Цитата:
Включить - значить включить полностью, и на блокировки и на разрешения
в настройках журналирования есть только один флажок, и он включен
» Comodo Internet Security
Цитата:
в настройках журналирования есть только один флажок, и он включен
rrr777
Цитата:
Цитата:
Gourmet
Цитата:
В правилах фаервола есть такое: «COMODO Internet Security» — «только исходящие»?
Чтобы включить журналирование, измените это правило. Например, так:
1) использовать собственный набор правил;
2) копировать из: «только исходящие»;
3) в каждом отдельном пункте правил включите журналирование
Цитата:
набралось, да еще и с масками (*?)Особенно если это правила на разрешение запуска, то, пожалуй, да, есть риск
Цитата:
Спасибо...Пожалуйста
Gourmet
Цитата:
в настройках журналирования есть только один флажок, и он включенЧтобы удостовериться, что все мы говорим об одном...
В правилах фаервола есть такое: «COMODO Internet Security» — «только исходящие»?
Чтобы включить журналирование, измените это правило. Например, так:
1) использовать собственный набор правил;
2) копировать из: «только исходящие»;
3) в каждом отдельном пункте правил включите журналирование
Цитата:
Чтобы удостовериться, что все мы говорим об одном...
В правилах фаервола есть такое: «COMODO Internet Security» — «только исходящие»?
Чтобы включить журналирование, измените это правило. Например, так:
1) использовать собственный набор правил;
2) копировать из: «только исходящие»;
3) в каждом отдельном пункте правил включите журналирование
установил эти флажки, нажал Обновить, всё прошло также, никаких обновлений, смотрю в журнал фаервола - там пусто
кстати, установил COMODO KillSwitch, в списке сетевых соединений видно, что cmdagent.exe открыл два соединения c downloads.comodo.com и download.comodo.com, но трафик там нулевой
Gourmet
Цитата:
Цитата:
cmdagent.exe открыл два соединения c downloads.comodo.com и download.comodo.comИнтересно, если в KillSwitch снять галку «настройка» > «разрешить сетевые адреса», какие IP на их месте будут...
Цитата:
Интересно, если в KillSwitch снять галку «настройка» > «разрешить сетевые адреса», какие IP на их месте будут...
downloads.comodo.com 178.255.82.1 netname: COMODOGROUP country: GB
download.comodo.com 91.199.212.171 netname: COMODO country: GB
и чего?
Цитата:
и чего?Известно чего: исключаем блокировку обновления каким-нибудь зловредом...
IP правильные
Но тем более странно, что в журнале пусто
кстати, насчет зловредов - в списке процессов KillSwitch, открывших соединения, появляется один безымянный, который открывает соединения, которые были закрыты другими процессами, но он есть не всё время, и трафик у него 0-й
например, достаточно закрыть страницу forum.ru-board.com, чтобы у этого "приложения" появились открытые соединения с forum.ru-board.com:80 и пометкой Time Wait
причем у этого "приложения" неактивны пункты меню "перейти к процессу" и "закрыть"
это нормально?
например, достаточно закрыть страницу forum.ru-board.com, чтобы у этого "приложения" появились открытые соединения с forum.ru-board.com:80 и пометкой Time Wait
причем у этого "приложения" неактивны пункты меню "перейти к процессу" и "закрыть"
это нормально?
Gourmet
Цитата:
Цитата:
это нормально?Да, судя по всему, это список соединений, закрытых различными приложениями и находящихся пока в состоянии time-wait
Gourmet
Цитата:
Netstat
Вопрос: cmdupd.exe в процессах висит постоянно или только на момент обновления?
Цитата:
например, достаточно закрыть страницу forum.ru-board.com, чтобы у этого "приложения" появились открытые соединения с forum.ru-board.com:80 и пометкой Time Wait
Netstat
Вопрос: cmdupd.exe в процессах висит постоянно или только на момент обновления?
emhanik
с Вашего блога
Цитата:
не пойму где это в 5-ке найти?
