Большой исходящий трафик cmdagent

Вчера (16.12.2013 г.) случайно заметил сетевую активность ПК по “ощетиневшемуся” значку CIS в трее, хотя всё было отключено, и даже браузер не был запущен.
Заглянув в “Активные подключения” обнаружил, что cmdagent что-то усиленно отправляет на IP 199.66.201.27. Активность продолжалась около 2-4 минут, и закончилось исходящим трафиком в 260 МВ. (скрин 1).
BWMeter подтвердил зарегистрированный исходящий трафик (скрин 2).
Покопавшись в логах BWMeter, обнаружил, что 07.11.2013 г. происходила по всей вероятности аналогичная история, только с трафиком еще большего объема (скрин 3).
Вопрос: что, и зачем отправляет cmdagent в таких больших объемах?

[attachment deleted by admin]

Попробуйте сравнить время отсюда

http://s020.radikal.ru/i717/1312/c8/484a67cdbb00t.jpg

Со временем вашего трафика.

И вот это тоже Вам поможет - скрин

[attachment deleted by admin]

Даю справку: обновление программы и антивирусных баз - это входящий трафик.
Вопрос же был задан по исходящему.

Я извиняюсь, забыл отметить в своем первом посте, что Комодовский антивирус не установлен, следственно никаких обновлений антивирусных баз быть не может.

И вот это тоже Вам поможет - скрин
Что это за адрес (199.66.201.27) - я в курсе. Меня интересует, [u][b]что[/b][/u] туда отправляется в таких объемах?

Совершенно верно.

Где-то попадалось… Короче, такая же фигня с большим исходящим, только там Comodo Cleaning Ess… (cce.exe) жрал.

Это конечно полный бред, когда нужно защищаться от самого защитника ))) Лично я имею в Hosts следующее:

#comodo
127.0.0.1	178.255.87.1
127.0.0.1	178.255.87.2
127.0.0.1	178.255.87.3
127.0.0.1	178.255.83.1
127.0.0.1	178.255.83.2
127.0.0.1	178.255.83.3
127.0.0.1	ccanet.co.uk
127.0.0.1	no-dns-yet.ccanet.co.uk
127.0.0.1	comododns.net
127.0.0.1	comododns.com
127.0.0.1	comodoca.com
127.0.0.1	fes.security.comodo.com
127.0.0.1	199.66.201.20
127.0.0.1	199.66.201.21
127.0.0.1	199.66.201.22
127.0.0.1	199.66.201.25
127.0.0.1	199.66.201.26
127.0.0.1	199.66.201.27
127.0.0.1	199.66.201.28
127.0.0.1	91.209.196.27
127.0.0.1	91.209.196.28

Иначе будет отправлять неизестные файлы к себе на сервер, включая личные, разрабатываемые программы(exe, ocx, dll и каждую новую их компиляцию) без спроса - 100% пиратство.
Если я снимаю галочку автообновлений, то не должно быть ни входящих, ни исходящих(кроме 53 порта). Но ситуация обратная, у меня так молотит только торрент клиент. Логи все забиты comodo(особенно 4447-4448 порты).

пс: нет Comodo DNS, отключены все настройки, где должно что-либо отправляться или обновляться.

CIS люблю много лет, но не доверяю. Сорри.

Пользователь “Диссидент” с сайта comss.ru засомневался в правдивости или объективности моих слов:
Comodo Internet Security Premium - Скачать бесплатно. Бесплатный антивирус

[b]Диссидент[/b] Во первых с учетом того что у него отключен модуль антивируса и неизвестно чем он защищается, возможно он заразил чем то этот файл.

Во вторых вот ссылка на информацию о этом файле. cmdagent.exe - Что это такое? Тут расписано, что он может находиться и в папке system32 в претензии не написано где находиться файл


Спешу развеять “смутные сомнения”…
Процесс cmdagent самый что ни на есть настоящий, находится в папке “C:\Program Files\COMODO\COMODO Internet Security” (жаль, при снятии скриншота не поставил галку “Показать полный путь”).
“Левых” не держим… :wink:
Если интересно, то сторонний антивирус - Avira.
Проактивная защита Комодо в “Безопасном режиме”, Sandbox - отключен.
Фаервол Комодо в режиме “Пользовательская политика”, с уровнем оповещения “Очень высокий”.
Неужели Вы думаете, что на “левый” процесс в системе не отреагировал бы HIPS?
К тому же фаервол уж никак не промолчал бы в таком режиме, если бы “левый” файл из каких-нибудь других мест полез в Интернет.
Сводка с VirusTotal:
VirusTotal -
файл родной и девственно чистый.

