» Comodo Internet Security

Skif_off, у меня инфо от клиентов: парочку компов принесли, поправил (в том числе и HIPS включил), остальных жду. Лично у себя чёт похожее наблюдал месяцем раньше, когда поверх платной на ноуте по окончании триала ставил "Premium" - HIPS сразу стал "off", да и почти всё остальное пришлось наставлять снова ...но это др. история.

Skif_off

HIPS не панацея. Если бы всё было так просто, тогда антивирусов бы не было.

SAI666

Цитата:

HIPS не панацея.

У себя в параметрах вижу Защищенные ключи реестра - Автоматический запуск, Ключи реестра Internet Explorer и Важные ключи реестра , попытка прописаться в автозапуск, воткнуть свою службу/драйвер или стартовую страницу - это уже сигнал, без всяких сигнатур и баз насторожит, не так ли? И это еще без хуков, межпроцессного доступа к памяти и отсутствия цифровой подписи. + Comodo анализирует в облаке.
Не люблю антивирусники, да (но ни в коей мере не агитирую за отказ от них), но при правильном подходе правильный HIPS достойно прикроет задн систему и данные.
Если бы все было так просто, наш далекий предок просто не стал бы есть яблоко

Конечно, SAI666, в первую очередь - фаер (или даже фаеры), лишь потом остальные... Но ток посади лузера вместо юзера, и...

Цитата:

когда поверх платной на ноуте по окончании триала ставил "Premium" - HIPS сразу стал "off",

6-ка ставится по умолчанию с отключенным ХИПС.

Цитата:

первую очередь - фаер

Фаер там выполняет второстепенную роль. Первая скрипка у Комода - ХИПС. Прикрыто почти всё, остальное зависит от настроек и как среагирует пользователь. Если настройки по умолчанию, то это не максимальный уровень защиты.

KismetT, ХИПС - то уже по умолчанию!.. Другое - чтобы дыры латать. А если оставить
"настройки по умолчанию" - потом пыль глотать.

Skif_off

Надо очень большие знания иметь, чтобы пользоваться инструментами правильно. Ведь куча безобидных программ заставляет HIPS орать и задавать вопросы. Поэтому, после пары подобных срабатываний, многие юзеры уже не глядя нажимают Allow.

Цитата:

6-ка ставится по умолчанию с отключенным ХИПС.

Значит остаётся возможность, что после последнего update HIPS слетал именно потому.

Цитата:

после пары подобных срабатываний, многие юзеры уже не глядя нажимают Allow.

Поэтому лучше ставить CIS без алертов, что бы известные вирусы сразу гнал в карантин, а неизвестные приложения просто не запускал. Как мне видится, в корпоративном секторе это оптимальный выбор. И пользователя не озадачивать выбором какую кнопку нажать.

KismetT, полностью согласен. Только пусть сразу готовится, что объявятся "стучать" все те юзера, от которых раньше все проблемы начинались. - Это решение иногда называют административным, потому будьте осторожны и готовы к соответствующим последствиям.

Цитата:

Что-то пробилось через HIPS?

Скорее - что-то нагадило в песочнице, либо - человеческий фактор (юзер что-то жмакнул, не вникая).

Цитата:

6-ка ставится по умолчанию с отключенным ХИПС.

Немного уточню: 6-ка ставится по умолчанию с активным профилем "Internet Security", в к-ром HIPS отключен.
У меня 6-ка стоит на виртуалке, после установки сразу выбираю профиль "Proactive Security" и, соответственно, никаких проблем при последнем обновлении не замечено.

Цитата:

Поэтому лучше ставить CIS без алертов, что бы известные вирусы сразу гнал в карантин, а неизвестные приложения просто не запускал. Как мне видится, в корпоративном секторе это оптимальный выбор. И пользователя не озадачивать выбором какую кнопку нажать.

Так за то и речь веду уже на 2-х форумах. Главное - таки не забывать песочницу отключать, во избежание...



Добавлено:
Stritch
Цитата:

malwarebytes нашол 6 файлов и прописи в реестре на зараженных компьютерах. Троян провел все требуемые операции для своего функционирования. Файлы одни и те же на зараженных компьютерах,ветки реестра одинаковы.

И да, любопытно было бы узнать, куда именно прописались файлы и какие ветви реестра модифицированы?

Цитата:

либо - человеческий фактор (юзер что-то жмакнул, не вникая).

Вряд ли. 500 машин заражено, скорее настройки либо новая зараза с правильным сертификатом.

Цитата:

Вряд ли. 500 машин заражено, скорее настройки либо новая зараза с правильным сертификатом.

Тогда присоединюсь к XenoZ:


Цитата:

И да, любопытно было бы узнать, куда именно прописались файлы и какие ветви реестра модифицированы?

на filehippo.com старых версий нет,качается последняя.Где старые скачать?

Prishepkina
Да все там есть...

Добавлено:
KismetT
Цитата:

новая зараза с правильным сертификатом

Если ты о чем-то, вроде этого, то не все так плохо. Для Комода просто валидного сертификата мало, надо еще, чтобы владелец сертификата присутствовал в базе доверенных поставщиков (кстати, LLC Mail.ru в этой базе нет).