с Вашего блога
Цитата:
2) открываем «Защита+ > Поведенческий анализ», ставим галку «Не блокировать файлы из этого списка», в список исключений добавляем группу
не пойму где это в 5-ке найти?
rrr777
Насколько помню, в 5-ке нет исключений для автопесочницы
Однако те слова относятся только к автопесочнице в режиме полной блокировки, а при аналогичной защите хипсом пункт 2) другой
Кстати, возвращаясь к обсуждению хипса в безопасном режиме... Вам, если хотите его попробовать, логичнее всего было бы сделать бэкап текущей конфигурации «параноидального режима», затем поудалять все правила, кроме дефолтных, и переключиться в безопасный: слишком большая разница меджу этими режимами, чтобы пользоваться одинаковыми правилами
Насколько помню, в 5-ке нет исключений для автопесочницы
Однако те слова относятся только к автопесочнице в режиме полной блокировки, а при аналогичной защите хипсом пункт 2) другой
Кстати, возвращаясь к обсуждению хипса в безопасном режиме... Вам, если хотите его попробовать, логичнее всего было бы сделать бэкап текущей конфигурации «параноидального режима», затем поудалять все правила, кроме дефолтных, и переключиться в безопасный: слишком большая разница меджу этими режимами, чтобы пользоваться одинаковыми правилами
emhanik
да это я понял, бэккап есть, может попробую
да это я понял, бэккап есть, может попробую
Цитата:
Вопрос: cmdupd.exe в процессах висит постоянно или только на момент обновления?
cmdupd.exe постоянно висит в процессах, но в сетевых соединениях его не видно
Gourmet
Цитата:
А не должен. Систему перезагружать пробовал?
Цитата:
cmdupd.exe постоянно висит в процессах
А не должен. Систему перезагружать пробовал?
XenoZ
Цитата:
Иногда может, но только тогда, например, когда в ожидании обновить базы, время очередного обновления прошло, а он там висит, и даже необязательно потому что в настройках по обновлению какой нибудь "do not check" отмечен, иногда один зациклившийся скрипт в браузере может послужить причиной, но, даже перегрузив браузер, уж даже не говоря о самой системе, всё должно вернуться в норму.
(Такое довольно часто приходится наблюдать на системах постарше и помедленнее - там приходится выключить браузер, подождать и, только обновив вручную, опять запустить... 
)
Цитата:
А не должен. Систему перезагружать пробовал?
Иногда может, но только тогда, например, когда в ожидании обновить базы, время очередного обновления прошло, а он там висит, и даже необязательно потому что в настройках по обновлению какой нибудь "do not check" отмечен, иногда один зациклившийся скрипт в браузере может послужить причиной, но, даже перегрузив браузер, уж даже не говоря о самой системе, всё должно вернуться в норму.
(Такое довольно часто приходится наблюдать на системах постарше и помедленнее - там приходится выключить браузер, подождать и, только обновив вручную, опять запустить... )Цитата:
А не должен. Систему перезагружать пробовал?
Попробовал вчера - cmdupd в памяти не появился. Но сегодня Комод снова пожелтел. Нажал Исправить - и пошла та же фигня. И с попыткой Обновить всё тоже самое, что было до перезагрузки. И процесс cmdupd снова в памяти висит...
как в Comodo Internet Security Premium отключить рекламу?
Снять галки, подчеркнуто красным
Установил на 8ку комодо фаервол 6.3.302093.2976
Не пойму, что нужно включить, чтобы при запросе "что делать" я мог бы запретить доступ на конкретно этот айпи адрес? А то получается, если я запрещаю лезть туда то, то запрет идет сразу и на всё!
В старых версиях так работало, я мог поайпи поочереди блокировать или разрешать, если программа лезет по разным айпи.
