COMODO INTERNET SECURITY 5

[Jo77]

ok, grazie.

[luke1983]

Quote:

Originariamente inviato da arnyreny

ecco il test che cercavate

http://common.ziffdavisinternet.com/...=235761,00.jpg

non male, veramente non male Addirittura sopra Emisoft. Chissà cosa succederebbe se calcolassero l'intera suite

No ho capito un paio di cose:
1) perchè gli altri antivirus più famosi non hanno percentuale?
2) perchè il punteggio è 9.3 o 9.4 nonostante la percentuale sia 100%?

[econos]

Quote:

Originariamente inviato da Romagnolo1973

se li ha visti l'AV allora sono in Antivrus -- Elementi in Quarantena

se sono sandboxati allora dovresti avere in C una cartella con nome VirtualRoot oppure VitrualRoot (non è un errore di battitura ma appositamente fatto da Comodo non so perchè) e lì stanno gl elementi virtualizzati.
PS: devi abilitare il tuo sistema operativo a visualizzare le cartelle nascoste altrimenti non li trovi

Non ho l'antivirus attivo quindi è stato il defense a rilevare il virus.
Forse ho capito quello che è successo: ad un certo punto mi è comparso un popup che mi chiedeva cosa fare con il virus (così lo segnala comodo): "ignora" oppure "rimuovi". Io ho spuntato "rimuovi" ed ecco perché non trovavo più i file. Il dubbio sulla "quarantena" mi era sorto perché, avendo cercato tracce dei file sospetti nel registro con regseeker, mi compaiono voci come questa: SYSTEM\Software\Comodo\Firewall Pro\Configurations\3\Hips\Quarantined Files\0.

In ogni caso ho deciso di non installare più winstep xtreme visto che ci sono pareri discordanti sulla pericolosità di alcuni moduli. E a questo punto devo ringraziare comodo.

[cloutz]

Quote:

Originariamente inviato da econos

Non ho l'antivirus attivo quindi è stato il defense a rilevare il virus.
Forse ho capito quello che è successo: ad un certo punto mi è comparso un popup che mi chiedeva cosa fare con il virus (così lo segnala comodo): "ignora" oppure "rimuovi". Io ho spuntato "rimuovi" ed ecco perché non trovavo più i file. Il dubbio sulla "quarantena" mi era sorto perché, avendo cercato tracce dei file sospetti nel registro con regseeker, mi compaiono voci come questa: SYSTEM\Software\Comodo\Firewall Pro\Configurations\3\Hips\Quarantined Files\0.

dovrebbero essere i controlli euristici-cloud del Controllo Esecuzione Immagine, li ho testati l'altroieri su alcuni rootkit ci beccano il 60-65% delle volte

[econos]

Quote:

Originariamente inviato da cloutz

dovrebbero essere i controlli euristici-cloud del Controllo Esecuzione Immagine, li ho testati l'altroieri su alcuni rootkit ci beccano il 60-65% delle volte

Sì in effetti dovrebbe essere proprio così. Grazie per il chiarimento.

[Lollo84]

Ciao ragazzi,

oggi pomeriggio appena acceso il pc, comodo mi avvisa che msfeedssync.exe vuole modificare una chiave di registro protetta e vuole attivare il processo ielowutil.exe. Mi potreste dire cosa devo fare? devo preoccuparmi?

edit: è la prima volta che comodo mi avvisa di questa cosa. in più IE8 era chiuso.

Grazie a tutti.

[TROPPO_silviun]

Quote:

Originariamente inviato da Lollo84

oggi pomeriggio appena acceso il pc, comodo mi avvisa che msfeedssync.exe vuole modificare una chiave di registro protetta e vuole attivare il processo ielowutil.exe. Mi potreste dire cosa devo fare? devo preoccuparmi?

