» Comodo Internet Security

XenoZ 07:09 26-10-2015
Цитата:

Единственное неудобство - после очистки песочницы при виртуальном запуске нужно заново инициализировать настройки запускаемой программы.

Можно прописать исключения для конфигурационных файлов и веток реестра. Конечно, тогда уже будет слегка «гадить»)

Цитата:

Вариант не прокатывает с msi-установщиками.

Собственно установка возможна. Можно ли потом выполнить перенос в реальную среду и работать после очистки песочницы — не проверял.

XenoZ
Спасибо большое, способ с переносом работает.

Есть вопрос еще. Использую программу виртуальной клавиатуры. Она кроме собственно очень удобной клавиатуры показывает набор спецкнопок для каждой запущенной программы при работе в ней. Соответственно лезет в память всего. Если включить журнал, то HIPS выдает 300 сообщений в минуту о блокировке вторжения - попытка доступа в память процесса cis.exe.

Как решить эту проблему? Правило разрешающее доступ программе к памяти cis.exe HIPS игнорирует. Можно их как-то подружить, в крайнем случае, хотя бы убрать это событие из логирования.

my999 14:58 26-10-2015
Цитата:

Можно их как-то подружить, в крайнем случае, хотя бы убрать это событие из логирования.

Увы, логирование можно убрать только полностью. Можно настроить логирование только в системный журнал вместо комодовского (хотя у меня как-то сомнительно сработало).
Можно разрешить утилите доступ к памяти CIS, хотя этот вариант мне не очень нравится. (То же самое — 9-й вопрос в шапке)

emhanik

Цитата:

Можно прописать исключения для конфигурационных файлов и веток реестра. Конечно, тогда уже будет слегка «гадить»)

Нет уж лучше ручками, чтоб не гадило
В принципе, если позволяет программа, можно делать экспорт конфигурации в Shared Space, тогда еще проще.

Цитата:

Собственно установка возможна.

Ты про [more=это]Установка в виртуальной среде может дать сбой в случае использования Windows Installer. Решение:

открыть вкладку «HIPS» > «Группы HIPS» > «COM-группы» и раскрыть группу «Псевдо COM-интерфейсы - Привилегированные»;
изменить строку LocalSecurityAuthority.Shutdown, например, на xxxLocalSecurityAuthority.Shutdown и нажать «Ok»;
выполнить установку программы в виртуальной среде;
аналогично вернуть в прежний вид строку LocalSecurityAuthority.Shutdown.
[/more]? Я пробовал несколько иначе: строку LocalSecurityAuthority.Shutdown просто удалял. Правда, установщик еще затребовал доступ к LocalSecurityAuthority.Debug, удалил и эту строку.
После установки восстановил, но у Комода слегка снесло крышу: перестал показывать в виджете кол-во "файлов, ожидающих рассмотрения" и, вдобавок, они же перестали отображаться в списке неопознанных. Вылечил переустановкой Комода, старые настройки подхватились без проблем. И, пока комодцы не починят глюк с msi, решил больше не экспериментировать (твой баг-рапорт на оффоруме видел).

XenoZ 15:21 26-10-2015
Цитата:

но у Комода слегка снесло крышу: перестал показывать в виджете кол-во "файлов, ожидающих рассмотрения"и, вдобавок, они же перестали отображаться в списке неопознанных

Во дела...


Цитата:

И, пока комодцы не починят глюк с msi

В 9-ке баг не проявился. При том, что и попытка произвести выключение через песочницу в ней блокируется.

Цитата:

Можно ли потом выполнить перенос в реальную среду и работать после очистки песочницы — не проверял.

Таки можно.

XenoZ 15:21 26-10-2015
Цитата:

Правда, установщик еще затребовал доступ к LocalSecurityAuthority.Debug

Кстати, какой именно установщик? На тех, что я проверял, было достаточно отключить LocalSecurityAuthority.Shutdown

emhanik

Цитата:

Кстати, какой именно установщик?

Autodesk 123D Design 32bit

XenoZ
Тема короче такая.
В CIS 8.2, CIS 9 в конфигурации Proactive Security по умолчанию нет LocalSecurityAuthority.Debug среди защищенных псевдо COM-интерфейсов. Есть в 5.10, на других не проверял.
Можно добавить LocalSecurityAuthority.Debug вручную — тогда в CIS 8.2 для виртуальной установки MSI-пакетов приходится временно отключать защиту LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug. Попробовал еще раз на Win7x64 с CIS 8.2 установить 7z — метод с временным снятием защиты LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug работает.
Также проверил CIS 9 с добавленным LocalSecurityAuthority.Debug — 7z установился виртуально безо всяких плясок с бубном.

