» Comodo Firewall Pro / Comodo Internet Security (4)

Chauvinist

Цитата:

А зачем вы его задействовали при инсталляции?

В том-то и дело, что галку поставил только в чеке "файерволл".
Как он появился, ума не приложу...
Лень справку читать. Его можно отключить или эта штука нужная?

To All:

Как я понимаю любое запретное действие, выставленное для файла в правах доступа без варианта будет записано в журнал проактивной защиты?

Добавлено:
Ronin666

Цитата:

Его можно отключить или эта штука нужная?

Насколько я знаю, эта штука триальная и не особо нужная. Она отключается у вас в службах без проблем?

Ronin666
Эта штука ставится сама из cisfree_installer....
И может быть спокойно удалена,отдельно от фаервола. см(Установка и удаление программ)

Chauvinist, ChronoAngel, благодарю!
Вечером отключу в Службах и удалю из Винды...

В чем может быть проблема: после установки последней 4-ки перестали работать приложения в режиме совместимости с предыдущими версиями Windows. Сама система Win 7 x64. Режим параноидальный, Sandbox включен. В чем может быть проблема?

Chern, как вариант попробовать перевести проактивку в режим обучения и позагружать нужные приложения. Но делать это надо после перезагрузки компа, чтобы текущие блокировки не повлияли.
У меня похожая ситуация была с Wi-Fi, который не хотел нормально подсоединяться после загрузки, хотя никаких окошек не всплывало. Перевёл проактивку в режим обучения, перегрузил и нормально с Wi-Fi стало... хотя иногда бывает несколько долгое подключения.

WIGF
Не помогло.
Что интересно, даже при отключенной проактивке и Sandbox и даже если выйти из GUI Comodo, все равно приложения не стартуют в режиме совместимости.
Как я думаю, фаер блокирует какое-то системное приложение Windows на старте, но в логах ничего не нашел.

Обясните дураку, почему КИС 4 с дефолтными настройками позволяет запуск любых программ с флэшки, в т.ч. и тех, которые проактивка не пускает при попытке запустить их с диска?

Добавлено:
Дефект самоустранился непонятным образом после перезапуска компа. Спишем на личную энергетику...

Chern
Удали прогу и при новом инсталле не ставь галку на *параноика*. Тоже прошёл через него. Блокирует без предупреждения.

thelamb
У меня при инсталле не спрашивал про режим. А как быть с тем, что даже при перезагрузке в режиме Обучения он все равно не работает как надо?
Нашел описание этой проблемы на официальном форуме. Совет, который дал представитель Comodo не помог. На сегодняшний день эта проблема не решена никак, ждем следующий билд.
Пришлось откатиться на 3-ю версию.

Согласно исследованиям matousec.com:
"Если антивирусное ПО использует SSDT хуки или иные подобные виды перехватов в режиме ядра - это ПО уязвимо атаке методом переключения аргументов.
...
Протестированы наиболее распространенные секьюрити-приложения и все они уязвимы. Иными словами популярные современные решения безопасности просто-напросто не работают."

If a product uses SSDT hooks or other kind of kernel mode hooks on similar level to implement security features it is vulnerable. In other words, 100 % of the tested products were found vulnerable
...
We tested the most widely used security applications and found out that all of them are vulnerable. Today's most popular security solutions simply do not work.
(с) matousec.com

Подробнее:
http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

"Небольшой" список (*** The only reason there are not more products in the following table is our time limitation. Otherwise, the list would be endless):

Product name and version / Result
3D EQSecure Professional Edition 4.2 /VULNERABLE
avast! Internet Security 5.0.462 /VULNERABLE
AVG Internet Security 9.0.791 /VULNERABLE
Avira Premium Security Suite 10.0.0.536 /VULNERABLE
BitDefender Total Security 2010 13.0.20.347 /VULNERABLE
Blink Professional 4.6.1 /VULNERABLE
CA Internet Security Suite Plus 2010 6.0.0.272 /VULNERABLE
Comodo Internet Security Free 4.0.138377.779 /VULNERABLE
DefenseWall Personal Firewall 3.00 /VULNERABLE
Dr.Web Security Space Pro 6.0.0.03100 /VULNERABLE
ESET Smart Security 4.2.35.3 /VULNERABLE
F-Secure Internet Security 2010 10.00 build 246 /VULNERABLE
G DATA TotalCare 2010 /VULNERABLE
Kaspersky Internet Security 2010 9.0.0.736 /VULNERABLE
KingSoft Personal Firewall 9 Plus 2009.05.07.70 /VULNERABLE
Malware Defender 2.6.0 /VULNERABLE
McAfee Total Protection 2010 10.0.580 /VULNERABLE
Norman Security Suite PRO 8.0 /VULNERABLE
Norton Internet Security 2010 17.5.0.127 /VULNERABLE
Online Armor Premium 4.0.0.35 /VULNERABLE
Online Solutions Security Suite 1.5.14905.0 /VULNERABLE
Outpost Security Suite Pro 6.7.3.3063.452.0726 /VULNERABLE
Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION /VULNERABLE
Panda Internet Security 2010 15.01.00 /VULNERABLE
PC Tools Firewall Plus 6.0.0.88 /VULNERABLE
Prevx 3.0.5.143 /VULNERABLE
PrivateFirewall 7.0.20.37 /VULNERABLE
Security Shield 2010 13.0.16.313 /VULNERABLE
Sophos Endpoint Security and Control 9.0.5 /VULNERABLE
ThreatFire 4.7.0.17 /VULNERABLE
Trend Micro Internet Security Pro 2010 17.50.1647.0000 /VULNERABLE
Vba32 Personal 3.12.12.4 /VULNERABLE
VIPRE Antivirus Premium 4.0.3272 /VULNERABLE
VirusBuster Internet Security Suite 3.2 /VULNERABLE
Webroot Internet Security Essentials 6.1.0.145 /VULNERABLE
ZoneAlarm Extreme Security 9.1.507.000 /VULNERABLE

