» Comodo Internet Security

В связи с модой на антишпионство решил пресечь бесконтрольное блуждание svchost.exe , ограничив только DNS и серверами обновления:

Но не происходит процесс обновления Win7 по адресам в виде хостов...
Как обойти?

vitsat 18:43 03-09-2015
Цитата:

Но не происходит процесс обновления по адресам в виде хостов...

Во-первых, если не ошибаюсь, фаервол не поддерживает шаблоны (*, ?) именах хостов (поддерживает контент-фильтр)
Во-вторых, фаервол некорректно работает с именами хостов: он определяет минимальный и максимальный IP для имени и все промежуточные относит к нему же.


Цитата:

Как обойти?

Предложу идею вообще запретить системе скачивать обновления, а обновляться программой WSUS Offline Update
Сам когда-то пробовал — но замучился и бросил. Так что успех не гарантирую)

vitsat
Цитата:

и серверами обновления:

Разрешить svchost.exe только на 80, 443 не подходит?
emhanik
Как-то вы слишком радикально..., помягче нужно.

shadow_member 19:58 03-09-2015
Цитата:

Разрешить svchost.exe только на 80, 443 не подходит?

Хм, а как это запретит отправку данных майкрософту?

Цитата:

Как-то вы слишком радикально..., помягче нужно.

Сам так сейчас не делаю, лишь идею подал.
Но имхо, если уж задаваться целью пресечь сбор данных, — WSUS Offline Update надежнее всего.

Почему CF.5.12 не узнает установщики , и блокирует их песком , установлено на заблокированное , MBAM не может обновится , при такой настройки и AIMP.

4r22qws 14:01 04-09-2015
Цитата:

Почему CF.5.12 не узнает установщики

Наверно, база доверенных поставщиков устарела. (Или корневых сертификатов)


Цитата:

блокирует их песком , установлено на заблокированное

У вас что-то вроде такого? — Поздравляю, вы напоролись на ту самую проблему, о которой вчера шла ожесточенная беседа.
Варианты решения:
1) руками добавлять установщики в доверенные;
2) включить облачную проверку (как на скрине) — если повезет, через несколько секунд CIS сам признает установщики доверенными;
3) временно перевести «Контроль исполнения приложений» в любой другой режим, кроме «Заблокированного», отключить Sandbox и разрешить показ оповещений HIPS;
4) пользоваться актуальной версией CIS.

Цитата:

2) включить облачную проверку (как на скрине) — если повезет, через несколько секунд CIS сам признает установщики доверенными;
3) временно перевести «Контроль исполнения приложений» в любой другой режим, кроме «Заблокированного», и отключить Sandbox;
4) пользоваться актуальной версией CIS.

Это мне не подходит , я нашел решение для себя , просто отключаю HIPS , потом обновляю и включаю обратно .

Цитата:

...я нашел решение для себя , просто отключаю HIPS , потом обновляю и включаю обратно .

Это тоже, как вариант, но все же лучше:

Цитата:

временно перевести «Контроль исполнения приложений» в любой другой режим, кроме «Заблокированного», и отключить Sandbox

Потом опять вернуть на «Заблокированное».

Здравствуйте, уважаемые форумчане!

Помогите, пожалуйста, с моей бедой. Дело в том, что установил на работе (в школе) антивирус из набора COMODO Internet Security 8.2.0.4674 (раньше стоял NOD32 но в этом году на продление лицензии не выделили денег). Исходя из лицензии, Комодо едва не единственный антивирус, который можно поставить (ну разве что еще NANO, но прошлое его использование оставило негативные ощущения). В общем, надо по-любому разобраться, в чем дело. Простите за длинное введение...

Итак, имеем:
* Windows 7 Professional SP1 x32
* COMODO Internet Security 8.2.0.4674 (а именно антивирус из данного пакета)
* Comodo Offline Updater 1.4.4.5
* Подключение к интернету через VPN-соединение по ADSL (256 кбит/с) - данная схема подключения обусловлена поставщиком услуг.
* Наличие локальной сети из примерно 20 компьютеров, которые должны получать обновления с описанного выше компа.