Наконец, проверил установку «Autodesk 123D Design 32bit» на WinXP с CIS 8.2. Добавил в защищенные LocalSecurityAuthority.Debug и запустил виртуальную установку. Когда появилось сообщение об ошибке, убрал защиту LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug. Установка продолжилась как бы корректно... Потом вернул LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug под защиту и попробовал запустить Autodesk — облом.
Однако запись с неопознанным файлом из списка никуда не пропала. В списке отправленных на проверку изначально ничего не было.
Все на видео. Длинновато, конечно...

Всем спасибо за помощь, но в итоге я все равно снес CIS. Слишком много проблем создал:
1) Стала тормозить блютуз мышь.
2) Стал тормозить просмотр видео.
3) Тормознутый запуск программ.
4) Долгая загрузка компьютера.
5) Фризы клавиатуры.
6) Не понятные спонтанные блокировки выхода рабочей программы в инет.
7) Микроблокировки с роутером.

После удаления все прошло.
В общем геморой это. На старых компах стоят древние версии и все работает четко, понятно и без тормозов. Вердикт - монструозная хрень. Вернусь на старую связку - Sandboxie + ClamAV для новых программ и игр.

emhanik

Цитата:

В CIS 8.2, CIS 9 в конфигурации Proactive Security по умолчанию нет LocalSecurityAuthority.Debug среди защищенных псевдо COM-интерфейсов. Есть в 5.10, на других не проверял.

Хм... Возможно у меня эта запись перекочевала с 5-й версии при обновлении.

Цитата:

попробовал запустить Autodesk — облом

123D на хрюше не запускается, нужна минимум Win7.

Цитата:

Всем спасибо за помощь, но в итоге я все равно снес CIS. Слишком много проблем создал:
1) Стала тормозить блютуз мышь.
2) Стал тормозить просмотр видео.
3) Тормознутый запуск программ.
4) Долгая загрузка компьютера.
5) Фризы клавиатуры.
6) Не понятные спонтанные блокировки выхода рабочей программы в инет.
7) Микроблокировки с роутером.
 
После удаления все прошло.
В общем геморой это. На старых компах стоят древние версии и все работает четко, понятно и без тормозов. Вердикт - монструозная хрень. Вернусь на старую связку - Sandboxie + ClamAV для новых программ и игр.

Приветствую!

Вы делали "Рейтинговое" и "Полное" сканирование?

my999

Цитата:

На старых компах стоят древние версии и все работает четко, понятно и без тормозов. Вердикт - монструозная хрень.

Есть такая машинка: MS-6714 со встроенным видео, Celeron 1,7GHz, RAM 512MB, WinXP SP3 + Комод 8.2 (проактивка и фаевол). Никаких тормозов, глюков и заеданий. Может, ты "просто не умеешь его готовить"?

Цитата:

Вы делали "Рейтинговое" и "Полное" сканирование?

Делал. А на что это влияет? Опасных подозрительных и прочих зловредных обьектов не нашлось.

Цитата:

WinXP SP3 + Комод 8.2 (проактивка и фаевол). Никаких тормозов, глюков и заеданий. Может, ты "просто не умеешь его готовить"?

Может дело в WinXP, у меня Win10. Насчет готовить не знаю, почему я его должен готовить для нормальной работы с мышью, клавиатурой и посмотреть кино. Или вот еще - у меня два роутера с разным нетом - покрывают всю квартиру. В обычном состоянии при переходе с одной комнаты в другую - переключается с одной сети в другую, я этого и не замечаю. С комодо это невозможно, вроде настроил все, но он все равно при переключении все блокирует или частично начинает блокировать процессы в оси, отвечающие за связь с роутером.

my999

Цитата:

А на что это влияет?

В первую очередь - на работоспособность системы. Если ОС - патченая/твиканая/ломаная, то при рейтинговом сканировании будет довольно большой список неопознанных файлов. И, если есть желание и дальше работать на такой ОС, то имеет смысл все подмененные (неопознанные) файлы перенести в доверенные.

Цитата:

Может дело в WinXP, у меня Win10.