Добавлено:
Всё, спасибо, нашел сам
Не пойму, что нужно включить, чтобы при запросе "что делать" я мог бы запретить доступ на конкретно этот айпи адрес? А то получается, если я запрещаю лезть туда то, то запрет идет сразу и на всё!
В старых версиях так работало, я мог поайпи поочереди блокировать или разрешать, если программа лезет по разным айпи.
Добавлено:
Всё, спасибо, нашел сам
CIS ver.7.0.313494.4115 во время установки пристал, как водится, к совершенно безобидной проге. Как я ни старался, 2 файла из установочной сборки застряли в списке "Неопознанные файлы", да так основательно, что ничем их оттуда не вышибить.
"Удалить", "обновить", "переместить" - вроде все работает, но стоит только обновить главное окно CIS, как они снова тут как тут.
Может, кто что посоветует, а?
Да, файлов этих самих давно и в помине нет, сразу после установки были удалены. Тем не менее CIS все о них забыть никак не может
"Удалить", "обновить", "переместить" - вроде все работает, но стоит только обновить главное окно CIS, как они снова тут как тут.
Может, кто что посоветует, а?
Да, файлов этих самих давно и в помине нет, сразу после установки были удалены. Тем не менее CIS все о них забыть никак не может
Цитата:
CIS ver.7.0.313494.4115 во время установки пристал, как водится, к совершенно безобидной проге. Как я ни старался, 2 файла из установочной сборки застряли в списке "Неопознанные файлы", да так основательно, что ничем их оттуда не вышибить.
Это баг Комодо 6-ой и 7-ой версии.
All
Внезапно обнаружил, что 5-ка и 6-ка не защищают от выполнения кода посредством rundll32.exe... Хорошая новость: 7-ка защищает
Дайте, пожалуйста, знать, если я ошибаюсь в чем-нибудь:
- в CIS ниже 7 защититься от ярлыка типа «C:\Windows\system32\rundll32.exe surprise» вообще невозможно: ни автопесочницей, ни хипсом, ни в каком режиме
- в CIS7 можно, лишь бы анализ командной строки был включен
Какие еще уязвимости знаете?
Внезапно обнаружил, что 5-ка и 6-ка не защищают от выполнения кода посредством rundll32.exe... Хорошая новость: 7-ка защищает
Дайте, пожалуйста, знать, если я ошибаюсь в чем-нибудь:
- в CIS ниже 7 защититься от ярлыка типа «C:\Windows\system32\rundll32.exe surprise» вообще невозможно: ни автопесочницей, ни хипсом, ни в каком режиме
- в CIS7 можно, лишь бы анализ командной строки был включен
Какие еще уязвимости знаете?
emhanik
может пригодится для вашего блога такая информация
может пригодится для вашего блога такая информация
emhanik
Цитата:
Запустил первый попавшийся: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl
из командной строки ТС, алерты последовательно:
TOTALCMD64.EXE Создание процесса C:\Windows\System32\rundll32.exe
TOTALCMD64.EXE Создание процесса C:\Windows\System32\timedate.cpl
5.12.256249.2599
Цитата:
в CIS ниже 7 защититься от ярлыка типа «C:\Windows\system32\rundll32.exe surprise» вообще невозможно: ни автопесочницей, ни хипсом, ни в каком режиме
Запустил первый попавшийся: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl
из командной строки ТС, алерты последовательно:
TOTALCMD64.EXE Создание процесса C:\Windows\System32\rundll32.exe
TOTALCMD64.EXE Создание процесса C:\Windows\System32\timedate.cpl
5.12.256249.2599
xp007
Спасибо, буду иметь в виду. Еще не дошли руки с URL-фильтром как следует разобраться...
Пока даже не понял, имеет ли он свои, комодовские, обновляемые списки
Skif_off
Конкретно в моем случае ярлык такой:
Код: %hoMEdrive%\WINDOWS\System32\rundll32.exe ~~PNHZOLDBSWCU.ini, lnk
Спасибо, буду иметь в виду. Еще не дошли руки с URL-фильтром как следует разобраться...
