При мен комодо НЕ създава сам правило за svchost.exe. При чиста инсталация задава въпроси...

Задава въпрос само дали да разреши връзката и то при Windows XP при Windows7 нищо не пита,ако естествено не си махнал отметката преди това,да се доверява на сигурни файлове

P.s. Не налагам мнение,просто го изразявам. От Kaspersky Lab да не са по-глупави че да го поставят на момента към сигурните програми,съмнява ме.

Да, разбрах, нали за това питам....Мислех, че отметката да се доверява на сигурни файлове се отнася само за D+, но има логика да са свързани нещата със стената. Ще взема да махна ограниченията и на System и на другите системни процеси - да си правят на спокойствие всички връзки. Даже и на скайпа сложих правило само изходящи, ще оправя и него, не съм чул още за проблеми, заразяване или за възползване от хакери на връзки на скайп...

Входящите връзки на скайп са все едно "чук-чук има ли някой" и ако никой не отговори ти ще си невидим и на някои потребители ще се показваш извън линия,а ти всъщност си на линия. Ограничението на System не го махай ,след като нямаш проблем,аз съм му забранил изцяло достъпа до нета.

.........................................................................................................

Зададох правило - третирай като: само изходящи връзки. Всичко работи добре, и ъпдейти и пр. Вече повече от месец не забелязвам проблеми...

Но.... имам десетки хиляди блокирания на входящи връзки за svchost.exe от стената на Варана всеки божи ден (почти всяка секунда по едно блокиране) почна да ме дразни..........................................................................

Питам, дали наистина си заслужава да имам тези блокирания на вход, да си тормозя машината, и доколко ще ми падне защитата ако направя svchost.exe доверено приложение само за стената...

В смисъл D+ би трябвало да предпази от "посегателства" в/у процеса... Или трябва да го добавя към защитените файлове...или някаква друга настройка..

Здравей!Правилото, което си създал ще работи без проблем, защото явно на компютъра си нямаш (до колкото зная това е преобладаващия случай) приложение, което се нуждае от входящи съединения.Това води до втория ти въпрос - може да се очаква, че си увеличил степента си на защита като си изключил още една възможност за пробив в с - мата. " D+ би трябвало да предпази от "посегателства" в/у процеса" не е невярно предположение, но то не е достатъчно. Освен това нещата зависят много при COMODO от режима на Firewall и режима на Defense +, който си заложил в програмата.Съответно може да те защити, но може и да не го направи.Отделно се замисли какво би се случило , ако D+ е подведена от някое уж легитимно приложение (дори подписано) , а svchost.exe ти е trusted, няма и съобщение да получиш.От това, което съм чел във форума може да се обобщи ,че е твърде непрепоръчително да се третира svchost.exe като trusted.

Понеже не казваш коя конфигурация и в какви режими ползваш мога само да предположа, че проблема ти не е в блокирането, а в логирането -- предлагам ти да отчекнеш лог в блокиращото правило за svchost.exe и да свалиш нивото на low в известяване събитията на Firewall-a.Понякога е удобно да е на max, ако изследваш някакъв проблем или профилактично, но в общия случай не е нужно .Поздрави!

Comodo Internet Security съчетава в себе си Comodo Firewall Pro и Comodo Antivirus. И така става една от най-леките и най-полезните безплатни пакети за цялостна защита.

Основен интерфейс :

Системни изисквания :

• Windows 7 (Both 32-bit and 64-bit versions), Windows Vista (Both 32-bit and 64-bit versions) or Windows XP (Both 32-bit and 64-bit versions)

• Internet Explorer Version 5.1 or above

• 128 MB available RAM

• 210 MB hard disk space for both 32-bit and 64-bit versions

.

Тъй като смятам че на самата страница на Комодо е доста добре направено ревюто на програмата ще ви дам линк към техния сайт

http://help.comodo.c...t-Security.html

А от мен ще получите настройките за оптимална защита и някои изводи за програмата .

Тъй като ще ми отнеме време ще пусна темата така и ще я разработвам с времето .

Така първото нещо което аз правя когато инсталирам Comodo IS е да превключа на COMODO - Proactive Security

Това става по следния начин :

Отиваме до Manage My Configurations'. както е на снимката кликваме с мишката

и от излязлото меню

избираме COMODO - Proactive Security и натискаме бутона Activate и трябва да излезе това прозорче .