Ammesso che puoi fare una verifica dell'eseguibile che hai su virustotal per evitare di incorrere in problemi di omonimia di eseguibile ma di diversa funzione, se il componente è pulito e quello ufficiale, sembra essere una funzione di ie8 di aggiornamento dei feed online e quindi direi di non preoccuparti. Byez

[Lollo84]

Quote:

Originariamente inviato da TROPPO_silviun

Ammesso che puoi fare una verifica dell'eseguibile che hai su virustotal per evitare di incorrere in problemi di omonimia di eseguibile ma di diversa funzione, se il componente è pulito e quello ufficiale, sembra essere una funzione di ie8 di aggiornamento dei feed online e quindi direi di non preoccuparti. Byez

grazie, sembra quello ufficiale. sono andato a vedere su system32. Ma è normale che parta da solo anche con IE non attivo?

[Stratoblu]

Quote:

Originariamente inviato da luke1983

praticamente stai chiedendo come fare le regole senza conoscere le porte nè le direzioni.
Prima di tutto clicca OK e, andando nelle policy, renditi conto di cosa succede. Se la regola creata in automatico è generica, vai nella Policy e metti il segno di spunta anche alle regole verdi, in modo che appaiano nel Log. Ora vai nel Log (scheda Firewall -> Eventi Firewall) e guarda un po' come si comportano i programmi che ti interessano. E' consigliabile usare anche il Log avanzato per scremare meglio quello che ti interessa. Trova delle ridondanze nelle richieste e crea delle regole più restrittive in base queste info.
Piccolo consiglio: alla fine di ogni policy dovrebbe sempre esserci una regola di blocco generale con il segno di spunta per visualizzare eventuali blocchi nel Log. Al posto di questa, metti una regola "Chiedi" (sempre con il segno di spunta peri l Log). In questo modo, tutte le connessioni non contemplate dalla tua Policy, richiederanno l'accesso direttamente a te tramite il solito popup.

Nel primo post c'è una mini guida, per quanto non insegni a creare regole dal nulla. (cioè come facciamo spesso qui per le policy già pronte )

Per quanto riguarda il set di porte: no, non puoi creare un set così ampio, perchè la regola diventerebbe troppo ampia. Se devi usate quel set nelle regole, imposta "Set di porte -> Porte Privilegiate" e poi spunta la casella "Escludi...".
Le Porte Privilegiate vanno da 1 a 1023, le altre vanno da 1024 a 65535. Quindi per esclusione ti rimangono solo queste ultime

Ricorda, come c'è scritto all'inizio del mio libro di Programmazione:"In informatica la pigrizia è una virtù"

Luke 1983... dalla tua risposta è chiaro che sono stato troppo generico ed ho esagerato nella richiesta. Ma sono tutt'altro che pigro. Nè mi piace la pappa fatta. Piuttosto mi piace approfondire. Conoscendo il meccanismo di base, avrei la possibilità di poter creare autonomamente regole di volta in volta come ho fatto sinora con OnlineArmor.
Il primo post l'ho letto a fondo ed l' ho apprezzato moltissimo, ringraziando Romagnolo 1973. La mia domanda nasce proprio da una stranezza sulle policy predefinite, illustrate qui, di cui qualcuna l'ho messa in pratica...

Ad esempio parlando della policy Torrent, al lancio di uTorrent ho richiesta di accesso del firewall a cui rispondo selezionando la policy predefinita "Torrent" - creata con attenzione seguendo la guida - ma poi, si susseguono una serie abbastanza lunga di richieste di conferma di accesso, ciascuna per ogni porta usata da uTorrent alle quali non è più possibile rispondere "tratta come Torrent", poiché la scelta a discesa non è più disponibile. Da quando sto scrivendo queste righe, ad esempio, sono sommerso di richieste di utorrent, ciascuna su una porta diversa.

Come ho già detto, se un programma ad esempio usa 30.000 porte in uscita, devo forse autorizzare 30.000 richieste? Dal mio punto di vista, una volta che applico ad un programma una policy predefinita, non dovrei più ricevere avvisi, altrimenti che l'ho fatta a fare? Quindi qualcosa mi sfugge . . .