Речь шла, если не ошибаюсь, о древней машине. Ставить на раритет Win10, по меньшей мере, - несерьезно. Касательно Win10 в общем... Хотя поддержка и была заявлена, тем не менее именно на Win10 еще возможны всяческие глюки; достаточно вспомнить заявленную в свое время поддержку Win8 и реальное на тот момент положение вещей.

Цитата:

Насчет готовить не знаю, почему я его должен готовить

Любой инструмент, для его безупречной работы, нужно настраивать.

такая ситуация, Комодо сам переодически создает файл в папке темп, с расширением exe и ругается на него как на вирус, но если не успеть нажать "лечить", этот exe файл сам пропадает. что это и как лечится?

Drorli
Вероятнее то, что файл пытается создать не Комод, а какой-то левый процесс. Комод лишь детектит вредоносный, с его точки зрения, файл.
Отловить, какой процесс создает эти файлы. Проверить на легитимность. Вытащить файл из карантина. проверить на том же вирустотале.
Проверить систему CureIt'ом.

Цитата:

Отловить, какой процесс создает эти файлы. Проверить на легитимность. Вытащить файл из карантина. проверить на том же вирустотале.
Проверить систему CureIt'ом

А как отловить какой процесс создает файлы?

Что-то песочница в Комоде только половина песочницы. В AppData и ProgramData файлы пишутся в системе, а не в виртуале и после очистки песочницы не удаляются сами.

Pantalone 20:07 29-10-2015
Цитата:

Что-то песочница в Комоде только половина песочницы. В AppData и ProgramData файлы пишутся в системе, а не в виртуале и после очистки песочницы не удаляются сами.

Доказательства?
Пошаговое описание (в идеале видео), экспорт конфигурации, журналов...

Интересное дело, о ваших комментариях не всегда приходят уведомления. И даже на ответы им. То ли у ру-борда вы в немилости, то ли у моей почты...
Может, временный баг.

All
Кому-нибудь еще не доходили почтовые уведомления пару недель назад?

Pantalone 01:46 20-10-2015
Цитата:

Может на Хипс полностью положиться, а песочницу отключить?

Если хотите контролировать установщики (и особенно ложные установщики) — автопесочница необходима, причем в усиленной конфигурации.
Если вы настолько круты, что не считаете угрозой отсутствие контроля над программами, которые созданы/запущены браузером, скайпом, архиватором и черт-те чем еще — можно обойтись хипсом вместо автопесочницы.
Кстати, контроля не будет даже при параноидальном режиме хипса
В CIS 9 beta эта угроза устранена и можно более-менее спокойно отказаться от автопесочницы. Однако до релиза далека песня.

Pantalone 01:46 20-10-2015
Цитата:

В Комодо она нигде не прописана, но он ей доверяет на 100% и ставит без вопросов, но почему?

Во-первых, могла сработать облачная проверка.
Во-вторых, имеется скрытая база доверенных файлов, в которую чего только ни входит... CIS доверяет входящим в нее файлам даже при отключенном облаке и отключенном доверии к ЦП. По-видимому, эта база интегрирована в антивирусную.

Pantalone 20:28 20-10-2015
Цитата:

Подскажите, в чем опасность давать проводнику права как системному приложению? Ведь упаришься каждый запуск программ из проводника разрешать.

Если у вас безопасный режим хипса — заносите безопасные программы в доверенные, и не придется «упариваться».

Добавлено:
P.S.
Pantalone 00:30 15-10-2015
Цитата:

Подскажите, стоит ли включать облачные проверки, сильно ли понижается эффективность CIS без этих проверок?

Облачная проверка повышает юзабильность, а защиту, скорее, снижает. По крайней мере, на comss.ru пользователи пару раз замечали, как облако заносит в доверенные черт-те что... а через день перестает заносить, и антивирус Comodo начинает детектить угрозу (если конечно, извлечь из доверенных).

Как заблокировать домен 3-го уровня в файерволе?
Например translate.google.ru
Если 3-го уровня домен постоянно разный, например translate1.google.ru, translate2.google.ru, translate3.google.ru ...
Подстановку *.google.ru он не понимает. И если блокировать домен 2 уровня google.ru, то translate.google.ru всё равно доступен.

Vanfear 02:06 31-10-2015
Цитата:

Если 3-го уровня домен постоянно разный, например translate1.google.ru, translate2.google.ru, translate3.google.ru ...