Prishepkina

Цитата:

на filehippo.com старых версий нет

Для не внимательных - пояснение к ссылке в шапке:
Уверен, еще кому-нибудь понадобится...

SAI666 17:18 15-07-2013
moderator
Цитата:

Ведь куча безобидных программ заставляет HIPS орать и задавать вопросы.

Ага, особенно сертификаты при обновлении программ. Даже любой браузер обновляешь, потом пару минут сидишь и пальцем по кнопке мыша стучишь...

Ronin666
Ну, раз выбрал "Параноидальный режим", - не удивляйся и не жалуйся!

Ну да, ещё "со времён "ZoneA" привыкли, а счас даже "из тучи" при таком режиме "дождя не дождаться".
Извините за -->

Цитата:

Если ты о чем-то, вроде этого, то не все так плохо.
надо еще, чтобы владелец сертификата присутствовал в базе доверенных поставщиков

Тут как то недавно пробегала зараза с валидным Адобовским сертификатом. На тот момент, когда она попала ко мне на испытания, она уже детектировалась Комодом как зловред, но если бы она попалась раньше, мне кажется, что Комод с его доверием к ЦП от доверенных поставщиков был бы в пролёте.
Хорошо, что такие зловреды довольно редки.

Цитата:

Хорошо, что такие зловреды довольно редки.

Это проблема, а с появлением HTTP 2.0 с этим бед ещё прибавится...

Цитата:

а с появлением HTTP 2.0 с этим бед ещё прибавится

А это здесь каким боком?

Кому удалось локально/по локальной сети обновить CIS 6.2 офф-лайновым bases.cav, прошу написать пример пути к этому файлу, который надо прописать в настройках.
Подчеркиваю, не через пункт "О программе". Хочу настроить автоматическое обновление с сетевой шары для многих компов

laprad
bases.cav предназначен для ручного обновления, варианты расписаны тут.
Для автоматического обновления можно попробовать Comodo Offline Updater или вариации/модификации этого способа.

Добавлено:
Пути, актуальные для 6.2 (т.е. куда лезет Комод 6.2 при обновлении):

1. http://download.comodo.com/av/updates58/versioninfo.ini
загрузка данных о текущей версии антивирусной базы
2. http://download.comodo.com/cis/download/updates/release/inis_2001/cis_update_x32.xml.7z
загрузка данных об обновлении продукта
3. http://download.comodo.com/cis/download/updates/release/inis_2001/cis_update_x32.xml
то же, что и п 2., но в распакованном виде
4. http://download.comodo.com/cis/download/installs/cmc3/forest.xml
5. http://download.comodo.com/cis/download/installs/cmc3/trees/CisCompleteToPro.xml
пп 4,5 относятся к центру сообщений Комода.

XenoZ

Цитата:

bases.cav предназначен для ручного обновления

один чел в каментах к какой-то статье написал про то, что у него на 5 версии удалось обновиться , прописав в настройках путь наподобие file:///c:/bases.cav с 6.2 у меня этот фокус не прошел, вот я и подумал, может появился какой-то нюанс

Ребята, кто сталкивался с такой проблемой в CIS 6! Не заводиться антивирус из контекстного меню тотала. Из под проводника, нет проблем.

garik1710
CIS 6.2, TC 8.01. Заводится. ОС - WinXP SP3 на VirtualBox.

All
В 6.2, кстати, починили баг с кириллицей, когда на русских ОС не работало перетаскивание файла в окно проверки.

Добрый день всем.
Сейчас идет процесс востановления, поэтому времени много уделить не могу.

По поводу зараженных файлов : файлы из mailwarebytes
C:\Users\Olga\AppData\Roaming\Microsoft\Network\Explorer\miner.dll (PUP.BitCoinMiner) ->
C:\Users\Olga\AppData\Roaming\Microsoft\Network\Explorer\usft_ext.dll (PUP.BitCoinMiner) ->
C:\Users\Olga\AppData\Roaming\Microsoft\Network\Explorer\coinutil.dll (PUP.BitcoinMiner) ->

здесь названия файлов , ну и пути где они были.
Прошило по сети.
В дальнейшей оценке ситуации выяснилось что прошило и KAV 10 (корпоративный) на нескольких машинах,и пострадал один сервер с SEP.

XenoZ

Цитата:

В 6.2, кстати, починили баг с кириллицей, когда на русских ОС не работало перетаскивание файла в окно проверки.

Не до конца. Например файл F:\!My_files WD\Игры\Власть закона - полицейские истории\Патч в1.58.exe
не проверяет, а F:\!My_files WD\Игры\Власть закона - полицейские истории\Patch v1.58.exe без проблем...

Цитата:

CIS 6.2, TC 8.01. Заводится. ОС - WinXP SP3 на VirtualBox.

CIS 6.2 - TC 8.01, TC 7.57 Глухо! ОС - Win 7 32. Помниться ставил восьмерку, тоже было.