» Comodo Internet Security

cmdagent.exe грузит проц на 50%, причем в диспетчере задач этого почему то не видно, нашел в Мониторе ресурсов.

COMODO Internet Security
Bepcия пpoдуктa 8, 1, 0, 4426

Что где подправить?

Цитата:

cmdagent.exe грузит проц на 50%

проц двухядерный небось? У меня аналогично этот процесс грузит одно ядро на 100%. И в предыдущих версиях тоже. Погрузит-погрузит потом отпустит... потом через какое-то непродолжительное время все повторяется

Цитата:

Что где подправить?

только если мозг разработчикам - похоже больше вариантов нет

politeh
KiV66
Возможно, загрузка ЦП связана с периодической активностью mscorsvw.exe.
https://forums.comodo.com/firewall-help-cis-b135.0/-t103072.0.html

Я отключал mscorsvw.exe, переводил на старт "вручную".
После установки, например, Paint.NET, сервисы активизируются. Якобы, для оценки производительности. И потом висят включёнными.

есть у меня приложение HFS (HTTP File Server) и Comodo Internet Security Premium 8

проблема в том, что вне зависимости от создаваемых правил, Comodo не пропускаеи к HFS никакие подключения
единственный способ подключиться - это выставить обязательное предупреждение о входящих поключениях, в этом случае выскакивает попап и можно разрешить
но только стОит перевести фаервол в режим блокировки входящих соединений, то к HFS снова не достучаться

вопрос:
почему не работают правила, если в них для HFS разрешено всё?
не хочется мне для всех приложений разрешать отдельно входящие

скриншот, для наглядности

zBear
Это правильное поведение Comodo.

Разумнее всего было бы установить режим скрытия портов «Block Incommnig» и добавить глобальное правило, разрешающее входящие только на те порты, которые нужны HFS.

Если не хотите думать над выбором портов, можно пойти другим путем: установить режим «Alert Incomming», открыть «Правила для приложений» и добавить в самый низ списка правило для группы «Все приложения»:
- действие: Блокировать
- протокол: IP
- направление: Входящие
Но этот вариант имеет свои недостатки

emhanik

Цитата:

Это правильное поведение Comodo

возможно, не спорю, поэтому и спрашиваю


Цитата:

добавить глобальное правило, разрешающее входящие только на те порты, которые нужны HFS

я возможно чего-то недопонимаю, но HFS не может быть единственной программой, к которой происходят подключения
для других программ (даже в режиме «Block Incommnig») достаточно один раз разрешить соединение и вопросов больше не возникает

для HFS я точно знаю порт (т.к. он пробрасывается с роутера) и я создавал правило, где указан этот порт, но почему-то оно не работает в режиме «Block Incommnig», в этом и проблема

zBear 21:46 22-03-2015
Цитата:

(даже в режиме «Block Incommnig») достаточно один раз разрешить соединение

В этом режиме не должно быть никаких оповещений о входящих из интернета. Разве что из сети, которая отмечена доверенной (домашней или рабочей).


Цитата:

я создавал правило, где указан этот порт, но почему-то оно не работает

Возможно, глобальное правило, разрешающее входящие на нужный порт, задано все же некорректно или расположено ниже правила, запрещающего все входящие.

emhanik

Цитата:

Возможно, глобальное правило, разрешающее входящие на нужный порт, задано все же некорректно или расположено ниже правила, запрещающего все входящие.

zBear
На первый взгляд, должно бы работать... Что пишется в журнале фаервола, когда не работает HFS?
В запрещающих глобальных правилах отметьте опцию логирования.

emhanik
я понимаю, как это по-идиотски звучит, но после включения логов всё заработало

спасибо за содержательную беседу

Как мне удалить комодо фаер если я удалил все файлы из папки c:\ProgramData\Comodo\Installer\ ? А без них не удаляется

Поставь и удали. Чё?

Цитата:

Как мне удалить комодо фаер если я удалил все файлы из папки c:\ProgramData\Comodo\Installer\ ?  А без них не удаляется

https://forums.comodo.com/10551086108810911089108910821080-russian/----comodo-t71805.0.html
Вчера успешно грохнул "неудаляемый" Comodo.

emhanik
Покурил тему, удивился дырам, решил проверить работоспособность этой дыры:
https://forums.comodo.com/format-verified-issue-reports-cis/unknown-file-automatically-trusted-when-it-replaces-a-trusted-one-m1305-t107570.0.html;0;msg794192#msg794192
Настройки все по умолчанию, кроме auto-sanbox, там для вредоносов сменил тип запуска на "запускать виртуально" с уровнем ограничений "недоверенный" и добавлены ограничения запуска поддельных интерпретаторов.

example 2
CIS успешно отловил попытку запуска cmd > 314c.exe и последующую попытку запуска копии "вредоноса" с тем же именем.


example 3, к сожалению, успешно отработал

Режим HIPS - Чистый ПК
CIS 8.1.0.4426
База вирусов 21514
Windows 10 TP Build 10041

el_mentiroso 07:26 24-03-2015
Цитата:

Настройки все по умолчанию

Исходная конфигурация, надеюсь, Proactive Security?


