» Comodo Firewall Pro / Comodo Internet Security (3)

Народ, а что это случилось : ни с того, ни с сего в сеть по 80-му порту на IP 89.149.241.122 начал ломиться C:\WINDOWS\explorer.exe
Ежечасно происходит двойной запрос (с промежутком в пару секунд). Не пойму, что ему надо в И-нет ? Просканировал систему различными средствами - всё как бы чисто. Но это явно троян или спам зацепился, теперь не знаю, как от него отвязаться. Сбоев работы системы не замечал.
P.S. Гадский папа был вычислен и жестоко наказан методом депортации. Им оказался широко известный в узких кругах спам-рассыльщик AdSubscribe.dll
Выкуривать надо отсюда C:\Documents and Settings\User\Application Data\AdSubscribe\

vitsat
А что Comodo? молча пропустил эту заразу?
Что-то сомнительно...

Поставил 3.9. Глобальные правила по умолчанию. Что в них изменить для домашнего юзера?

Цитата:

vitsat
А что Comodo? молча пропустил эту заразу?
Что-то сомнительно...

vitsat
Какой дежурный антивирус используете ?
(чтоб мне его не ставить )

Добавлено:
Ronin666
А что если через Мастер скрытых портов - 3й пункт.
Пишут, что подходит для большинства пользователей.

возможно "Гадский папа - широко известный в узких кругах спам-рассыльщик AdSubscribe.dll" попал на машину еще до установки COMODO

Цитата:

возможно "Гадский папа - широко известный в узких кругах спам-рассыльщик AdSubscribe.dll" попал на машину еще до установки COMODO

Попал позавчера.

Цитата:

Какой дежурный антивирус используете ?
(чтоб мне его не ставить )

Не сотвори себе кумира. Иногда все они лажаются, и даже по крупному.... Defense+ - реальная защита от новоявленных угроз. Вот результат через три недели : AdSubscribe.dll спрашивается : а где же вы (некоторые) были раньше ? И это только один маленький частный случай... Всё очень печально с традиционными антивирями...

Цитата:

А что Comodo? молча пропустил эту заразу?
Что-то сомнительно...

Ребята, каюсь, что не использую модуль Defense+ , так бы, конечно, новоявленный зловред был бы заблокирован. Антивири все на число появления зловреда молчали, как рыбы - и даже Касперыч. Погуглив тему, заметил, что на их конфе появилась первая жалоба 23 числа, и они, молодцы, оперативно отреагировали. В моём случае источник никак себя не проявлял (типа рекламными модулями, как у пострадавших), а тупо рвался в Сеть посредством explorer. Модуль HIPS (Защита от проникновения) в моём McAfee тоже прекрасно блокирует таких гадов, но я его отключаю в своё присутствие, иначе невозможно установить некоторые проги, блокируется USDownloader, которым я активно пользуюсь и т.д, и т.п. Всё это можно настроить, но в этих настройках я не разбираюсь и просто отрубаю полезный модуль. После русификации CIS и его справки появился реальный шанс изучить полезнейшую штуку (как я смог теперь убедиться на горьком опыте) - Defense+
Однако и файеру я очень благодарен, т.к. он выявил сетевую активность нЕчисти.

vitsat
Два ХИПСа (Comodo и McAfee) - это угробить систему. Выберите один.
Новые вирусы невозможно найти антивирусом - нет сигнатур, эвристика не всегда спасает. Их ловят ХИПСом, которые часто отключают "чтобы не было вопросов". Так вы и попались.

В связи с тем, что современные вирусописатели используют руткит-технологии, после внедрения вируса в систему даже с появлением сигнатур антивирусы уже бессильны.

Вот, наверное в тему:


Цитата:

А что, господа , никто не принимал участие в новой забаве на англоязычной части форума -
протестируй себя 34 способами и убедись , что у тебя пробоина на компе величиной с подводную лодку
http://forums.comodo.com/feedbackcommentsannouncementsnews_cis/comodo_leak_test_suite_release_with_34_tests-t29688.0.html

а вот и ссылка на сам тест http://www.testmypcsecurity.com/securitytests/firewall_test_suite.html
весит 160 кило ....
народ там хвастает , что набирает в "очко" 340 , как нефиг делать ...
я набрал 50 ...есть над чем поразмыслить ...применяю другие способы обороны - менее тормозящие систему
Любопытно , как у кого ....реально.