Per quanto riguarda il set di porte sono assolutamente d'accordo con te: impostare 65000 porte aperte è come stare al Colosseo...
Ciao

[luke1983]

posta uno shot del Log

[Stratoblu]

Quote:

Originariamente inviato da luke1983

posta uno shot del Log

Le richieste d'accesso da parte di Comodo ancora continuano . . .

Grazie . . .

PS
"Nelle ultimissime vesioni UTorrent usa Teredo e IPV6 e veicola tutto il traffico da IPV6 a IPV4 via SVCHOST, quindi il numero di richieste nonostante le regole sono molte, occorre quindi o sopportare i popup e rispondere ok senva il ricorda oppure disabilitare teredo e IPV6 (che CIS supporterà solo nel 2011)."
Questa nota proprio non me la ricordavo, tuttavia l'IPV6 mi ricordo di averlo disabilitato, e lavoro solo con l'IPV4. Può dipendere da questo?

Cmq qualcosa la sto imparando... Per quel che vale, (e vale poco...) ad esempio è possibile sostituire il "MAC qualsiasi" (riferito al MAC della propria scheda di rete) con il MAC effettivo, ricavabile da "ipconfig/all". E' corretto ?

[/IMG]

[Chill-Out]

Quote:

Originariamente inviato da luke1983

non male, veramente non male Addirittura sopra Emisoft. Chissà cosa succederebbe se calcolassero l'intera suite

No ho capito un paio di cose:
1) perchè gli altri antivirus più famosi non hanno percentuale?
2) perchè il punteggio è 9.3 o 9.4 nonostante la percentuale sia 100%?

Evito di quotare gli interventi precedenti per non inquinare ulteriormente il 3D, detto questo sono 5GG per OT reiterato.

[Romagnolo1973]

Quote:

Originariamente inviato da Stratoblu

Le richieste d'accesso da parte di Comodo ancora continuano . . .

Grazie . . .

PS
"Nelle ultimissime vesioni UTorrent usa Teredo e IPV6 e veicola tutto il traffico da IPV6 a IPV4 via SVCHOST, quindi il numero di richieste nonostante le regole sono molte, occorre quindi o sopportare i popup e rispondere ok senva il ricorda oppure disabilitare teredo e IPV6 (che CIS supporterà solo nel 2011)."
Questa nota proprio non me la ricordavo, tuttavia l'IPV6 mi ricordo di averlo disabilitato, e lavoro solo con l'IPV4. Può dipendere da questo?

Cmq qualcosa la sto imparando... Per quel che vale, (e vale poco...) ad esempio è possibile sostituire il "MAC qualsiasi" (riferito al MAC della propria scheda di rete) con il MAC effettivo, ricavabile da "ipconfig/all". E' corretto ?

usando questo
http://www.domaintools.com/
e inserendo gli IP che comodo ti indica vene fuori relativamente alle prime 3 che sono:
AT&T (provider USA)
Google
Simantec
.....
A me ne vengono un paio a sessione ma devo dire che lo uso solo per scaricare LibreOffice o distro linux quindi ne faccio uso limitatissimo
A darti gli avvisi sono le regole 4 e 5 di Utorrent per HTTP e HTTPS sulle porte 80 e 443 che sono impostati su chiedi proprio per consentire il controllo su chi siano
In linea di principio da lì non dovrebbero arrivare guai (al 70% sono puliti) a te la scelta se avere avvisi (non memorizzare gli ok che tanto di volta in volta cambia l'IP solo google ha 3000 server ) e controllarli oppure modifica le 2 regole da chiedi a acconsenti e amen poi non hai più avvisi ma sei un pelo più scoperto

[Stratoblu]

Quote:

Originariamente inviato da Romagnolo1973

usando questo
http://www.domaintools.com/
e inserendo gli IP che comodo ti indica .....