Цитата:

CIS успешно отловил попытку запуска cmd > 314c.exe

Очень странный результат.
Возникают вопросы:
1) Есть ли в Win10 файл %windir%\System32\tcmsetup.exe?
2) Считает ли CIS этот файл доверенным (инсталлятором)?
3) Есть ли в Win10 файл %windir%\System32\wscript.exe?
4) Не заблокирован ли запуск этого файла, например, ошибкой в защите от поддельных интерпретаторов?


Цитата:

Режим HIPS - Чистый ПК

Это дыра: http://www.comss.ru/page.php?id=2336#clean-pc-vulnerability

emhanik
Я, простите за мат, совсем ничего не понимаю.
После ковыряния настроек и возвращения как было example 2 тоже начал нормально запускаться без предупреждений.
Как это было с предупреждениями:
При запуске первого 314c выходило окно: cmd.exe собирается запустить 314c.exe, разрешить?
при этом первый 314c.exe точно был tcmsetup.exe, а второй - точно был вашим приложением, специально проверял при каждом запросе со стороны CIS.
Поэтому я и удивился так, когда example 3 сработал.
Как можно экспортировать группы файлов?

В подтверждение того что меня не глючит:

2015-03-24 09:06:53     Оповещение Защиты+     <span>cmd.exe</span> пытается выполнить <span>314c.exe</span>.     <span>cmd.exe</span> - безопасное приложение. Однако исполняемый файл <span>314c.exe</span> не был опознан. Пожалуйста, отправьте его на рассмотрение в COMODO.

Comodo Internet Security Premium 5
ссылки на инстолер без лишнего
http://download.comodo.com/cis/download/installs/xml_binaries/cis/cis_setup_x86.msi
http://download.comodo.com/cis/download/installs/xml_binaries/cis/cis_setup_x64.msi

Цитата:

Comodo Internet Security Premium 5   ссылки ... без лишнего

Уточню: v5.12.256249.2599

All
На CIS 8.2 beta обнаружил еще одну "забавность". Наверное, многие помнят "особенность" Комода, начиная с 6-й версии: в момент загрузки системы, пока не загрузился GUI Комода, можно запустить любое неизвестное приложение, без ограничений. Так вот, в бете это приложение, вдобавок, может беспрепятственно выйти в сеть, не имея на это никаких полномочий. В 7-й версии, насколько помню, в процессе загрузки правила фаервола таки действовали.

XenoZ
Продолжу здесь беседу из лички, может кому-то будет интересно.

Была задумка, казалось бы простая:
При полном отсутствии реакции/алерта на изменение целостности файлов для которых имеются правила в хипс, с целью разумно уменьшить риски, пойти таким путём:
Прогнать на заведомо чистой системе, весь заведомо чистый софт и перейти на Безопасный/Параноидальный режим хипс'а.
Оказалось, всё не так просто ).
Взяв для теста последнюю бету (8 финал непригоден из-за потоков ADS), обнаружил неприятность:
В Режиме обучения + Не показывать оповещения - Блокировать запросы, после запуска подряд определённого количества исполняемых файлов - начались заметные фризы. Дальше, при наборе в таблице пары десятков правил, фризы стали невыносимы )), выполнил перезагрузку. И... обнаружив, что ВСЕ правила хипс исчезли - тесты с 8'ой бетой закончил ). Разбираться не стал, списав на глюкавость беты.

Поставил последний релиз версии 7. Тут картина такая же - при наборе правил, тормознутость увеличивается пропорционально. Закончил на том, что при автосоздании правила на EXE'шник с большим количеством запросов, запущенный подряд в серии файлов, комод перестал отвечать, а вместе с ним и система. После жёсткого ресета созданные правила, в очередной раз, все исчезли.

Стал разбираться, оказалось всё просто, комод хранит записи таблиц в реестре, в ключе HKLM\SYSTEM\ControlSet*\services\CmdAgent, плюс ещё ссылки. При сохранении любого правила, все записи заново перезаписываются. Экспортнул ключ, получилось ~10 Мб, однако...
Тактику "быстрого" набора пришлось пересмотреть )). Наполнить таблицу всё же получилось методом: Запустил файл -> выждал создание/запись в реестр -> следующий.
При чтении тормозов нет на первый взгляд, то есть по созданным правилам софт работает без видимых задержек. Хотя при запросах хипса в интерактиве, тупняк я так понял будет всё время.