P.S. Версия CIS 5.12.
P.P.S. В данный момент никого не обвиняю, просто хочу разобраться в ситуации…

[attachment deleted by admin]

ivm19651 , приветствую!

IP 199.66.201.27
Хост: cima.security.comodo.com
Город: Jersey City

Возможно, что это была работа облака? Например сверка хеш сумм, отправка подозрительных файлов, анализ программ и т.п ?

Задайте этот вопрос разработчикам. Что толку задавать этот вопрос здесь? Вам никто ответить не сможет. Зачем мутить воду?

Единственное что могу сказать в защиту Comodo
Уж точно не помню на какой именно версии Comodo 5 серии…лично у меня (и не только) было замечено периодическое подгружение процессора на 25-50% именно процессом cmdagent
Моё расследование не без помощи Гугла решило эту проблему очисткой списка неопознанных файлов.

Вывод такой: при определённо достаточном количестве содержащихся и обрабатываемых неопознанных файлах приводит к периодической загрузке процессора как я писал выше.
Очистка списка неопознанных файлов решала эту проблему.

Возможно во время загрузки процессора шла связь с облаком и перепроверка этих файлов, как предположилmillitary и расходовался трафик, я не контролировал это в тот период.
Цифры трафика приведённые ivm19651 конечно внушительные. Это что же надо иметь в неопознанных)))

Осталось выяснить
ivm19651
Насколько длинный, может ёмкий (размеры файлов) у Вас список файлов обрабатываемых как неопознанные ?

Вот две ссылки с подобными проблемами https://forums.comodo.com/install-setup-configuration-help-cis/cmdagentexe-connect-9119921213280-t58949.0.html;msg531467#msg531467

https://forums.comodo.com/firewall-help-cis/cmdagent-t92090.0.html

Там указаны способы устранения. Если уж модераторы не могут однозначно решить эту проблему, то никто Вам помочь не сможет.

Что значит “мутить воду”?
Выбирайте, пожалуйста выражения.

Нет неопознанных файлов. :slight_smile: (скрин)

[attachment deleted by admin]

Проблема не решена и повисла в воздухе неприятным смрадом
В данной ситуации хотел бы поблагодарить SRG за предоставленный Host и уточнить, так как я не очень силён по части содержимого host:
добавление данной информации в host не скажется на функциональности и работе Comodo…например того же облака… только обеспечит невозможность отправки информации?

Вот читаю я всё это и думаю…Обсуждалось 1000 раз и о Akamai.net и о Microsoft, а вижу что результат всё тот же. Смотрю в книгу вижу фигу. Неужели сложно сопоставить информацию? Корпорация имеющая кучу сервисов, облако, облачные продукты… И что же может быть в этом трафике. О, это очень сложный вопрос.

А как это называется? Взяли мой комментарий и присобачили в свой комментарий. Вот скриншоты версии 6.3. Ничего сверхестественного. Если Вы читали две ссылки, так там написано, что у пятерки есть такая проблема и методы его решения. Что Вам мешает установить шестерку? Я также с пятерки начинал и спокойно перешел на шестую версию. Ни сразу конечно. После того как она стала работать стабильно.

[attachment deleted by admin]

И ещё, для тех кто не в курсе английского. Всё тот же топик из англ. ветки, приведённый как пример от dissident
Вопрос: Why cmdagent.exe asking to address 91.199.212.132:80, when you turn on the system? Automatic updates are disabled everywhere. Threatcast disabled.
Зачем cmdagent.exe обращается на 91.199.212.132:80 при старте системы? Автоматические обновления отключены. Threatcast (центр сообщений Комодо) отключен.
Ответ: This is a known issue, the GUI still checks for updates for language and trusted vendors list.
They will fix this in the next version.
Это известная проблема, GUI продолжает обращаться за языковыми пакетами и списком вендоров. Это будет исправлено в следующих версиях.

Эти ссылки не имеют никакого отношение к проблеме задавшего вопрос ( ivm19651 )
И еще. Посмотрите на год, ??? где вы перевели.
Добавлю к проблеме.
Это еденичные случаи (проблемы) и не связаны с продуктом CIS 5.10-12.
Нужно знать, какие манипуляции происходили в системе и т.д…
Я например пока такого не наблюдал.