Пока даже не понял, имеет ли он свои, комодовские, обновляемые списки
Skif_off
Конкретно в моем случае ярлык такой:
Код: %hoMEdrive%\WINDOWS\System32\rundll32.exe ~~PNHZOLDBSWCU.ini, lnk
emhanik
Опишите поподробнее, пожалуйста, где и какие файлы должны быть, чтобы смоделировать ситуацию.
Опишите поподробнее, пожалуйста, где и какие файлы должны быть, чтобы смоделировать ситуацию.
Skif_off
Ярлык, имитирующий диск, и рядом файл типа «~~PNHZOLDBSWCU.ini»
Конкретно этот вирус создает на на флешке такую структуру (имя каталога внизу — неразрывный пробел)
Код: Disk (4GB).lnk 1,522
desktop.ini 2,761
Thumbs.db 192,512
~~PNHZOLDBSWCU.ini 35,266,656
\
desktop.ini 126
Ярлык, имитирующий диск, и рядом файл типа «~~PNHZOLDBSWCU.ini»
Конкретно этот вирус создает на на флешке такую структуру (имя каталога внизу — неразрывный пробел)
Код: Disk (4GB).lnk 1,522
desktop.ini 2,761
Thumbs.db 192,512
~~PNHZOLDBSWCU.ini 35,266,656
\
desktop.ini 126
emhanik
[more=Вот лог (что дальше - не смотрел):]
Код: 17:59:11 C:\Windows\System32\rundll32.exe Создание процесса C:\Windows\System32\rundll32.exe
17:59:12 C:\Windows\System32\rundll32.exe Создание процесса C:\Windows\System32\rundll32.exe
17:59:14 C:\Windows\System32\rundll32.exe Создание процесса C:\Windows\SysWOW64\rundll32.exe
17:59:16 C:\Windows\System32\rundll32.exe Изменение файла \Device\KsecDD
17:59:19 C:\Windows\System32\rundll32.exe Доступ к COM интерфейсу {9BA05972-F6A8-11CF-A442-00A0C90A8F39}
17:59:20 C:\Windows\System32\rundll32.exe Доступ к COM интерфейсу C:\Windows\explorer.exe
17:59:21 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
17:59:23 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
17:59:23 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
17:59:24 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
17:59:25 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
17:59:25 C:\Windows\System32\rundll32.exe Доступ к DNS/RPC
17:59:31 C:\Windows\System32\rundll32.exe Создание процесса C:\ATI\Catalyst.exe
17:59:58 C:\ATI\Catalyst.exe Создание процесса C:\ATI\Catalyst.exe
18:00:30 C:\ATI\Catalyst.exe Изменение файла \Device\KsecDD
18:00:31 C:\ATI\Catalyst.exe Создание процесса C:\Temp\guixjylambodpergshujvkymznbpcqes.com
18:00:38 C:\Temp\guixjylambodpergshujvkymznbpcqes.com Создание процесса C:\Temp\guixjylambodpergshujvkymznbpcqes.com
18:00:39 C:\Temp\guixjylambodpergshujvkymznbpcqes.com Создание процесса C:\Windows\syswow64\msiexec.exe
[more=Вот лог (что дальше - не смотрел):]
Код: 17:59:11 C:\Windows\System32\rundll32.exe Создание процесса C:\Windows\System32\rundll32.exe
17:59:12 C:\Windows\System32\rundll32.exe Создание процесса C:\Windows\System32\rundll32.exe
17:59:14 C:\Windows\System32\rundll32.exe Создание процесса C:\Windows\SysWOW64\rundll32.exe
17:59:16 C:\Windows\System32\rundll32.exe Изменение файла \Device\KsecDD
17:59:19 C:\Windows\System32\rundll32.exe Доступ к COM интерфейсу {9BA05972-F6A8-11CF-A442-00A0C90A8F39}
17:59:20 C:\Windows\System32\rundll32.exe Доступ к COM интерфейсу C:\Windows\explorer.exe
17:59:21 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
17:59:23 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
17:59:23 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
17:59:24 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride
