COMODO Internet Security

[superciccetto]

ciao a tutti.
avevo scritto nel thread di antivir ma forse è più consono questo e quindi cancello in quello e posto qui.
sto provando come antivirus, antivir premium (versione 8.0.2.33). vorrei sapere come settare al meglio in comodo, i due processi avwebgrd.exe e avmailc.exe.
per il primo soprattutto visto che per ogni operazione che eseguo in rete, anche per la sola consultazione della pagina, mi appare una finestra di comodo in cui si dice che avwebgrd.exe vuol connettersi. la porta della richiesta è la porta 80 e il processo è in listening sulla porta 44080. ho dato libero accesso in uscita e in entrata. ma mi son accorto però che anche richieste che mi provengono da emule adunanza sulla porta 80, prima bloccate, hanno libero accesso sfruttando la via di avwebgrd.exe.
a questo punto non so se togliere web guard (con lo strumento ricerca ho trovato in questo post una cosa del genere e lo si consigliava pure). ma se propendessi per questa cosa dovrei reinstallare antivir. oppure dare regole ai due processi di cui sopra. voi cosa mi consigliereste?

[bigmatch]

Succede anche a voi che Comodo chieda di effettuare un update e una volta datogli l'ok non installi proprio un bel niente ?
E lo ripete tutti i giorni da alcune settimane ad oggi.
Come se chiedesse aggiornamenti fittizi.
Preciso che io ho la versione 3.5.57173.439

[Romagnolo1973]

Quote:

Originariamente inviato da bigmatch

Succede anche a voi che Comodo chieda di effettuare un update e una volta datogli l'ok non installi proprio un bel niente ?
E lo ripete tutti i giorni da alcune settimane ad oggi.
Come se chiedesse aggiornamenti fittizi.
Preciso che io ho la versione 3.5.57173.439

Penso siano gli update dell'antivirus le definizioni, io ho tolto l'update automatico ma se lo faccio mi scarica comunque qualcosa, anche senza avere l'antivirus ma lo fa, oppure un baco, a me lo fa con ogni versione da quando c'è cis, comunque ho disabilitato l'update e risolto, tanto ogni nuova versione la comunichiamo qui

[Romagnolo1973]

Quote:

Originariamente inviato da superciccetto

ciao a tutti.
avevo scritto nel thread di antivir ma forse è più consono questo e quindi cancello in quello e posto qui.
sto provando come antivirus, antivir premium (versione 8.0.2.33). vorrei sapere come settare al meglio in comodo, i due processi avwebgrd.exe e avmailc.exe.
per il primo soprattutto visto che per ogni operazione che eseguo in rete, anche per la sola consultazione della pagina, mi appare una finestra di comodo in cui si dice che avwebgrd.exe vuol connettersi. la porta della richiesta è la porta 80 e il processo è in listening sulla porta 44080. ho dato libero accesso in uscita e in entrata. ma mi son accorto però che anche richieste che mi provengono da emule adunanza sulla porta 80, prima bloccate, hanno libero accesso sfruttando la via di avwebgrd.exe.
a questo punto non so se togliere web guard (con lo strumento ricerca ho trovato in questo post una cosa del genere e lo si consigliava pure). ma se propendessi per questa cosa dovrei reinstallare antivir. oppure dare regole ai due processi di cui sopra. voi cosa mi consigliereste?

Io ho provato Avira Premium pay grazie alla promo 6 mesi che trovi tra i colleghi cacciatori di promo in AV e sicurezza in generale, poi però sono tornato alla free, l'unica differenza tra le 2 è circa un 2% di rilevazione malware in più , il webguard e il mailguard
La verisone free non è vero che non copre dai malware, anzi meglio dire che alcuni malware vengono esclusi dalle sue firme ma sono solo un 2% e sono i meno dannosi, scelta commerciale ovvio e loro dicono che non copre dai malware per avere più gente che lo compra (non ditelo a nessuno ehh è un segreto ), e comunque costa pochissimo, quindi consigliato comprarlo
Torniamo a bomba, io sono contro questi mailguard, per quello mai ho usato Nod per esempio... tutto passa per la porta 80, ogni cosa che fai passa da un loro server proxy e non sai più cosa esce, se un processo buono o dannoso o curioso, quindi come hai già visto qui col tasto cerca, behh io li ho disabilitati, non devi disinstallarlo, ti basta eliminare i 2 servizi che trovi in panello di controllo strumeti di amministarzioen e invece che automatico metti avvio manuale o disabiliti
Diversamente ti troverai a dare una marea di ok oppure ad autorizzare tutto in uscita sulla 80 verso il loro proxy e non sai cosa è che esce...degustibus...io voglio saperlo quindi nessun webguard sul mio pc, stessa cosa il mailguard IMHO
Se setti la free per il controllo in read & write come da guida di juninho (che è davvero ottima poi lui mi sta simpatico sarà il nome brasiliano :-) ) le differenze tra le due sonopochissime