Налетай, и будем (...) меряться !

310/340

Dorovsky знаешь если включены все модули то при запуске этого теста я легко набрал 340 очков так как сразу это приложение определил как вредоносное и изолировал его, а если я сказал что это хорошее приложение то получил 0 очков, т.е. все зависит от человека а программа это только инструмент

HSWT


Цитата:

По поводу приведенного выше ликтеста.

Странные все эти ликтесты. Любой HIPS сразу реагирует на запуск exe-файла.
Ну запретил я выполнение и что, прошел я тест или нет ?
Далее, допустим, разрешил. На какую кнопку будешь тыкать, такой и результат.
Тыкаю - позволить - не прохожу тест, тыкаю - запретить - прохожу весь.

Далее. Очень многие программы желают и в автозагрузку попасть, и доступ к памяти
и svchost.exe использовать и глобал хук установить и прямой дрступ к диску и т.д. и т.п.
Все запрещать - ничего рабатать не будет, все разрешать - тоже не вариант.
А какая прога на что имеет права - наверное только большие спецы знают.

Видимо для рядового пользователя данный тест смысла не имеет.

Являюсь поклонником Comodo, но использую другой фаер.
340

Немного в оффе, но тоже результат: новоиспечённый КИС 2010 набрал 320, логи тут, если кому интересно.
Запуск прошёл нормально, кстати, ничего не запросило - видимо, файл имеет цифровую подпись?
На все действия жал запретить, что в принципе логично - иначе тест не пройдёшь. Соответственно, то, что два теста завалены - уязвимости КИСа.

CIS 3.9, Defense+ в "Параноидальном" режиме, контроль исполняемых файлов "Агрессивный", в настройках мониторинга (Defense+) все галки поставлены, результат 320/340...

ЗЫ: прикольно, выбрал конфиг COMODO - Proactive Security (из числа конфигов, входящих в комплект фаера), результат 340/340. Ща буду поглядеть в чем различие между этим конфигом и стандартным...

ЗЫЗЫ: Нашел пока следующее: Defense+ - "Безопасный" режим, в мониторинге отмечены все галки, контроль исполняемых файлов "Нормальный", проверка файлов: кроме "exe", еще добавлены "bat" и "com".

laimer, тоже так 340/340.

Ну под себя же штамповали
А вот у конкурентов проблемы: КИС 2010 не у всех хорошо проходит, а иногда и вызывает слёт системных настроек...
А кое-кто не замедлил обозвать тестовый файл вирусом - ну так проще всего проходить

скажите пожалуйста, где можно скачать темы для comodo. на comodothemes.com ничего нет

Еще нашел в Defense + разницу в настройках 'Firewall Security' и 'Proactiv Security'. Для прохождения двух тестов ( 'RootkitInstallation: DriverSupersede' и 'Invasion: FileDrop') в настройки модуля "Защита" - Базовые - Мои защищенные СОМ интерфейсы, в разделы на картинке, добавляем интерфейсы обведенные линией:

Там же в "Базовых", в раздел "Мои защищенные файлы", добавляем группу файлов 'Executables', т.е. "Исполняемые файлы".

gjf

Цитата:

Ну под себя же штамповали
А вот у конкурентов проблемы: КИС 2010 не у всех хорошо проходит, а иногда и вызывает слёт системных настроек...
А кое-кто не замедлил обозвать тестовый файл вирусом - ну так проще всего проходить

С сомнением, по поводу объективности теста, согласен полностью
Кстати, у меня Авира тож обругалась на данную софтину ещё при закачке

laimer
Да с тестом-то как раз всё нормально. Просто подход к критике у некоторых вендоров ненормальный.
Хотя может это просто совпадение - не знаю.
Вы тест проходили под пользовательской учётной записью или под администратором?

gjf

Под пользователем с правами админа...

laimer

Цитата:

в настройки модуля "Защита" - Базовые - Мои защищенные СОМ интерфейсы, в разделы на картинке, добавляем интерфейсы обведенные линией:

Нет таких компонентов в окошке выбора. И где их найти ?