Дело в том, что есть задача обновлять антивирус из локального зеркала.

В двух словах: антивирусные базы скачиваются, но не устанавливаются.

А теперь подробнее...

В общем, делаю все по инструкции. Установил антивирус, настроил его на прокси (порт 88, сервер - http://IP-адрес компа, на котором стоит Comodo Offline Updater), запустил обновление на самом COU. Интернет у нас паршивый, так что за пару дней натянул обновлений на 800 МБ. Все скачал, офлайн апдейтер говорит, что все скачано. Но начинаю обновляться - возникает ошибка. Причем первые два этапа обновлений - проверка наличия базы и загрузка базы - проходят отлично, а вот на этапе установки базы - ошибка. Попробовал на другом компьютере сети - то же самое...

Решил попробовать установить базы автоматом из интернета, подключившись, как положено. Но и тут поджидала точно такая же беда - базы закачались, но установиться не смогли.

Подскажите пожалуйста, в чем может быть проблема? Заранее спасибо!

Chrome гугловский вдруг сегодня перестал запускаться. Вылетает сразу с ошибкой при запуске: Прекращена работа программы. И далее пишет:
Имя модуля с ошибкой:    guard32.dll
Win 7 32. Chrome и CIS последних версий.

У кого что-нибудь похожее наблюдается? При этом браузер от яндекс нормально работает.

Цитата:

Не скажу за «всегда», но сейчас лучшая — именно 8.2 последнего билда. Исправлен ряд проблем, тянувшихся очень давно (Хотя далеко не все. Плюс есть одна дрянь, специфичная для 8.x, так и не устраненная).

А что за "дрянь" такая?

Цитата:

Имя модуля с ошибкой:    guard32.dll  
Win 7 32. Chrome и CIS последних версий.  
 
У кого что-нибудь похожее наблюдается?

Гляньте по ссылке: http://www.comss.ru/disqus/page.php?id=261#comment-2235386261

Цитата:

Гляньте по ссылке: http://www.comss.ru/disqus/page.php?id=261#comment-2235386261

Спасибо. Но не помогло. Да у меня и HIPS отключен. Хотя бы теперь знаю, что проблема не в моем компьютере.

uctopuk 17:56 04-09-2015
Цитата:

В общем, делаю все по инструкции

По этой инструкции, или есть что-нибудь более актуальное?

Я попробовал повторить эксперимент на виртуальной машине — результат вроде вашего. Так что присоединяюсь к вопросу.
(задавал параметры прокси: сервер — IP зеркала без указания протокола, порт — 88, список серверов не менял)

Pantalone 21:08 04-09-2015
Цитата:

А что за "дрянь" такая?

Возможность обойти защиту, подменив доверенный файл неопознанным и мгновенно запустив

military86 21:27 04-09-2015
Цитата:

Гляньте по ссылке: http://www.comss.ru/disqus/page.php?id=261#comment-2235386261

Оч-чень интересная аномалия, спасибо.
Интересна, во-первых, тем, что «защита от shell-кода» ни с того, ни с сего проявилась — прежде я считал ее фикцией, да и сейчас считаю.
Во-вторых, отключение «защиты от shell-кода» не решает проблему с Хромом — только добавление его в исключения
Хм, чую, shell-код тут вообще ни при чем...

ndr 22:12 04-09-2015
Цитата:

Но не помогло. Да у меня и HIPS отключен

Не в HIPS'е дело. Проверьте, правильно ли исключение «защиты от shell-кода» вписали.
Попробуйте указать конкретно файл chrome.exe

emhanik

Цитата:

По этой инструкции, или есть что-нибудь более актуальное?

В общем-то, по этой же. Только я еще и добавил в список серверов как указано - IP с протоколом. Кстати, на той же машине, где стоит обновлялка, хорошо кушается и обычное имя компьютера. А вот соседи не хотели обновляться, пока IP не вбил.


Цитата:

Я попробовал повторить эксперимент на виртуальной машине — результат вроде вашего.

А из интернета пробовали обновляться? По штатной схеме?