[Romagnolo1973]

Quote:

Originariamente inviato da Roby_P

Fatto

Tu mi stai portando sulla cattiva strada
Una volta ero una brava ragazza, con un pc ordinato con Hello Kitty come sfondo.
Ora ho una tigre ed pc pieno di beta e tool vari
E poi tu provochi ... hai detto SVCHOST

Lo sapevo, quello ti fa rossa di rabbia ehh
Bene ho visto che hai ripreso per i capelli il pc, hai aggiornato il bios come ti dicevo?
Ho anche messo IMGBurn per farti contenta ma farò una copia tra un mesetto, io non sono un gran utilizzatore, comunque ti dirò, è che nero pure light mi sta sulle ... e voglio studiare alternative
Tu con HelloKitty poi non ti ci immagino, la tigre già è più giusta
Ciao bella

[sampei.nihira]

Quote:

Originariamente inviato da @Sirio@

Ciao sampei,
ho visitato tutti i siti evidenziati in giallo e danno tutti la stessa pag., cambia solo il nome dell'eseguibile però penso che il malware sia lo stesso.
Ho visto che Edgar Bangkok ha aggiornato la situazione, cmq la sostanza non cambia è sempre love.exe oppure youandme.exe, ecc.

Ancora non l'ho potuto eseguire ...al più presto lo farò.

Si ultimamente il malware è lo stesso ma cambia ogni giorno dimensione (anche adesso che stò scrivendo è cambiato in dimensione rispetto ad ieri) probabilmente questa semplice strategia di infezione sarà redditizia per il team che lo sviluppa !!

Boh.

Ed infatti ogni giorno il malware è rilevato specie nelle primissime ore del giorno da pochi antivirus on line e sempre diversi.

[Roby_P]

Una curiosità sul webguard e sul mailguard di Avira
Non mi è ben chiaro come funzionano questi 2 processi, perchè io uso la free, ma andando ad agire sugli Access Rights, non gli si può impedire di agire indiscriminatamente su tutto?

Quote:

Originariamente inviato da Romagnolo1973

Lo sapevo, quello ti fa rossa di rabbia ehh
Bene ho visto che hai ripreso per i capelli il pc, hai aggiornato il bios come ti dicevo?
Ho anche messo IMGBurn per farti contenta ma farò una copia tra un mesetto, io non sono un gran utilizzatore, comunque ti dirò, è che nero pure light mi sta sulle ... e voglio studiare alternative
Tu con HelloKitty poi non ti ci immagino, la tigre già è più giusta
Ciao bella

SVCHOST mi sta proprio antipatico ed ora devo anche ricominciare da capo

No il BIOS non l'ho ancora aggiornato
E' tutto pronto ... ho l'aggiornamento e tutte le istruzioni stampate
Mi devo solo decidere

[rlt]

Quote:

Originariamente inviato da @Sirio@

Lo sospettavo..



Questo dovrebbe essere più semplice (sempre in teoria), cmq dovresti provare a mettere nei PC interessati una regolina per System sopra quelle per la LAN, quindi per prima tra le regole System, indicando di bloccare l'IP del PC che non vuoi si intrufoli, per esempio, se non volessi che il PC3 si "intrufoli" nel PC1 farai una regola per System nel PC1 che vieti l'ingesso al PC3:

Action = Block (attiva l'opzione Log as a firewall event if this rule is fired)
Protocol = IP
Direction = In
Description = Blocca e registra qualsiasi richiesta in ingresso dal PC3
Source Address = 192.168.1.175 (PC3)
Destination Address = 192.168.1.190 (PC1)
IP Details = Any

..e così anche per gli altri PC.

Mi fai sapere se funziona?

Ciao.

SAcusa il grande ritardo con cui ti rispondo,ma è stato un periodo...pieno.
Funziona tutto.
Grazie

[Romagnolo1973]

Quote:

Originariamente inviato da Roby_P

Una curiosità sul webguard e sul mailguard di Avira
Non mi è ben chiaro come funzionano questi 2 processi, perchè io uso la free, ma andando ad agire sugli Access Rights, non gli si può impedire di agire indiscriminatamente su tutto?



