
Io no

Sì cmq tutte quelle richieste che hai è proprio NetBios
In quanto a sicurezza NetBios tiene le porte in listening proprio per poter comunicare con gli altri pc della rete. Questo ovviamente ti espone, ma quanto sia grave questo rischio proprio non lo so

Le regole predefinite per AppAggWin non le ho cancellate, te l'ho detto sono pigra .... non ho voglia di rifare tutto a manina

Eh.... Sirio è a Londra ....altro che OutPost
E poi che vorresti dire??? Io e Romagnolo non ti bastiamo?

Mi sono commosso davanti al log bianco...

Ti ringrazio davvero tanto, odiavo proprio quel bombardamento di richieste
Non mi piace disabilitare i servizi quando bisogna passare per il pannello di controllo o usare i vari programmini (queli tipo NVT) perché poi mi si pianta immancabilmente Vista, ma così è proprio una grande idea (e c'è dietro sempre il Romagnolo nazionale).

ancora qualche mese e poi il thread diventa vostro per usucapione