Просто у меня еще проблема в скорости и качестве соединения - нет возможности просто так вот взять, и качнуть базу на 200-300 мб....

P.S. Вот в логе загрузки обновлений фигурирует строчка:


Цитата:

Файл 'http://cdn.download.comodo.com/av/updatesurl/sigs/bases/BASE_END_USER_v128.cav' на сервере не найден.

Вчера было написано то же самое, но номер был 127, это я точно помню. Но этот файл ни при каких условиях скачиваться не хочет. Может, он что-то мутит??..

В общем, поставил на еще одну машину чистую установку, ничего не делал вообще - никаких настроек. Перегрузился только. Вот сейчас запущу обновление в штатном режиме, и через несколько часов посмотрим - обновится ли он... Отпишусь.

uctopuk 11:21 05-09-2015
Цитата:

Только я еще и добавил в список серверов как указано - IP с протоколом.

Не очень понял... (дошло))


Цитата:

А вот соседи не хотели обновляться, пока IP не вбил.

Странно, при том что фаервол не установлен


Цитата:

А из интернета пробовали обновляться? По штатной схеме?

Увы, нет.

Честно говоря, я не в курсе тонкостей обновления и настройки COU. Вообще, мануала по нему явно не хватает, да чтоб актуального и со скриншотами.
Знаю только, что случаются жалобы то на неработающие серверы, то на обновления, не желающие ставиться.

Однако, учитывая проблемы с интернетом, предложу вообще отказаться от антивирусного компонента, по крайней мере, временно. Настройте проактивную защиту на жесткую блокировку неопознанных программ, установите EMET — и будете неплохо защищены.

All
Кто пользуется COU, покажите настройку, пожалуйста.

emhanik
Все-таки дело не в COU, судя по всему.... Установил с нуля на другую машину антивирус, совсем не залезал в настройки - сразу после перезагрузки компьютера начал обновление с официального сервера. Через пару часов вернулся - опять ошибка... Сгоряча нажал еще раз обновить, и лишь потом подумал, что надо было сперва в ProgramData посмотреть - докачан ли файл... Открыл - уже, естественно, размер нулевой... Так что не могу на 100% утверждать все-таки - скачались обновления или нет. Но по крайней мере, он уже ничего не качал, когда я вернулся. Думаю, что та же проблема снова...

P.S. Сейчас поставил на закачку файл bases.cav с офсайта, попробую импортировать базы.

Добавлено:

Цитата:

Странно, при том что фаервол не установлен

На компьютере, на котором установлен COU стоит антивирус+фаерволл. В настройках фаервола - режим обучения. Но, кстати, вот сейчас подумал: что-то он у меня ничего не спрашивает.... Подозрительно как-то.
С другой стороны - не может же, по идее, фаерволл давать подобный артефакт - уж скорей он бы не давал качать тому же COU (хотя припоминаю, что я, кажется, сразу его в разрешенные добавил...).

Цитата:

Цитата: Имя модуля с ошибкой: guard32.dll Win 7 32. Chrome и CIS последних версий. У кого что-нибудь похожее наблюдается? Гляньте по ссылке: http://www.comss.ru/disqus/page.php?id=261#comment-2235386261

У меня HIPS был всегда отключен. Однако когда добавил Chrome в исключения "по shell-коду" по инструкции в ссылке, Chrome запустился.

По поводу обновлений через Comodo Offline Updater. Наконец-то смог приручить зверя. Обновления стали устанавливаться после того, как сначала я скачал и импортировал кумулятивное обновление bases.cav с официального сайта. После того, как оно установилось (аллилуйя!!), обновил базы через COU, запустил обновление в Комодо Антивирусе - и все стало хорошо.

Так что - примите себе на заметку, если что!

P.S. Спасибо emhanik за помощь и участие!

uctopuk 13:31 06-09-2015
Цитата:

Так что - примите себе на заметку, если что!

Покажите, пожалуйста, скрины настройки COU и прокси в CIS.


Цитата:

P.S. Спасибо emhanik за помощь и участие!

Не за что.