Цитата:

Там же в "Базовых", в раздел "Мои защищенные файлы", добавляем группу файлов 'Executables', т.е. "Исполняемые файлы"

А это есть.

Как в 3.9 задать набор портов? В 2.4 они задавались через запятую, в 3.9 поле неактивно. Хотел внести такое правило, как было у меня в 2.4



но не получается, вываливается такая штука



Что делать? И вообще могу я в 3.9 задать такие же правила, как были в 2.4?

Ronin666
Ну так у тебя ж в выпадающем списке вываливаются уже готовые наборы портов. Если не устраивает, то:
Firewall Tasks - Common Tasks - My Port Sets
и создаешь новый набор.

(вроде так, насколько помню)

vitsat

Цитата:

Нет таких компонентов в окошке выбора. И где их найти ?

Дык руками, выбираешь "Добавить СОМ компоненты", а затем, в открывшемя окне, в поле "Добавить новый элемент" набираешь название компонента и далее кнопка с "+" и "Применить".

XenoZ

Цитата:

Ну так у тебя ж в выпадающем списке вываливаются уже готовые наборы портов.

Я хочу заблокировать входящие TCP и UDP по 135, 445 портам. А в этом списке, как я понимаю, предлагаются порты браузера и почты. Про "привилегированные порты" не знаю. Пока создал следущее:



Ещё интересует такой момент: в Мастере скрытых портов ставлю галку в этот чекбокс



но она всегда при открытии Комода оказывается тут



Так и должно быть?

Ronin666
Еще раз, для особо "понятливых": идешь в указанный раздел, создаешь там свой набор портов, к-рый также появится в выпадающем списке при создании/редакции правила. Его и выбираешь.

XenoZ

Цитата:

Еще раз

Извините, ступил... Благодарю за подсказку! Разобрался...

Цитата:

но она всегда при открытии Комода оказывается тут



Так и должно быть?

Именно. Потому, что это мастер. При установки точки в чебокс и нажатии "ОК"
мастер автоматически создает набор правил в "Глобальных Правилах",
и все.
Три варианта чебокса - создадутся три разных набора правил, смотря куда
поставишь точку.
Правила пропишутся и будут работать. И при очередном открытии "Мастера скрытых портов" - не важно где стоит точка.

По поводу теста - заточен он под Комодо или нет.
Без понятия. Уменя 340 на другом фаере (бесплатном ).

Стояла 4-ка Смарт Секьюрети, решил поставить 3.9 Комод интернет секьюрити, попробовал в работе и удалил. Вернулся на 4.0.424 ESS, ибо есть с чем сравнить.
В целом - фаервол не плохой, но настройки у ESS намного удобнее, по типу Виндовс.
Комод, после установки и включения сети, сразу подвесил Винду. Из мёртвого состояния вывел только ресет. Такой фишки у Есета не наблюдалось. А файервол, на мой взгляд, у ESS - даже лучше(если правильно настроить), плюс к этому - нормальный антивирусник на борту.
п.с. извините за оффтоп..

OlegSev, у меня было все наоборот.

Несколько ссылок на сравнительные тесты.
http://www.matousec.com/projects/proactive-security-challenge/results.php
http://www.internet-security.ru/2008/06/30/kiss-oss-ess/

puteshestvenn1k, опять извиняюсь за оффтоп, но первый сайт "двигает" свои продукты, а второй - двигает аутпост. там во первых 3-я версия(а в 4-ой, основательно улучшен файервол) и поотключали всё что можно. а насчёт контроля за работой приложений - я привык смотреть в диспетчере задач. и данное преимущество для меня сомнительно. это преимущество скорей для чайников.
кроме того, в Висте имеется встроенное средство контроля учётных записей(UAC - user account control), и при попытке запуска любой неизвестной программы - немедленно вылетает окно "открывать-неоткрывать" "знаете эту программу-не знаете".
Считаю эту фишку для Висты(она у меня установлена) лишней.