ewild, про SSDT и matousec.

Долгое время (больше года) файрвол работал нормально и проблем не доставлял. Но последние несколько дней начались зависания с последущей перезагрузкой компьютера. Сначала это случалось 1 раз в день, а последние время - по несколько раз в день. Версия ОС - Windows XP SP3, версия файрвола - 3.10. После того, как стали возникать перезагрузки, деинсталировал файрвол и поставил версию - 3.14.130099.587. Ошибки соответственно продолжились. Настройки стоят по умолчанию, т.е. дополнительных правил не задавал, режим проактивной защиты - неактивен, антивирус, идущий в составе Comodo, не установлен, в качестве антивируса используется Nod32 3.0. На Comodo указывает дамп памяти Windows:
inspect.sys +c778
tspip.sys+365a
wanarp.sys+5404

Поиском в инете наталкивался на сообщения о подобных проблемах, в том числе на форуме техподдержки Comodo, но ответа на решение проблемы так и не нашел.
Может кто сталкивался с подобной ситуацией или знает, из-за чего возникает подобное, в какую сторону копать. Не хочется отказываться от этого файрвола, но и продолжатся так тоже не может.
Надеюсь на помощь!

imdbru, google по последнему файлу выдал интересные ссылки.
Там среди причин значатся говносборки виндоса, кривопропатченная винда (tcpip.sys), использование vpn.
Соответственно, советы: использовать родные образы мелкомягких для установки; проверить/исправить системные файлы с помощью sfc /scannow
Ещё может помочь отчёт GSI.

Без CIS проблемы точно не наблюдаются? А то может он вообще не при чём...

imdbru
Для начала неплохо бы отключить перезагрузку при сбое и посмотреть код ошибки (и, при наличии, - проблемный драйвер).
(tspip.sys - однозначно "левый")

imdbru
... а ещё в голову приходит патч драйвера вредоносом
Попробуйте-ка вот это.

gjf
Я смотрю, проблема TDSS и в эту ветку перебралась...

Говорят, что избрели какой-то неуловимый вирус, поражающий многоядерную процессорную систему.

Цитата:

imdbru, google по последнему файлу выдал интересные ссылки.
Там среди причин значатся говносборки виндоса, кривопропатченная винда (tcpip.sys), использование vpn.
Соответственно, советы: использовать родные образы мелкомягких для установки; проверить/исправить системные файлы с помощью sfc /scannow
Ещё может помочь отчёт GSI.
Без CIS проблемы точно не наблюдаются? А то может он вообще не при чём...

Спасибо, буду пробовать.

Цитата:

imdbru
Для начала неплохо бы отключить перезагрузку при сбое и посмотреть код ошибки (и, при наличии, - проблемный драйвер).
(tspip.sys - однозначно "левый")

tspip.sys - это я ошибся, когда набирал, там было - tcpip.sys. Так что тут все в порядке. А код ошибки - DRIVER_IRQL_NOT_LESS_OR_EQUAL, это видно и в дампе памяти.


Цитата:

imdbru
... а ещё в голову приходит патч драйвера вредоносом
Попробуйте-ка вот это.

Спасибо, попробую.

HarDDroN
Ну а чем чёрт не шутит? Впрочем, это может быть и не он, но проверить ведь не помешает.

для чего свчосту нужны исходящие тсп по 80 и 443 портам?

fixist

Цитата:

для чего свчосту нужны исходящие тсп по 80 и 443 портам?

Для обновления Windows.