Между прочим,если вдруг не знаете значение режимов:
15:53 05-09-2015
Цитата:

В настройках фаервола - режим обучения. Но, кстати, вот сейчас подумал: что-то он у меня ничего не спрашивает....

Это довольно стремный режим, разрешающий все всем, да еще и с запоминанием.
Другая стремная вещь — опция «Создавать правила для безопасных приложений», тоже вроде обучения, но только для безопасных приложений. (Предостерегаю от ненамеренного включения)

Цитата:

Другая стремная вещь — опция «Создавать правила для безопасных приложений», тоже вроде обучения, но только для безопасных приложений. (Предостерегаю от ненамеренного включения)

Не ожидал от вас такой ... "шутки". Это не
Код: тоже вроде обучения

vitsat 14:54 06-09-2015
Цитата:

Это не
Код:
тоже вроде обучения
, а полный контроль. Без этого фаер - дыра дырой.

Ошибаетесь. Или в старых версиях было иначе?..

Насколько я понимаю, опция «Создавать правила для безопасных приложений» —

во-первых, не имеет никакого эффекта, когда режим — «Пользовательский»;

во-вторых, в «Безопасном режиме» при ее включении автоматически создаются правила, разрешающие исходящие соединения каждому доверенному приложению, которое проявит сетевую активность. (Уточнение: автоматического создания правил не будет, если отмечена опция «Не показывать оповещения - Разрешать запросы»)

Т.е. во втором случае имеем
a) лишний расход ресурсов на создание кучи правил;
b) глюки интерфейса: пропадание всех правил время от времени;
c) угрозу выхода в интернет при замене или заражении любой доверенной программы (а не только браузера или т.п.), хоть раз проявившей сетевую активность.

Честно говоря, не помню, насколько детально проверял все это. Могу перепроверить.
Но если по аналогии с HIPS'ом — суть опции именно такая.

А что имели в виду вы?

P.S. Что касается «Пользовательского», то это мой обычный режим, опция СПДБП отключена — работа корректная.
Перепроверил в «Безопасном режиме» на CIS 8.2.
Единственное, в чем я ошибался — насчет влияния опции «Не показывать оповещения - Разрешать запросы». Автоматическое создание разрешающих правил происходит даже при ней.

Цитата:

А что имели в виду вы?

Выше уточнил, что имел в виду "Пользовательский набор правил". Другим предустановкам не доверяю.


Цитата:

Насколько я понимаю, опция «Создавать правила для безопасных приложений» —
 во-первых, не имеет никакого эффекта, когда режим — «Пользовательский»;

Я ещё со старых версий помню, что если не «Создавать правила для безопасных приложений», то это значит полностью и бесконтрольно разрешать любую сетевую активность. А с включенной галкой начинают срабатывать алерты (оповещения) на всё.


Цитата:

Т.е. во втором случае имеем
a) лишний расход ресурсов на создание кучи правил;
b) глюки интерфейса: пропадание всех правил время от времени;
c) угрозу выхода в интернет при замене или заражении доверенной программы.

a) и b) - никогда не было таких проблем, а куча не такая уж и большая, но очень любопытная при исследовании шпионских закидонов.
с) - HIPS опередит
Опять же речь о "Пользовательский набор правил"

vitsat 14:54 06-09-2015
Цитата:

Собственные предустановленные наборы правил для особых случаев контроля редактируем до "пользовательских"

Сначала не заметил вашего добавления
Так в том и дело, что на «пользовательский» режим опция СПБП не влияет, а «Безопасный» делает еще более дырявым

Цитата:

Так в том и дело, что на «пользовательский» режим опция СПБП не влияет

Как же она не влияет, если без неё нет алертов на системные приложения, к примеру...

Цитата:

P.S. Что касается «Пользовательского», то это мой обычный режим, опция СПДБП отключена — работа корректная.

Поясните о корректности работы. Алерты на безопасные приложения всплывают?
Вот на эти, к примеру:

vitsat 15:31 06-09-2015
Цитата:

Я ещё со старых версий помню, что если не «Создавать правила для безопасных приложений», то это значит полностью и бесконтрольно разрешать любую сетевую активность. А с включенной галкой начинают срабатывать алерты (оповещения) на всё.