SVCHOST mi sta proprio antipatico ed ora devo anche ricominciare da capo

No il BIOS non l'ho ancora aggiornato
E' tutto pronto ... ho l'aggiornamento e tutte le istruzioni stampate
Mi devo solo decidere

Purtroppo non si riesce ad agire, ogni volta che visiti un pagina quell'azione passa sulla porta 80 verso il proxy di Avira e quindi se metti in ask sei sommerso di richieste, se blocchi non navighi più e se dai allow al processo in realtà non sai più quale exe vuole uscire perchè risulta essere sempre il webguard a chiederti di uscire insomma non il massimo della vita, al limite si potrebbe vedere in D+ webguard quali processi interagiscono con lui e dare ogni singolo exe i diritti ma è un lavoraccio e poi ogni pagina che visiti che fai...insomma dal mio punto di vista i webguard o emailguard sono più un rischio che un pregio, per fortuna che nella free non ci sono. Comunque li si può sempre eliminare dai processi attivi per fortuna
Dai aggiorna il Bios suuuu

[superciccetto]

grazie della risposta romagnolo1973. in effetti stava cominciando a diventare un pò pesante la situazione. solo ieri sera ho dato l'ok a più di 100 richieste che provenivano dal web guard. cosi ho disabilitato tutti e due i servizi.

[:..Giuliacci..:]

Quote:

Originariamente inviato da Romagnolo1973

Ciao di SVCHOST ci siamo occupati alla nausea, è possibile che sia così grande perchè sei su SVista addirittura a 64b, avrai circa 100 servizi inutili attivi
Io ti consiglierei di scaricare questa cosa che sul 64bit va bene di sicuro
http://technet.microsoft.com/en-us/s.../bb896653.aspx
scarica Process explorer e vedi sul SVCHOST così grosso (in realtà ne hai altri ma più piccoli) come è composto, ovvero quli servizi vanno a prendere da quell'Exe le varie dll e info, così ccapirai quanta inutilità hai sul pc

Mi sa che Roby che è curiosa si scaricherà anche questo

grazie della risposta:

cosa devo fare?

[andrea.ippo]

Qualcuno mi dice la regola di D+ per Explorer con policy Proactive?
Io non ho voluto rinunciare alla mia configurazione Firewall in cui avevo già creato tutte le regole per il firewall, e allora ho cercato di renderla Proactive manualmente.

Dei cambiamenti descritti qui:
http://forums.comodo.com/install_set...-t31240.0.html

(che mi erano già stati indicati da sirio), mi manca solo la policy custom per explorer.exe (che nella mia config infatti risulta ancora "Windows System Application")

Grazie

[:..Giuliacci..:]

Spyware Terminator potrebbe andare in conflitto con comodo?

[Roby_P]

Quote:

Originariamente inviato da andrea.ippo

Qualcuno mi dice la regola di D+ per Explorer con policy Proactive?
Io non ho voluto rinunciare alla mia configurazione Firewall in cui avevo già creato tutte le regole per il firewall, e allora ho cercato di renderla Proactive manualmente.

Dei cambiamenti descritti qui:
http://forums.comodo.com/install_set...-t31240.0.html

(che mi erano già stati indicati da sirio), mi manca solo la policy custom per explorer.exe (che nella mia config infatti risulta ancora "Windows System Application")

Grazie

Ciao andrea,
non ho ben capito. Nella Computer Security Policy c'è un gruppo che si chiama Windows System Applications, mi stai dicendo che tu explorer.exe ce l'hai in quel gruppo?
Oppure mi stai dicendo che explorer.exe non fa parte di nessun gruppo, ma la policy applicata è Windows System Application?
Io ora ho installato la beta (però anche prima era così ) e explorer.exe non fa parte di nessun gruppo e la policy applicata è Custom Policy ed in Access Rights è tutto su Allow tranne Run an executable che è su Ask (in realtà io ho spostato Protected Registry Keys su Ask )
Ciao ciao

[andrea.ippo]

Quote:

Originariamente inviato da Roby_P

Ciao andrea,
non ho ben capito. Nella Computer Security Policy c'è un gruppo che si chiama Windows System Applications, mi stai dicendo che tu explorer.exe ce l'hai in quel gruppo?
Oppure mi stai dicendo che explorer.exe non fa parte di nessun gruppo, ma la policy applicata è Windows System Application?
Io ora ho installato la beta (però anche prima era così ) e explorer.exe non fa parte di nessun gruppo e la policy applicata è Custom Policy ed in Access Rights è tutto su Allow tranne Run an executable che è su Ask (in realtà io ho spostato Protected Registry Keys su Ask )
Ciao ciao