И да, на борту, тестовой машины: i7 2600K + 16 Гб DDR3

Вопрос, кто то использует таблицу хипс с большим количеством записей? Этот гемор, с длительным ожиданием применения, после создания правила, нормальное дело или это исключительно проблема с моим набором железа (к примеру)?

XenoZ 20:25 24-03-2015
Цитата:

Так вот, в бете это приложение, вдобавок, может беспрепятственно выйти в сеть, не имея на это никаких полномочий

Как это выявляется? Мне не удалось.
Проверял CIS 8.2 beta в «Proactive Security» на Win7x64 (VMware).
Чтобы загрузка происходила без GUI, отключал 2 записи автозагрузки: «Comodo Autostart» в планировщике и «Comodo Internet Security» в реестре.
Доступ в сеть проверял AutoIt-скриптом наподобие InetGet('http://google.com', @ScriptDir & '\page.txt')

Результаты запуска без GUI:

Если в HIPS или в фаерволе есть запрещающее правило — оно работает и без GUI.
Например, должен работать такой способ защиты от шифровальщиков: http://www.comss.ru/page.php?id=2346#proact-data-safety

Если явного запрета нет — при безопасном режиме HIPS не контролирует рейтинг приложений. Т.е. разрешено все, что не запрещено, независимо от рейтинга.

А вот с фаерволом оказалось интереснее: при безопасном режиме он опирался на рейтинг даже в отсутствие GUI. Доверенные приложения получали доступ к интернету. Неопознанные приложения не получали доступ, но в его ожидании зависали где-то на минуту.
При наличии запрещающего правила доступ блокировался без пауз.

При пользовательском режиме фаервола доверенные приложения также зависали и не получали доступа.

emhanik

Цитата:

Как это выявляется? Мне не удалось.

Как ни странно, но сегодня мне тоже не удалось воспроизвести то, что срабатывало пару дней назад. Так что, пока этот вопрос снимается. Возможно, это были временные глюки виртуалки, или определенным образом совпадали тайминги... Сейчас сказать сложно.
[more=А выглядело это так...]При запуске ОС, до появления Комода в трее, запускался тестовый файл, к-рый должен был скачать из сети и запустить файл-пустышку. Файл выдавал ошибку загрузки (т.е., вроде бы фаервол доступ заблокировал), но, спустя несколько секунд, файл, к-рый должен был быть скачан, успешно запускался.[/more]

XenoZ
CIS 8,2 наконец научился блокировать неопознанные приложения из автозапуска. Так что его пилили в этом направлении.

Dementei

Цитата:

CIS 8,2 наконец научился блокировать неопознанные приложения из автозапуска. Так что его пилили в этом направлении.

Ничему он не научился, тут речь шла о возможности выхода в сеть уже запущенной программы.
Если есть регистрация на оффоруме, почитай:
Any Unknown App Can Run Until CIS GUI Is Loaded [M1461]

Цитата:

проц двухядерный небось?

Собственно да).
Цитата:

только если мозг разработчикам

где мои кистень, бита и кастет)

За что вообще конкретно этот проц cmdagent.exe отвечает? При запущенном комодо сношу его, все продолжает работать, если отрубить автозагрузку при запуске винды сомодо не запускается.


Цитата:

Возможно, загрузка ЦП связана с периодической активностью mscorsvw.exe.
https://forums.comodo.com/firewall-help-cis-b135.0/-t103072.0.html

Не пробовал, гляну, может у меня прокатит.

politeh

Цитата:

За что вообще конкретно этот проц cmdagent.exe отвечает?

По информации с оффорума: cmdagent.exe: Core security service which orchestrates alerts, scans etc.

XenoZ
Конечно не все, то не что стартуют от explorer.exe у меня блочатся.
Раньше запускались без проблем.

Ребята, случилась ерунда с порядком старта приложений. Раньше, когда при старте Винды отображался рабочий стол, то Comodo Firewall и Avira уже были в трее, потом начинало появляться всё остальное. Я переустановил Avira (нужно было), в результате Avira стартует одной из последних, а Comodo последним. Это видно в менеджере задач, да и в трее иконки появляются от всех приложений, а только потом от Avira и Comodo. По значку в трее видно, что даже сеть стартует раньше, чем Comodo.
Как можно это поправить, подскажите пожалуйста?
Win7 64-bit, Comodo Firewall 8.0.1.4426.