Buffer Overflow SVCHost, computer in freeze totale

Salve a tutti,
ho da poco installato la Comodo Internet Security Premium e sto cercando di settarla al meglio.
Utilizzo una connessione Fastweb il cui hag non mi convince molto (sto pensando di prendere un router da metterci a valle, ma per ora cerco di far andare bene quello che ho).
All’HAG Fastweb sono collegati un PC Desktop wired, un Hard Disk di rete wired, e saltuariamente un Notebook e due palmari wireless. Non fidandomi molto di fastweb, ho creato manualmente una trusted zone basata unicamente sui codici MAC dei 5 dispositivi che si connettono alla mia LAN (so che nemmeno questo è poi così sicuro, ma non sapevo come altro evitare di dare l’accesso a tutti i clienti fastweb con cui condivido gli IP).

Ho tre dubbi che vorrei sottoporvi:

Spesso Comodo mi avvisa di un attacco a SVCHost che è tipico di un tentativo di Buffer Overflow (gli eventi riportano “shellcode injection”). Se ignoro l’evento va tutto bene, se blocco (o sandboxo) l’evento, il PC va in freeze e tocca forzare un riavvio a mano.
Ho da poco fatto una scansione antivirus con esito positivo (nemmeno un treath).
Come devo comportarmi?

Ogni volta che cerco di accedere all’hard disk di rete, vedo negli eventi del firewall un blocco a System che cerca di far comunicare il mio IP con quello dell’Hard Disk attraverso le porte 137 o 138.
Ho creato una regola per system basata sulla mia trust zone che ho descritto qui sopra e mi chiedo se è corretta come sintassi e come posizione (è la prima dello screenshot sulle policy di sicurezza rete; Yggdrasil è la mia trust zone).

Problema minore: ogni volta che lancio Photoshop CS3 mi appare un alert, nonostante l’abbia inserito nelle applicazioni sicure e gli abbia addirittura creato una regola su Defense+. Devo creare una regola anche per il firewall?

Posto due immagini relative ai settaggi di firewall e defense+ sperando in un vostro consiglio. Se ho omesso qualche informazione, scusate, fatemi sapere cosa manca e provvedo subito a caricare un’immagine.

Grazie in anticipo!

880×768 108 KB

1024×843 130 KB

Edit: dimenticavo, LacieNetworkassistant.exe è il monitor software del disco di rete.
I miei settaggi attuali sono:
Liv. Sicurezza Antivirus: Ottimizzato
Liv. Sicurezza Firewall: Policy Personalizzata
Liv. Sicurezza Defense+: Sicuro
Liv. Sicurezza Sandbox: Abilitato

Manco il tempo di scrivere il messaggio che ecco il problema apparire:

Al mio “tralascia” (altrimenti il PC si freeza), è subito seguito da un avviso virus, cosa successa anche ieri (ho scordato di dirlo) e a cui ho fatto seguire una scansione completa del sistema, senza esiti.

Ieri il virus l’ho pulito, ora l’ho quarantinato. La cosa strana è che fanno riferimento alla cache di Internet Explorer che io non uso assolutamente. Addirittura ieri l’ho svuotata per sicurezza.
Non so che pensare…

ciao iltorvo, scusa per il ritardo…

Attacchi Buffer overflow possono essere sintomo di un PC infetto e anche se l’AV non ti trova alcun ospite indesiderato sul tuo PC non vuol dire che non ci siano. Potrebbe essere infetto lo stesso svchost.exe

Prova ad effettuare una scansione con MalwareBytes’ Anti malware e vedere se ti trova qualche cosa.
Se non ti trova nulla nemmeno lui ti consiglio di formattare per risolvere alla radice il problema! Ma dispiace dirtelo ma almeno stai più sereno… se poi 6 certo che il PC è pulito e che il problema possa essere dovuto da altro inserisci svchost tra le esclusioni degli attacchi Shellcode (in Impostazioni Controllo Esecuzione)

La regola per SYSTEM va bene, anche se per completezza ti consiglio di farla così:
Consenti IP In/Out da In [Yggdrasil] a In [Yggdrasil] dove il Protocollo è Qualsiasi

Una precisazione sull’ultima regola (relativa a svchost.exe), utile per tutti e non solo per te:
svchost.exe, SYSTEM, winlogon ecc ecc sono inseriti nel Gruppo Applicazioni di Sistema e tale gruppo viene trattato di default dal firewall consentendogli tutte le connessioni in uscita senza bloccare quello che non corrisponde.
Dico questo perchè tu hai settato svchost.exe creando la prima regola che è solo di uscita ma come già detto tale regola è implementata di default in CIS, puoi anche cancellare la prima regola e lasciare le altre due.

Per l’HDD di rete: non dovrebbe bloccarti questa connessione se hai inserito nella tua zona consentita anche il MAC Address dell’hard disk (essendo un hdd di rete penso che abbia anche lui un MAC address) … confermami se è inserito…

Per Photoshop: che tipo di alert? un messaggio del firewall, del defense o altro?

scusate l’intrusione in questa discussione,ma colgo la palla al balzo

è un sacco di tempo che succede anche a me che tutte le volte che apro PS mi succede che mi si allerta il D+…nonostante abbia messo più volte PS in file sicuri…

[attachment deleted by admin]

diciamo che con l’eseguibile “firmato” non da problemi… mentre con quelli “diversamente firmati” può esserci questo problema!!!