Чтоб убить двух зайцев, сразу показываю пример версии CIS 5.10. Выбрана конфигурация Proactive Security, только фаервол переведен в «Пользовательский» режим.
Как видите, что с опцией СПБП, что без нее одинаково идут алерты на активность доверенного IExplorer'а:
http://www.imageup.ru/img254/2222663/vmwwinxp-2015-09-06-15-40-17.png
http://www.imageup.ru/img254/2222664/vmwwinxp-2015-09-06-15-41-35.png


15:37 06-09-2015
Цитата:

Алерты на безопасные приложения всплывают?

У себя обычно либо отключаю показ алертов, либо добавляю внизу запрещающее правило для группы «Все приложения». (Последний вариант хорош тем, что можно выбрать отдельные группы приложений, для которых алерты все же будут)
Соответственно, нет ни лишних алертов, ни лишних запрещающих правил. Только в журнале полно записей о блокировках доверенных программ, в т.ч. системных

Цитата:

Чтоб убить двух зайцев, сразу показываю пример версии CIS 5.10. Выбрана конфигурация Proactive Security, только фаервол переведен в «Пользовательский» режим.
Как видите, что с опцией СПБР, что без нее одинаково идут алерты на активность доверенного IExplorer'а:

У себя проделал всё то же самое: алерты срабатывают в обоих случаях.
Даже не знаю, что сказать. Раньше я сидел на CIS и конфигурации "COMODO - Internet Security". Теперь где-то год сижу на чистом фаере и конфигурации "COMODO - Proactive Security (FIREWALL MOD)" (HIPS заводской + все секции предустановок фаервола перелопачены на ужесточение).
Но точно помню, что без галки «Создавать правила для безопасных приложений» не было алертов, а значит безопасные приложения гуляли по сети сами по себе, как кошки Скорее всего я экспериментировал в Безопасном режиме.
Признаю ошибку. Пользовательский набор правил инициирует алерты для любых приложений, игнорируя опцию «Создавать правила для безопасных приложений» Никогда бы не подумал...

Цитата:

Только в журнале полно записей о блокировках доверенных программ, в т.ч. системных

Вот примерно такая фигня у меня и происходит. Только у меня идут аллерты на запись файлов в Temp.

emhanik

Цитата:

Между прочим,если вдруг не знаете значение режимов:

Да, вижу, слегка промахнулся. Вообще использую комодовский фаерволл дома уже много лет, хотя глубоко в его работу не лез и не разбирался, и, настроив его когда-то давно, с тех пор просто импортировал/экспортировал настройки при переустановке системы. Сейчас заглянул в настройки домашнего - действительно, стоит "Безопасный режим". Ну просто он задает вопросы при обнаружении новых соединений, и я чего-то подумал, что это "Режим обучения". Спасибо, что обратили на это внимание.

Что касается скринов - выложу завтра, когда буду на работе. Но вообще там ничего этакого - почти все по умолчанию, и настроено в соответствии с инструкцией, на которую Вы ссылались.

emhanik
Вот скрины.



Единственное замечание: поскольку это скрины с антивируса, установленного на той же машине, что и COU, то в настройках антивируса вписано имя компьютера. На других компьютерах сети, как я и писал уже, я вбиваю IP-адрес.

P.S. Ах, да!.. По поводу опции "Минимизировать трафик". Я ее выключил, ибо с ней обновление других компьютеров сети идет в час по чайной ложке. Вероятно, он там то ли пакует каждый пакет и распаковывает на клиенте, то ли еще что... Но с установленной галкой где-то 1,5% обновления шло около 10 минут, а с выключенной - остальные 98,5 - минут за 5. Я так понял, что эта опция оптимизирует трафик внутри сети, и если к зеркалу подключены не сотни компов, то лучше этого не делать.

P.P.S. Удаленные папки определяются автоматом после первого обращения антивируса. Ну это Вы и так знаете.