17:59:25 C:\Windows\System32\rundll32.exe Изменение ключа реестра HKUS\S-1-5-21-xxx-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings
17:59:25 C:\Windows\System32\rundll32.exe Доступ к DNS/RPC
17:59:31 C:\Windows\System32\rundll32.exe Создание процесса C:\ATI\Catalyst.exe
17:59:58 C:\ATI\Catalyst.exe Создание процесса C:\ATI\Catalyst.exe
18:00:30 C:\ATI\Catalyst.exe Изменение файла \Device\KsecDD
18:00:31 C:\ATI\Catalyst.exe Создание процесса C:\Temp\guixjylambodpergshujvkymznbpcqes.com
18:00:38 C:\Temp\guixjylambodpergshujvkymznbpcqes.com Создание процесса C:\Temp\guixjylambodpergshujvkymznbpcqes.com
18:00:39 C:\Temp\guixjylambodpergshujvkymznbpcqes.com Создание процесса C:\Windows\syswow64\msiexec.exe
Skif_off
Спасибо за ответ
Насчет того, что до создания файла Catalyst.exe ничего опасного не происходило, у меня есть сомнения: взять хоть параметры прокси...
Но суть даже не в том, что делал этот конкретный зловред, а в принципиальной возможности выполнить от имени rundll32 что угодно
Квалифицированный пользователь, конечно, не будет в здравом уме запускать ярлыки вместо открытия каталогов. Возможно, ему хватит той защиты, что есть в 5-ке
Речь о том, что юзеров попроще (которым вообще алерты показывать нельзя) защитить не удастся никакой настройкой
Впрочем, если у меня юзеры сидят под ограниченной учетной записью, да еще хипсом молча блокируется изменение защищенных областей пользовательского раздела реестра, некоторых файлов и т.п., то кое-какая защита сохраняется... Но все равно нагадить можно
Спасибо за ответ
Насчет того, что до создания файла Catalyst.exe ничего опасного не происходило, у меня есть сомнения: взять хоть параметры прокси...
Но суть даже не в том, что делал этот конкретный зловред, а в принципиальной возможности выполнить от имени rundll32 что угодно
Квалифицированный пользователь, конечно, не будет в здравом уме запускать ярлыки вместо открытия каталогов. Возможно, ему хватит той защиты, что есть в 5-ке
Речь о том, что юзеров попроще (которым вообще алерты показывать нельзя) защитить не удастся никакой настройкой
Впрочем, если у меня юзеры сидят под ограниченной учетной записью, да еще хипсом молча блокируется изменение защищенных областей пользовательского раздела реестра, некоторых файлов и т.п., то кое-какая защита сохраняется... Но все равно нагадить можно
Gourmet
За то время, что мы едим друг другу мозг, уже можно было Комод переустановить и настроить не один раз... Что и предлагаю сделать, ибо: слишком мало входящей информации.
emhanik
Цитата:
Цитата:
За то время, что мы едим друг другу мозг, уже можно было Комод переустановить и настроить не один раз... Что и предлагаю сделать, ибо: слишком мало входящей информации.
emhanik
Цитата:
Внезапно обнаружил, что 5-ка и 6-ка не защищают от выполнения кода посредством rundll32.exe
Цитата:
В какой-то момент зараза создает exe-файл и пытается запустить. Он уже блокируется без проблемТаки не совсем понятна суть проблемы: при запуске неизвестного файла должен быть либо алерт, либо блокировка, в зависимости от настроек. Одно но: rundll32.exe должно быть указано как доверенное (разрешенное) максимум.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458
Предыдущая тема: Victoria | Виктория | HDD Diagnostic (часть 2)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.