Spero di aver reso l’idea

Comunque utilizzo anche io questo file e una volta aggiunto tra i file sicuri e trattato l’applicazione come applicazione sicura non mi ha dato alcun tipo di avviso… provate a cancellare tale file dai File Sicuri e dalla policy del defense e ricrearle…

Nicko anche a te CS3 come iltorvo? io ho CS5 e non ho problemi…

EDIT: [at]IlTorvo
guardando meglio la tua policy del firewall ho notato che tratti molte applicazioni come Applicazione Sicura. Sai io non mi fido tanto delle connessioni in ingresso delle applicazioni, e tu trattandole come sicure permetti tutto il traffico in entrata e in uscita. Se non vuoi creare regole personalizzate per ogni applicazione ti consiglio almeno di trattarle come Solo Uscita, non si sa mai…

FileZilla è un client ftp quindi puoi trattare tale applicazione come Client Ftp (policy predefinita integrata in Comodo), anche se con FileZilla ci sarebbe una piccola aggiunta nelle regole che a breve inserirò nel topic di configurazione firewall

si,ache io ho il CS3…che sia un problema circoscritto solo a questa versione?

Diciamo di si, la differenza deriva da alcune procedure diverse.

Comunque se non avete esigenze particolare vi posso consigliare The Gimp, un software di fotoritocco di poco inferiore a Photoshop e opensource. A buon intenditore…

è tanto che uso PS CS3,ne ha viste molte di versioni di CIS…se non ricordo male il problema di queste notifiche è iniziato dalla versione 4.xxxxx…

lo conosco,me ne hanno parlato bene,ma non l ho mai usato…

Grazie mille Mirk per la risposta, e scusa tu per il mio ritardo
Non ho ancora avuto modo di controllare, ma ho scaricato l’anti Malware che mi hai consigliato, e nel pomeriggio provvederò a fare la scansione, speriamo bene! Posso solo dire che recentemente avevo preso quel virus (non ricordo il nome) che impediva ai browser di connettersi ai vari siti di antivirus, ma l’avevo debellato.

Ho sistemato la regola per System. L’avevo creata seguendo una guida qui sul forum, probabilmente era una guida che faceva riferimento ad una precedente versione di Comodo, in cui forse non c’era ancora la regola automatica per i files di sistema, è possibile?
Ad ogni modo il sistema di tanto in tanto manda ancora alert quando cerco di accedere al disco di rete (confermo che il suo MAC è compreso nella mia trust Zone Yggdrasil), è un po’ strano, non è che devo spostare la regola più in alto?

Grazie anche per le osservazioni sull’abuso di “applicazione sicura”. Ho sistemato tutto trattando Filezilla come client FTP e quasi tutto il resto come “Solo in uscita” (tranne qualcosa, per esempio “DropBox” che deve sincronizzarsi costantemente con un disco virtuale in internet).

Per le applicazioni Java tipo “jusched.exe”, “deploy.jar” e “jaucheck.exe” cosa mi consigli? Per ora le ho messe come “solo in uscita” e non mi hanno creato problemi.

Negli eventi firewall ho una miriade di blocchi a Firefox (che in realtà funziona a dovere) come vedi qui:

1024×591 144 KB

Riguardo Photoshop, in effetti è un “doppione” installato nel PC di casa del programma che ho regolarmente installato in studio. Confermo che, per chi non deve farne un’uso professionale, TheGimp è una valida alternativa.
Immagino che i blocchi siano dovuti alla mancata firma digitale nell’eseguibile, ma mi chiedevo come mai non “ricordasse” il mio OK dopo la prima volta. Me lo faceva anche setpoint.exe (immagino fosse a causa di Uberoption, un tool che va a modificare i driver Logitech del Mouse per ampliare delle funzioni) ma avevo risolto creando una regola ad hoc (che puoi vedere nello screenshot del mio primo post qui sopra).
Ad ogni modo non è un grosso problema.

Un ultimo consiglio: Il mio disco di rete è un Lacie Networkspace2 e possiede un comodissimo client torrent interno che mi consente di scaricare dati dalla rete senza dover necessariamente tenere acceso il PC. Ovviamente a modo suo è un terminale che accede alla rete totalmente non protetto, quindi immagino che sia particolarmente vulnerabile (a maggior ragione ora che è collegato all’HAG di Fastweb). Oltre alla ovvia precauzione di non usarlo per custodire files sensibili o personali, hai qualche consiglio da darmi in materia di sicurezza?

Non vedo l’ora di trovare il tempo per acquistare un bel router wifi, disabilitare il wifi dell’HAG Fastweb e collegarci wired solo il router, in modo da avere tutta la mia LAN più protetta dietro di lui, magari con i vari IP statici che mi risparmiano conflitti e fastidi e mi danno sempre l’idea di maggior precisione quando lavoro.

Grazie mille ancora una volta per la tua disponibilità!