... A darti gli avvisi sono le regole 4 e 5 di Utorrent per HTTP e HTTPS sulle porte 80 e 443 che sono impostati su chiedi proprio per consentire il controllo su chi siano

Non ci avevo pensato ad usare Whois . . . come non avevo capito che le due regole servono proprio a vedere, volendo chi c'è dall'altra parte. Tuttavia perché consentire nell'uso di un P2P, traffico verso le porte 80 e 443 che sono del proprie dei browser e dei client di posta? Non è una richiesta perlomeno strana?
Ora le cose sono un più chiare. Grazie.

[TROPPO_silviun]

Quote:

Originariamente inviato da Lollo84

grazie, sembra quello ufficiale. sono andato a vedere su system32. Ma è normale che parta da solo anche con IE non attivo?

Si, sarà programmato da mamma microsoft così, non mi fascerei molto la testa. Byez

[Stratoblu]

La butto li . . .

Per avviare un prg in Sandbox: tasto ds sull'icona in tray, quindi selezionare Defence+, quindi "Avvia un prg nella Sandbox", poi sfoglia ecc... two ball!!

Non è che esiste una scorciatoia da abbinare ad un collegamento sul desktop ? Sarebbe come una spremuta di fichi . . .

Ciao!

[Romagnolo1973]

Quote:

Originariamente inviato da Stratoblu

Non ci avevo pensato ad usare Whois . . . come non avevo capito che le due regole servono proprio a vedere, volendo chi c'è dall'altra parte. Tuttavia perché consentire nell'uso di un P2P, traffico verso le porte 80 e 443 che sono del proprie dei browser e dei client di posta? Non è una richiesta perlomeno strana?
Ora le cose sono un più chiare. Grazie.

no, le porte 80 e 443 sono le porte dl trafico http e https, servono per gli aggiornamenti dei programmi, e nel caso di emule & Co. servono per aggiornre il programma in se e anche i server, senza non scarichi

Quote:

Originariamente inviato da Stratoblu

La butto li . . .

Per avviare un prg in Sandbox: tasto ds sull'icona in tray, quindi selezionare Defence+, quindi "Avvia un prg nella Sandbox", poi sfoglia ecc... two ball!!

Non è che esiste una scorciatoia da abbinare ad un collegamento sul desktop ? Sarebbe come una spremuta di fichi . . .

Ciao!

se lasci la SB attiva e scarichi o clicchi su un .exe col tasto destro avrai nel menù contestuale la pratica voce "Avvia in Comodo SB"
però vale solo una volta ovvero quella. se riclicchi in seguito sull'eseguibile parte normale, è una sorta di SB al volo
Se vuoi invece che parta sempre sandboxato devi usare la voce Sandboxa Sempre nel menù di CIS, tieni presente che come spiegato nel post in cui parlo di SB in pagina 1 tra questo avvio comandato dall'utente e quello fatto in automatico da CIS quando non conosce una applicazione vi sono differenze di privilegi e cose che può fare l'exe, guarda lì inutile che ripeto, è scritto già tutto lì

[VetroAlex]

Ciao Ragazzi,
GRAZIE mille per questa ottima guida!!!

Avrei un paio di quesiti:
1) E' possibile fare una policy personalizzata che riguarda tutti questi maledetti updates (tipo Google Update ed affini) ke mi intasano la giornata di rikieste?

Tipo una policy che consenta una connessione TCP in uscita con indirizzo di origine e di destinazione "qualsiasi", porta di origine "qualsiasi" e di destinazione "80" e "443"??

E magari fare una cosa simile per i vari Java??

2) Come devo comportarmi con SkypePM (cioè il plugin manager) ke mi sta massacrando di videate?

Grazie in anticipo per la vostra attenzione

[Giovamas]

Io vorrei solo ringraziare l'autore del thread che mi ha chiarito tantissime cose che non conoscevo Grazie MILLE!

[cloutz]

Avete riferimenti da quelli di comodo dove spiegano la differenza del D+ usato con More Options nei popup oppure con popup standard?
oltre il num dei popup

Mi interesserebbe capire, in caso, quali avvisi vengono tagliati fuori e con che criterio questo avvenga.. perchè è impressionante il confronto