Потвърждаваме с OK и вече сме превключили на желаната от нас конфигурация !

Започваме с настройките на антивируса . За целта кликваме въхру основния интерфейс на програмата там където пише stateful.

И от там правим следните настройки :

Това за мен са балансираните настройки съчетаващи висока детекция и сравнително ниско ниво на FP ( грешно засичане ) !

Настройки на проактивната защита на Comodo IS :

Пак отваряме основния интерфейс на програмата и кликваме върху Safe Mode .

И правим следните настройки :

Настройки на защитната стена на COMODO IS . Тук ги давам с уговорката че трябва да сте наясно с материята, защото при тези настройки вие ще си създавате правилата за мрежовия трафик на всяко едно приложение . На начинаещите потребители препоръчвам да не изменят настройките .

Отваряме основния интерфейс на програмата и кликваме върху Custom Policy.

За заключение ще кажа няколко думи за програмата и по късно ще пусна видео как с тези настройки COMODO IS се справя срещу най -опасния вирус :

Trojan:W32/Gpcode

Повече информация за този вирус тук : http://www.f-secure....cs/gpcode.shtml

Плюсове :

Най добрата проактивна защита на пазара .

Безплатна е .

Лека е и не се усеща че я имате на системата !

Минуси :

Най големия за мен е тъмното минало на компанията .

За какво става на въпрос можете да прочетете тук :

http://windows7forum...o-products.html

Автор на ревюто : Пламен Стаменов .

Забранено е копирането на статията или части от нея без да се спомене източникът и форума !

Ето и видеото . Кратко е, но е просто за тест на настройките ми :

http-~~-//www.youtube.com/watch?v=KQ6yqAALJ1k

Важно е да се добавят дяловете на диска в защитени файлове и папки !

Отиваме на Computer Security Policy

и кликваме на protected files and folders и после на Add откъдето избираме дяловете

Трябва да изглежда така

и потвърждаваме с Apply и сме готови :

Редактирано 21 август 201114 г. от Гост (преглед на промените)

Никой не каза обаче защо не последва евристична детекция!

Никой не каза обаче защо не последва евристична детекция!

отговориха ти:

http://www.kaldata.com/forums/index.php?showtopic=160769&view=findpost&p=2055110

При теб изглежда го е поставило автоматично при доверените, провери...

Ползвам най добрата стена-Аутпост и там са вкарани автоматично настроиките за svchost.exe В никакъв случай не поставяйте приложeнието svchost.exe в графата доверени,опасно е! Ето и правилата за приложението: Протокол TCP-изходящи-отдалечени портове:13,37,123,135,636,379,389,3268,3269,443,HTTP-83,Local network-2869,My computer-2869,DNS-53 TCP-входящи-Local network-5000,2869 UDP-изходящи и входящи-37,123,389,Local network-1900,5355,My computer-1900,Multicast addresses-1900,5355 UDP-изходящи-DNS-53 UDP-входящи-1900 Значенията и IP-адресите на My computer,Local network,Multicast addresses са индивидуални за всеки един т вас и трябва да се потрудите да разберете стойностите им. Нядявам се да съм ви бил полезен.

В никакъв случай не поставяйте приложeнието svchost.exe в графата доверени,опасно е!

Би ли се аргументирал ,какво му е опасното и какво ще стане?

Прочети и замълчи

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn. Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Conficker.

.

Някой да има други въпроси?

Редактирано 19 август 201114 г. от tiberius (преглед на промените)

Прочети и замълчи

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn. Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Kido.

Някой да има други въпроси?

К'во ми copy/paste , алоуу

Май не си в час много и не четем,a? Кой ще ти допусне fake svchost.exe в system32 ,като доверено ...аз те питам и тук говорим за легитимния файл,защо трябва да се ограничава!?

Понял?

Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра

На мен това ми бе полезна информация, не я знаех досега...

Няма нищо по лесно от това да се подправи цифровия подпис на svchost.exe и калпавият безплатен Комодо да гризне дръвцето с неговите доверявания на легитимни приложения.Вчера му пуснах един руткит и един spyware на тестовия компютър.Мълчеше като гроб.

......Вчера му пуснах един руткит и един spyware на тестовия компютър.Мълчеше като гроб.