Вот скриншоты версии 6.3. Ничего сверхестественного.
Какое отношение имеют к проблеме ваши скрины ???
.....сторонний антивирус - Avira.
Может ...тут что??? Я ее юзал 2 недели, потом пошли проблемы с Comodo FW. Но другого характера. ( Шли разрывы соединения с ISP ) Удалил. Вообщем выяснил. Avira ни при чем. Это ISP. ;)

Ну и что в этих двух ссылках имеет отношение к данной теме?
Попытки обращения к:
91.199.212.132 - secure.comodo.net
и
91.209.196.22 - licenseactivation.security.comodo.com
У меня же вопрос другого характера: что отправляет cmdagent на IP 199.66.201.27 - cima.security.comodo.com, в больших объемах?
Comodo Instant Malware Analysis (CIMA):
Comodo — Википедия
К самой сути сервиса вопросов нет, но зачем без спроса пользователя перекачивать туда сотни мегабайт информации, тем более, что пользователя даже не ставят в известность о характере передаваемой информации?
А вот это уже по теме:
Comodo Internet Security - [131] :: Программы :: Компьютерный форум Ru.Board и далее по тексту
Comodo Internet Security - [242] :: Программы :: Компьютерный форум Ru.Board и далее по тексту

При чем тут Akamai и Microsoft, если речь идет о cima.security.comodo.com? :o

Это заметно…

Поделитесь своими откровениями, и объясните мне, что Comodo передал с моего компа в объеме нескольких сотен мегабайт к себе на базу?
Только не вокруг, да около, а мне нужна точная информация.

Я не обязан всем беззаветно верить, в том числе и Comodo…

P.S. Сетевыми соединениями cmdagent-а сейчас занимаюсь, благо фаервол Comodo в этом смысле беспристрастен (и это здорово, для него нет “чужих” и “своих”). Возможно позже поделюсь своими наблюдениями, в виде правил фаервола.
P.P.S. Все, что делаю - на CIS 5.

в 5 версии нет. будет даже обновляться спокойно. в 6 проблемы с обновлением. Т.е. нужно будет убирать, после обновления обратно. Обновления проходят уже иначе cmdupd > svchost > cmdagent с заходом на майкрософт. Мне непонятно зачем: за сертификатами, за проверкой подлинности винды, за обновлением винды(может тут трафик) или просто проиндексироваться, но без этого обновления не идут. Правда, не вдавался в подробности, утверждать не буду.
Адреса внесены в хостс для того, что бы если вдруг отключу(-ат) фаервол или он багнет, быть уверенным, что файлы не отправятся на серверы Комодо. И я не хочу быть подопытным кроликом не в каких маркетинговых исследованиях.
Защита должна обеспечиваться и без доступа в интернет. Если же для надежной работы нужен постоянный доступ к сети и открытые порты - грош цена таким продуктам. Могу сказать, что CIS работает без интернета нормально, но он туда стремиться попасть любыми способами и без разрешения - это плохо.

По поводу Akamai.net и о Microsoft:
Облачные техрологии, большое количество серверов. Постоянная передача информации о клиенте (то есть о нас) в фоновом режиме. Кроме того постом выше сказано- с заходом на майкрософт. Проведите трассировку маршрута и вы поймёте какая связь между всем эитм. Я этой хренью интересуюсь уже лет 5 если не больше. Анализ трафика делайте снифером. Или спрашивайте разработчика, что в нём. Только никто вам не скажет.
А насчёт анализа еще вот для раздумий.

Выдержка, правда старая, как то охладел давно. Не делал анализа давно никакого.

General Information
Hostname
www.fbi.gov
IP
193.45.3.7
Reverse name
a193-45-3-7.deploy.akamaitechnologies.com
Preferable MX
mx2.prserv.net

Network Information
Имя
AKAMAI
Диапазон адресов
193.45.3.0 - 193.45.3.63
Владелец
Akamai Technologies, Only for co-location, STOCKHOLM
Расположение
AKAMAI Technologies, Inc, 500 Technology Square 2nd floor, Cambridge MA 02139, U.S.A.
Контактная информация
Heather Drake, deployteam[at]akamai.com, +1 6172503677, +1 6172503677

Это только Akamai. Я уже половину логов поудалял за ненадобностью. Ну а теперь подумаем и сопоставим с Comodo. Занимается разработкой технологий безопасности. Сертификаты продаёт. Есть облачные данные. Не соьирать данные о машинах на которых работает ПО-бред. Конечно собирать. С чьего разрешения? Читай лог который я приложил.
Еще раз- лог старый. Кому интересно Whois-те сами. Мне уже надоело. Эта тема повторяется от фаервола к фаерволу. Панда была- там тоже кипиш был такой. Нортон, то же самое. Уж надоело чес.слово
Вот нашел дату 6:09 06.03.2011. У меня всё это в .txt и там много информации, всю не буду выкладывать.И так загрузил…