» Comodo Internet Security

oval2003

Цитата:

Логично, чтобы ежедневно базы обновлялись, а не раз в месяц...

Хм... Значит, раньше (на 7-ке и на 10-ке до крайнего обновления) работало "не логично", т.к. в сеть приложение стучалось раз в месяц. Что сейчас изменилось?

Ronin666

Цитата:

Хм... Значит, раньше (на 7-ке и на 10-ке до крайнего обновления) работало "не логично", т.к. в сеть приложение стучалось раз в месяц. Что сейчас изменилось?

Вот и мне это не понятно. Одной из причин почему я не пользовался встроенным антивирусом от MS и было, что не понятно когда он обновлял сигнатуры.

Ronin666
oval2003
Windows 10. Обсуждение работы

Интересная новость:

ПО Comodo Internet Security подменяло Chrome на незащищённый клон браузера

Цитата:

Разработчики из компании Google обратили внимание на вредоносные действия продуктов компании Comodo. При установке Comodo Internet Security, системы для защиты от вирусов и вредоносного ПО, осуществлялась подмена установленного в системе web-браузера Chrome на модифицированную редакцию "Chromodo". Внешний вид Chromodo идентичен с Chrome, в том числе импортируются все настройки пользователя, информация о подмене выводится только в окне "About".

И что, галочки снимать надо.
Или это принудительно, как мелкие свою шпионскую 10 впаривают по заказу масонов?

Vanfear, если галочки снять, то все норм. Ну а если устанавливать все по умолчанию, то получим вот такой результат. Плюс, как сказано в статье, ярлык Хрома будет подменен на ярлык Хромодо и данные из Хрома будут импортированы в Хромодо.

Ну стандартная практика с бородатых времён ещё. Клевету тут развели на мой комодо)

Добавлено:
Кто только эти хромоного браузеры не делает.

Цитата:

Ну стандартная практика с бородатых времён ещё.

Ставят свои браузеры и тындексы, ну не удаляет никто ярлык Хрома, ни комильфо это.

Цитата:

Защита от шифровальщиков.

HIPS - Защищенные объекты - Добавить - Файлы (выбирайте любой, можно какую-нибудь картинку).

Потом выделяете его, нажимаете Изменить и вместо названия того файла прописываете в строчке \Device\KsecDD

можно такой способ
прога Easy File Locker - задаем права на важные папки(с фотками и пр.) отключив туда возможность записи\перезаписи - на саму прогу пароль ИМХО должно помочь

Новинки ожидаемые в CIS9:

Best Online Secure Shopping by Comodo Internet Security 9

https://www.youtube.com/watch?v=9eeCvkyhbHw

после обновленья win7x64 комодо 8.2.0.4703 каждый раз стал пихать svchost.exe в песочницу

Цитата:

после обновленья win7x64 комодо 8.2.0.4703 каждый раз стал пихать svchost.exe в песочницу

Ну так попробуйте обновиться до последнего билда 8.2.0.4792 от 20.11. Хоть там и изменений кот наплакал, но мало ли.

ac3p

Цитата:

после обновленья win7x64 комодо 8.2.0.4703 каждый раз стал пихать svchost.exe в песочницу

Комод не может пихать svchost в песочницу априори, т.к. этот файл относится к группе "Системные приложения".

ac3p 23:59 11-02-2016
Цитата:

после обновленья win7x64 комодо 8.2.0.4703 каждый раз стал пихать svchost.exe в песочницу

Скорее всего, дело совершенно не в svchost'е. Что-то другое у вас постоянно пытается запуститься, и Comodo его виртуализирует. А при виртуальном запуске чего угодно всегда подгружается еще виртуальный svchost и продолжает висеть — это нормально.
Посмотрите в журнале Защиты+, что именно запускалось виртуально, или вы сами виртуальную среду загрузили.
XenoZ 17:11 13-02-2016
Цитата:

Комод не может пихать svchost в песочницу априори, т.к. этот файл относится к группе "Системные приложения".

Одно с другим никак не связано.