Во-первых блокировка правилами фаервола по имени хоста не допускает символов подстановки: только точное доменное имя. Во-вторых, правила такого рода работают некорректно, и лучше блокировать по IP.

Можно заблокировать контент-фильтром, но не избирательно для приложений (впрочем, избирательно для пользователей).
Формат записей для блокировки, насколько я смог его раскусить, подробно описан.
Конкретно в вашем случае надо создать категорию и правило, запрещающее ее всем пользователям. В категорию добавить строки:
*.google.ru
*.google.ru/*

контент-фильтром - нету такого в предыдущих версиях.
да и всё у меня корректно работает. просто про подстановку не знал. надо другой поставить.

CIS5, WIn7U, подскажите пожалуйста: комодо не запоминает положение окна, т.е. каждый раз открывая с иконки в трее окно открывается где угодно по экрану, как это поправить?

На днях решил от нечего делать поставить официальный KIS2016 и сравнить с CIS 9 beta.
Но что сказать:
- браузеры отзывчее в KIS
- система отзывчевее на KIS
а теперь вкусное - на KIS:
- не работает гугл/ютьюб/дропбокс - пишет ошибки сертификатов в браузере (Firefox)
- сам по себе браузер падал раз 10, из них только два он смог нормально полистать страницы
- Comodo Leak Test - KIS2016 его благополучно завалил: 190 из 340.

Обновился на CIS9 beta, настройки по-умолчанию:
- браузер не падает, все гуляет отлично, по ощущениям нагрузка на систему по сравнению с 8 версией упала и практически соответствует нагрузке KIS2016
- Comodo Leak Test - 340 из 340, на запросы отвечал блокировкой. ИМХО, выбор очевиден.

emhanik

Цитата:

Доказательства? Пошаговое описание (в идеале видео), экспорт конфигурации, журналов...

Прошу прощения, был не прав. Ставил подозрительную прогу "YandexDiskSetupRu.exe", через пункт "Запустить в COMODO Sandbox" она не ставится, просит какую-то службу "Secondary Logon". Удается поставить ее зайдя в виртуальный стол и запустить там установщик от администратора. Не знаю как так случилось, но я видел папку яндекс диска в папках AppData и ProgramData в реальной системе, но при этом папку программы в Program Files не видел, из чего и сделал вывод, что из песочницы (виртуальный стол это ведь тоже она?) что-то просочилось в систему. Повторил сейчас установку и ничего такого не обнаружил. то ли глюк был, то ли смотрел не туда.


Цитата:

Интересное дело, о ваших комментариях не всегда приходят уведомления. И даже на ответы им. То ли у ру-борда вы в немилости, то ли у моей почты... Может, временный баг.

Баг наверное. Совсем недавно на руборд было вообще не зайти.
Благодарю за остальные комментарии.

anatolikostis2008

Цитата:

- Comodo Leak Test - 340 из 340, на запросы отвечал блокировкой. ИМХО, выбор очевиден.

Все красиво по синтетическому старому тесту... Но...
Тема есть по тестированию антивирусов, где выкладывают реальные вредоносные образцы:
http://forum.ru-board.com/topic.cgi?forum=5&topic=46925#1
или сами скачайте с malwr.com и протестируйте свой антивирус... Я Вас уверяю все станет не так очевидно с выбором)

Возможно я бы и попробовал, но, извиняйте, браузер постоянно падал - не было возможности понять.

А кто-нибудь обновляет базу через ручную закачку файла антивирусной базы? У Комоды 8.2 почему-то при таком обновлении не сбрасывается статус обновления в панели и продолжает показывать, что база обновлялась несколько дней назад, хотя отображает статус "Под защитой" на зеленом фоне после ручного обновления. И в окне "О программе" номер версии антивирусной базы не меняется.

Ищу качественную альтернативу Kaspersky Internet Security.
Посоветовали "Комод".
Что смущает.
1. Программа бесплатная. Неужели бесплатная программа может защищать нормально или лучше KIS?
2. "Комод" отсылает скриншоты о пользователе. Собирает информацию на какие сайты ходил.
Как можно отключить эту функцию?
3. Нет антибаннера. А он очень нужен - полностью совместимый, легкий, эффективный и не тормозящий работу браузера. (у меня в Мозилле только Adblock plus стоит).
Спасибо за ответы.