Понятно. Значит я эти строки с исходящими тсп на 80 и 443 убрал, тк в ноде они открыты. Первая проблема, на которую я наткнулся при полном контроле трафффика нодом (если это проблема): не хочу я обновлять винду автоматом, отключил я Фоновая интеллектуальная служба передачи (BITS) и Автоматическое обновление, но исходящие, в том числе и для свчоста, получаются открытыми по 80 и 443... Не силен в этом деле, почитал в нете жалобы людей на свчост, от которого идут поставки крупными партиями информации по 80 порту на адреса нужные только вредоносникам, а я об этом и не узнаю даже, пока в реальном времени не увижу. Нельзя ли в данном случае запретить эти исходящие для свчоста? Или тут волноваться не стоит и или нод или комода увидят неладное, пока они непоколебимо стоят на страже моего компьютера ?

fixist
Вообще-то, для svchost достаточно разрешить ДНС-запросы и, если необходимо, запросы для обновления времени (исходящие UDP с 123 на 123 порты, в сервер времени). Все остальное можно запретить - в подавляющем большинстве случаев ему в сети больше делать нечего. Если же и локальной сети нет, то я бы ему вообще все запретил, кроме обновления времени.
PS Win XP

Так у меня так и сделано.

Цитата:

но исходящие, в том числе и для свчоста, получаются открытыми по 80 и 443... Не силен в этом деле, почитал в нете жалобы людей на свчост, от которого идут поставки крупными партиями информации по 80 порту на адреса нужные только вредоносникам, а я об этом и не узнаю даже, пока в реальном времени не увижу. Нельзя ли в данном случае запретить эти исходящие для свчоста?

Добавлено:
Исходящие тсп от свчоста проходят через нод, поэтому исходящие для свчоста по 80 и 443 портам открыты. Может в ноде отключить контроль трафика для свчоста и тогда для свчоста исходящие тсп будут блокироваться комодой, или так в ноде не делается.

Цитата:

Может в ноде отключить контроль трафика для свчоста и тогда для свчоста исходящие тсп будут блокироваться комодой, или так в ноде не делается.

fixist, делается. Можно настроить, чтобы WEB-монитор в NOD32 контролировал порты и/или конкретные программы, т.е. в т.ч. можно настроить, чтобы он контролировал только трафик конкретных программ.

Спасибо, пойду в ветку нода поинтересуюсь где к чему.

пс. Смотрю шапку поправили. Только не пойму почему там у лупбеков на исходящих вместе с тсп идут юдп. У меня только тсп идут, без юдп.

Вот интересный вопрос. Не стояло ничего кроме avast! посоветовали Comodo Firewall. Да стали блокироваться. Вопрос, но ведь раньше всё было нормально и без него? Поставил 7-ку, далее avast! далее Comodo, далее достали постоянные запросы, удалил Comodo, и ничего не изменилось, так нужен ли он?

Цитата:

Только не пойму почему там у лупбеков на исходящих вместе с тсп идут юдп. У меня только тсп идут, без юдп.

fixist, там общие правила прописаны. Заранее нельзя предугадать, какая программа какие порты и протоколы использует для loopback. А если взять браузер, то там различные дополнения к нему могут использовать различные порты. Так что поставите какое-нибудь дополнение, а правила для него не будет, и не заработает оно, а вы и не поймёте, что это не дополнение не работает, а вы ему запретили нужные соединения в фаерволе.
Если этот вопрос сильно беспокоит, тогда можно поставить в правилах по loopback'у "Спрашивать", а потом при запросах сначала попробовать заблокировать с запоминанием и если нарушится работоспособность, тогда изменить новое правило с "Блокировать" на "Разрешить".

---

---

Цитата:

Вот интересный вопрос. Не стояло ничего кроме avast! посоветовали Comodo Firewall. Да стали блокироваться. Вопрос, но ведь раньше всё было нормально и без него? Поставил 7-ку, далее avast! далее Comodo, далее достали постоянные запросы, удалил Comodo, и ничего не изменилось, так нужен ли он?

thelamb, честно говоря, я смысл вообще не уловил...
Кто стали блокироваться?
Что раньше было нормально?
Что не изменилось после удаления?
И к чему вопрос "так нужен ли он"? Единственное, что я понял, так это то, что этот вопрос основной. Или и этот пункт я тоже не понял?

WIGF

Цитата:

...честно говоря, я смысл вообще не уловил...

Да... это был слишком интересный вопрос...

PS fixist

Цитата:

Может в ноде отключить контроль трафика для свчоста и тогда для свчоста исходящие тсп будут блокироваться комодой, или так в ноде не делается.

Вообще-то, я тебе изначально советовал включить контроль трафика НОДом только для браузеров и почтового клиента... Для остального, имхо, контролировать трафик нет смысла т. к. данные все равно записываются на диск и их уже контролирует "файловый монитор" НОДа.