кроме обновлений винды, я больше ничего нового не устанавливал. После установки обновлений перезагрузил компьютер, и получил svchost.exe в песочнице. Сейчас, после отправки svchost.exe на проверку, проблема пока не повторяется

Что в журнале Защиты+?

emhanik

Цитата:

Одно с другим никак не связано.

Отнюдь.

Цитата:

Скорее всего, дело совершенно не в svchost'е. Что-то другое у вас постоянно пытается запуститься, и Comodo его виртуализирует.

Скорее всего, именно это и происходит, но это совершенно другой вопрос.
Либо, как вариант, в настройках песочницы стоит флажок на параметре "Включить автозапуск сервисов, установленных в Sandbox".

ac3p

Цитата:

После установки обновлений перезагрузил компьютер, и получил svchost.exe в песочнице. Сейчас, после отправки svchost.exe на проверку, проблема пока не повторяется

Твоя ситуация?

emhanik

Цитата:

Что в журнале Защиты+?

[img] [/img]
XenoZ

Цитата:

как вариант, в настройках песочницы стоит флажок на параметре "Включить автозапуск сервисов, установленных в Sandbox"

нет

Цитата:

Твоя ситуация?

похоже

XenoZ 18:37 13-02-2016
Цитата:

Отнюдь

Однако ж.
С какой стати принадлежность к группе «Системные» должна исключать из виртуализации??
Добавляем в эту группу любой неопознанный файл, запускаем и смотрим...

Я в курсе, что Auto-Sandbox не контролирует запуск от имени SYSTEM. Только отношения к делу это не имеет.


Цитата:

Либо, как вариант, в настройках песочницы стоит флажок на параметре "Включить автозапуск сервисов, установленных в Sandbox".

Опять мимо. Этот флажок, сколько я ни проверял в Win7x64, не запускает виртуальную среду саму по себе. Он лишь заставляет в случае ее запуска запускать сервисы. Т.е. логика такая:

Цитата:

Опция «Включить автозапуск сервисов, установленных в Sandbox» на вкладке «Sandbox» > «Настройка Sandbox» имеет следующий смысл: если в виртуальной среде создать службу, то при каждом использовании виртуальной среды эта служба будет запускаться. Если лишь перезагрузить компьютер — автозапуск службы не произойдет. Но если запустить какую-либо программу в виртуальной среде, то вместе с ней запустится и эта служба.

Таким образом, эта опция никак не влияет на ситуацию с svchost'ом.

ac3p
Журнал Защита+ > контекстное меню > расширенный фильтр > флаги > «Запущено в Sandbox»,
контекстное меню > весь период

ac3p
По журналу. Сообщений о виртуализации svchost'а предсказуемо нет.

Цитата:

кроме обновлений винды, я больше ничего нового не устанавливал

Однако запускали много чего. Если после использования виртуальной среды там остается висеть svchost — это нормально.

Но отсутствие записей о виртуализации в этом месяце выглядит действительно странно. Если, конечно, машина не работает 2 недели без перезагрузки)

HIPS включен? Могла быть еще такая картина: при попытке запуска неопознанной программы в оповещении HIPS выбирается блокировка. Тогда виртуальная среда загрузится (со всеми svchost'ами), но записей о виртуализации в журнале не будет.

emhanik
в тот раз я ничего не запускал, что могло бы попасть в виртуальную среду. И я пробовал очищать песочницу, но svchost сразу же после очистки попадал туда снова, и перезагрузка системы тож не помогала.

Мой компьютер без перезагрузки работает максимум по пол дня. HIPS отключен

ac3p 00:32 14-02-2016
Цитата:

я пробовал очищать песочницу, но svchost сразу же после очистки попадал туда снова

Тогда это действительно какая-то аномалия, особенно на фоне отсутствия в журнале записей о виртуализации. По крайней мере, у меня объяснений нет.

emhanik

Цитата:

С какой стати принадлежность к группе «Системные» должна исключать из виртуализации??

Речь о непосредственном запуске svchost в песочнице, что в принципе невозможно, если, конечно, клиент не удалял дефолтные правила. Запуск svchost, как дочерний процесс уже виртуализированного приложения, - это несколько другая история.