Я ги качи някъде,и дай линк за изтегляне.

Няма нищо по лесно от това да се подправи цифровия подпис на svchost.exe и калпавият безплатен Комодо да гризне дръвцето с неговите

доверявания на легитимни приложения.Вчера му пуснах един руткит и един spyware на тестовия компютър.Мълчеше като гроб.

Аз пък вчера станах президент на Франция Я да видим файла,теста че то така само лаф да става...

http://siteinspector.comodo.com/ will be used with SecureDNS....

Тоест ще вградят техния анализатор на сайтове към DNS-те си и се очаква да блокират повече .

Редактирано 1 септември 201114 г. от Гост (преглед на промените)

Comodo Wins Two Golden Bridge Awards for Information Technology Software and Innovation

Winners Honored at the Golden Bridge Awards Dinner and Presentation in New York City on August 10, 2011

Jersey City, NJ, August 12, 2011 - Comodo (www.comodo.com), a leading certificate authority and Internet security organization, has earned two prestigious Golden Bridge Awards for Excellence in the IT Software and Innovation categories for their GeekBuddy® and LivePCsupport products. GeekBuddy is an online support service designed to give live, instant technical assistance to home PC users whenever they have problems with their computer. LivePCsupport is a chat-based support service for business with a dedicated IT technician to handle IT needs on a 24-hour basis.

http://www.comodo.co...dge-Awards.html

Редактирано 5 септември 201114 г. от Гост (преглед на промените)

bypass comodo sandbox (another malware)

« on: Today at 01:51:11 AM »

1.

I disabled the antivirus and the cloud scanner.

2.

I double clicked on the malware.

3.

It is sandboxed as partially limited

4.

I selected "allow"

5.

comodo is then bypassed by the rootkit which is downloaded by the malware.

cfp.exe is closed by it

6.

I checked the defense+ events

Quote

2011-09-07 14:41:51 C:\Documents and Settings\Roger\桌面\virus\123\0access\info.exe Sandboxed As Partially Limited

2011-09-07 14:42:21 C:\DOCUME~1\Roger\LOCALS~1\Temp\_898.tmp Sandboxed As Partially Limited

2011-09-07 14:42:22 C:\DOCUME~1\Roger\LOCALS~1\Temp\_899.tmp Sandboxed As Partially Limited

7.

FVS report:

http://valkyrie.como...lename=info.exe

http://valkyrie.como...lename=_899.exe

Comodo хваща ли Фейсбук вируса?

Comodo хваща ли Фейсбук вируса?

Относително е така както задавате въпроса ! Зависи от много работи . Настройки и това как ще реагирате вие !

Редактирано 7 септември 201114 г. от Гост (преглед на промените)

А ако sandboxie-a си е на Untrusted дали ще пробие Comodo ? А ако и Cloud-а е включен ? И все пак дано го фикснат в следващите версии това...както и всички докладвани за момента слабости известни от wilders....

А ако sandboxie-a си е на Untrusted дали ще пробие Comodo ?

А ако и Cloud е включен ?

И все пак дано го фикснат в следващите версии това...както и всички докладвани за момента слабости известни от wilders....

Ами ако имаше няколко проби щяхме да разберем . Факт е че вече във форума на Комодо има няколко пробива на сандъка им, но като слабо ограничени . Аз обаче не мога да докопам тоя фейсбук вирус че да го пробвам . И само мога да гадая .

Те пък така уважават чуждото мнение че просто въобще не ги интересуват никакви пробиви от други форуми . Знаеш че са малко надменни и не чуват . Още си чакам родителския контрол ама ...

Кой от всичките Facebook бацили ти трябва ? Аз може да имам нещо (ако ги пазя де)...питам кой...защото са два... Единия е ufa.exe => Трябва ти този файл от папката C:\qoobox\c:\documents and settings\Usr\My Documents\Downloads\Programs\Flash-Player_2.exe http://www.kaldata.com/forums/index.php?showtopic=182960&view=findpost&p=2060498 Другия е c:\windows\system32\wmpnkc32.exe http://www.kaldata.com/forums/index.php?showtopic=183329&view=findpost&p=2066040

Давай ги всички да ги тествам !

Виж дали тези които съм дал ще ти свършат работа....ако ли не ще видя дали си ги пазя в private зоната на MBAM или KernelMode.info... До после от мен...