Ciao Roby e grazie per la risposta.
Che ci fosse un gruppo con un nome molto simile alla policy l'ho visto solo adesso dopo che me l'hai fatto notare tu
Comunque intendevo la seconda opzione tra quelle che hai ipotizzato

Ora applico subito Custom con i permessi che mi hai indicato, grazie

[@Sirio@]

Quote:

Originariamente inviato da rlt

SAcusa il grande ritardo con cui ti rispondo,ma è stato un periodo...pieno.
Funziona tutto.
Grazie

No problem..



Thanks!

[@Sirio@]

Quote:

Originariamente inviato da andrea.ippo

Qualcuno mi dice la regola di D+ per Explorer con policy Proactive?
Io non ho voluto rinunciare alla mia configurazione Firewall in cui avevo già creato tutte le regole per il firewall, e allora ho cercato di renderla Proactive manualmente.

Dei cambiamenti descritti qui:
http://forums.comodo.com/install_set...-t31240.0.html

(che mi erano già stati indicati da sirio), mi manca solo la policy custom per explorer.exe (che nella mia config infatti risulta ancora "Windows System Application")

Grazie

EDIT: avevo capito male: pensavo fosse la prima che ha scritto Roby_P.

[@Sirio@]

Quote:

Originariamente inviato da sampei.nihira

Si ultimamente il malware è lo stesso ma cambia ogni giorno dimensione (anche adesso che stò scrivendo è cambiato in dimensione rispetto ad ieri) probabilmente questa semplice strategia di infezione sarà redditizia per il team che lo sviluppa !!

Boh.

Ed infatti ogni giorno il malware è rilevato specie nelle primissime ore del giorno da pochi antivirus on line e sempre diversi.

Proverò a scaricarlo di nuovo e controllare se è cambiato qualcosa.

Non ho potuto fare il test come avrei voluto... sono stato disturbato varie volte.
Forse lo rifarò, anche perché vorrei capire meglio.

youandme.exe

MD5...: 7232751c59610f4e06dd16ec9d623a79

Analisi su virustotal: http://www.virustotal.com/analisis/f...5b3d858f9f3a64

Analisi su CIMA (Comodo Instant Malware Analysis): http://camas.comodo.com/cgi-bin/subm...ac743e51f6121c

Analisi su Threatexpert: http://www.threatexpert.com/report.a...dd16ec9d623a79


Una volta avviato e dato l'assenso al D+, youandme.exe esegue la prima attività pericolosa, la modifica della chiave di registro

poi chiede la connessione a diversi IP vado avanti fino ad un'altra richiesta importante che ci avvisa del pericolo



dopo viene avviato dwwin.exe (una parte dello strumento di segnalazione di errore di Microsoft Doctor Watson)

che porterà alla terminazione di TMP8.tmp continuando si nota un'intensa attività online con continue richieste del firewall....intanto youandme.exe è sempre attivo



mi fermo qui.

Scansione con PrevxCSI 3.0.1.3

Infatti

Scansione con a-squared antimalware 4

Secondo il report di threatexpert: "A network-aware worm that attempts to replicate across the existing network".

Oocio a quelle che scaricate ed eseguite.

[@Sirio@]

Quote:

Originariamente inviato da Roby_P

Ciao andrea,
non ho ben capito. Nella Computer Security Policy c'è un gruppo che si chiama Windows System Applications, mi stai dicendo che tu explorer.exe ce l'hai in quel gruppo?
Oppure mi stai dicendo che explorer.exe non fa parte di nessun gruppo, ma la policy applicata è Windows System Application?
Io ora ho installato la beta (però anche prima era così ) e explorer.exe non fa parte di nessun gruppo e la policy applicata è Custom Policy ed in Access Rights è tutto su Allow tranne Run an executable che è su Ask (in realtà io ho spostato Protected Registry Keys su Ask )
Ciao ciao

E come ti trovi?

Già che ci sei perché non spostare su Ask anche Protected Files/Folders.

[andrea.ippo]

Quote:

Originariamente inviato da @Sirio@

E come ti trovi?

Già che ci sei perché non spostare su Ask anche Protected Files/Folders.

Ho seguito io questo consiglio al volo
Ti stavo rispondendo, poi ho visto l'edit, tutto ok