Цитата:

Опять мимо.

Мы не в тире
Это было предположение, т.к. данной функцией не пользуюсь и с тонкостями ее работы незнаком.

ac3p

Цитата:

И я пробовал очищать песочницу, но svchost сразу же после очистки попадал туда снова

Попадал как? Непосредственно или, как на скрине выше, дочерним процессом cmdvirth?

XenoZ 01:02 14-02-2016
Цитата:

Речь о непосредственном запуске svchost в песочнице, что в принципе невозможно, если, конечно, клиент не удалял дефолтные правила.

Изначально нет никаких правил, исключающих svchost из автопесочницы, так что «клиенту» нечего удалять. Группа «Системные» фигурирует только в HIPS'е и фаерволе, не пересекаясь с автопесочницей.
Непосредственно угодить в песок svchost мог только если:
- или он сам модифицирован,
- или для него создано (а не удалено) правило автопесочницы,
- или он принудительно занесен в неопознанные...
И обязательное условие — запуск не от имени SYSTEM...
Потому я сказал по поводу автопесочницы и принадлежности к группе «Системные»:
emhanik 17:32 13-02-2016
Цитата:

Одно с другим никак не связано.

Цитата:

Непосредственно или, как на скрине выше, дочерним процессом cmdvirth?

По идее, при непосредственном срабатывании автопесочницы должна появиться запись в журнале Защиты+ (исключение — блокировка запуска HIPS'ом, но он здесь отключен).
В журнале у ac3p за последние 2 недели вообще нет записей о виртуализации.

Складывается впечатление, что из-за какого-то бага виртуальная среда постоянно подгружается, хотя ничего и не пытается в ней запуститься.

скажите пож - а последняя версия 5.12.256249.2599 х64 на 8.1х64 ось встанет или нет ? вроде бы я давно пробывал и она не вставала (я точно не помню)

emhanik

Цитата:

Изначально нет никаких правил, исключающих svchost из автопесочницы

Непосредственно про автопесочницу не писал ни слова, данный модуль у меня отключен.

Цитата:

он сам модифицирован

Не в курсе, как работает автопесочница, а HIPS, при наличии правил на приложение, его модификацию не контролирует.

Цитата:

он принудительно занесен в неопознанные...

Тогда и в песочнице он должен показываться, как неопознанный.
Скрина, иллюстрирующего проблему нет, а гадать - занятие неблагодарное.

pangasiys

Цитата:

5.12.256249.2599 х64 на 8.1х64 ось встанет или нет ?

Официально поддержка 8.1 появилась в версии 6.3.

XenoZ 03:44 14-02-2016
Цитата:

Непосредственно про автопесочницу не писал ни слова, данный модуль у меня отключен.

Приплыли. Тогда это вообще полная бессмыслица — обсуждать автоматическое попадание программы в песочницу и не рассматривать при этом автопесочницу.

(P.S. Не говоря уже о якобы связи между песочницей (да еще и не авто-) и группой «Системные приложения»...)


Цитата:

Не в курсе, как работает автопесочница, а HIPS, при наличии правил на приложение, его модификацию не контролирует.

Автопесочница контролирует.


Цитата:

гадать - занятие неблагодарное

Да.

emhanik

Цитата:

Приплыли. Тогда это вообще полная бессмыслица — обсуждать автоматическое попадание программы в песочницу и не рассматривать при этом автопесочницу.

Рассматривалась не произвольная программа, а системный процесс. И ситуация вполне реальная, не раз замечал, после обновлений Windows, на индикаторе песочницы число, отличное от нуля. Глюки это Комода или особенность его работы - судить не берусь.

XenoZ

Цитата:

Попадал как? Непосредственно или, как на скрине выше, дочерним процессом cmdvirth?

да, как на скрине. 3 процеса: cmdvirth и 2 svchost доверенных

ac3p

Цитата:

да, как на скрине. 3 процеса: cmdvirth и 2 svchost доверенных

Тогда нет причин для паники, это - т.н. "оболочка" виртуального пространства.