Win 7 x86
Comodo Internet Security 8.0.0.4344
Время от времени процессор загружается на 100%. В основном за счет cavwp.exe. Что делать?
Спасибо большое за инструкцию.
Есть вопрос по поводу Auto Sendbox-a, по нему сказано:
Как только окно сканирования закроется, еще раз посмотрите на главное окно CIS. В разделе Авто-Sandbox (Auto-Sandbox) щелкните левой кнопкой мыши по тексту Частично ограниченное (Partially Limited). Появится ниспадающее меню. В нем я советую вам выбрать Недоверенное (Untrusted). Этот уровень даст вам защиту от почти любого вредоносного программного обеспечения, о котором я знаю, включая ransomware.
В последних версиях этого нет. А есть правила, которые можно включить в зависимости от репутации приложения.
Вопрос: как добится того-же результата и какие настройки для этого сделать в данной последней версии?
Заранее спасибо!
zevekar
В последней (8.0 … 8.1) версии настройки автопесочницы изменились. Подробное описание можно найти на CIS 8: Автоматическая песочница (Autosandbox) - Блог Comodo
Разбирался с песочницей, интереснейшая технология, но возникла неполадка:
добавил приложение в доверенные, оно перестало загружаться с зелёной рамкой. Захотелось повторить процесс, понаблюдать как подозрительное приложение ради продуманной защиты запускается сначала в виртуализации. Но как я не пытался, приложение осталось как бы доверенным. Удалял приложение откуда только удавалось его найти в настройках CIS, но нет, зелёная рамочка так и не появлялась. Несколько опасная ситуация, в случае, если действительно вредоносное приложение пользователь случайно добавил в доверенные.
Также заметил что в разделе Auto-Sandbox поиск не работает вообще. Так только у меня? А еще в этом разделе нельзя менять ни ширину поля, ни его положение…
Испытываемое мной приложение заведомо безопасное, это всего лишь night-билды известного проекта…
Спасибо.
“Рейтинг файлов - Доверенные файлы” проверял?
Их там много. Поиск показывает что нужное отсутствует… а как удалить всё? Там нету галочки “выделить всё”
А зачем удалять все?
Посмотри также в списке “доверенные поставщики”. Если у файла есть актуальная ЭЦП, то поставщик этой ЭЦП мог туда добавиться.
Ну потому что поиск считает что нужного приложения там нет… Попробую что уж “наверняка”.
Блин… оно не до конца удалилось ://
Посмотри также в списке "доверенные поставщики". Если у файла есть актуальная ЭЦП, то поставщик этой ЭЦП мог туда добавиться.Добавил в доверенные чтоб посмотреть название поставщика. В разделе "Доверенные поставщики" нет совпадений..
…
UPD.
Блин... оно не до конца удалилось ://Т.е., нашел "хвосты" в доверенных?
Нет. Нашёл галочку “выделить всё, каждый пункт”. Выделил. В теории же должен удалиться каждый элемент? Но такого случается, элементы остаются. Удаляю снова. Может они быстро добавляются автоматически? Видимо так и есть. Повторил удалить каждый элемент из Доверенных несколько раз. В списке приложение не нахожу. По-прежнему запускается без зелёной рамки.
А вы у себя пытались повторить этот опыт? Ссылка на приложение (там папка win32/win64 и там любой билд или последний по дате)
Очистил всё из доверенных поставщиков, не повлияло… Попахивает баг-репортом…
Таким же энтузиастам как я: TeamViewer ID 724 624 455
А твоя программка, случайно, не стала определяться, как безопасная, облаком?
Там несколько другая ситуация: при изменении доверенного файла добавляется новая запись, с актуальным хэшем, но старая не удаляется. Соответственно, когда удаляешь последнюю запись - “всплывает” предыдущая. По сути это - косяк.
Ну можно попытаться отключить облако. Или уже не поможет?
Либо можно продолжить опыты с чем-нибудь еще, что заведомо точно не попадет в облако, например ■■■■■, keygen и т.д…
Я уж просто перестаю понимать этот антивирус… неужели keygen тоже стал доверенным? Я удаляю тупо все приложения из всех разделов, пытаюсь привести антивирус к состоянию будто он только секунду назад установился в систему… Но он всё равно без проблем запускает этот файл и добавляет ему правила в HIPS… Так можно подумать что у меня и вовсе защиты теперь нету о.О
Вроде удалось что-то настроить… Комодо сообщает что опасное приложение запущено виртуально, правда рамки не видно, словно я в настройках снял соответствующую галочку об отображении зелёной рамки. А когда в приложении тыкаешь EXIT - появляется прощальное окошко но уже с рамкой.
Почистил ну вообще всё что смог найти. Даже в Firewall удалил всё. И отключил облако. Но avidemux запускается как доверенное приложение.
Зачем тебе правила в хипсе? Сними флажок. В безопасном режиме хипса при наличии правил приложение не мониторится.
Комодо сообщает что опасное приложение запущено виртуально, правда рамки не видно, словно я в настройках снял соответствующую галочку об отображении зелёной рамки.
На некоторых окнах рамка не отрисовывается.
Почистил ну вообще всё что смог найти. Даже в Firewall удалил всё. И отключил облако. Но avidemux запускается как доверенное приложение.
Где-то ты с настройками нахимичил.
Я туда эти правила не заносил, только если CIS сам не спрашивал о чем-то и тогда я подтверждал разрешение на запуск приложений.
Какой снять флажок?
Что за безопасный режим? В систем трее у меня Режим обучения.
Где-то ты с настройками нахимичил.Я настраивал только порты в Firewall, который блокировал приём IPTV.. Если я удалю и заново установлю CIS и продолжу опыт - можно ли тогда считать опыт "чистым"? То есть все настройки будут по-умолчанными. Я открою приложение с неизвестным рейтингом, оно должно АВТОМАТОМ запуститься виртуально.. затем удалю это приложение из доверенных и из sandbox и оно снова должно автоматом запускаться в зелёной рамке. Правильно?
Подтвердил с запоминанием - получил запись в хипсе.
Какой снять флажок? Что за безопасный режим?См. аттач.
Я открою приложение с неизвестным рейтингом, оно должно АВТОМАТОМ запуститься виртуально.. затем удалю это приложение из доверенных и из sandbox и оно снова должно автоматом запускаться в зелёной рамке. Правильно?Правильно, но, если тебе нужна "чистота эксперимента", на время испытаний отключи облако.
[attachment deleted by admin]
Ребят, а как в Comodo Firewall дать какому либо приложению полный доступ ко всему, просто чтобы Firewall игнорировал все действия приложения? Что то он пристал к браузеру Chromium и при открытии каждой вкладки, фото и т.д. спрашивает что делать. Блокировать или разрешить. Надоело. В список разрешенных приложений внес, пробовал жать на “Обработать как” и там указать на “Разрешенное приложение” Он все равно никак не отстанет от этого Хромиума.
hunter_t1000
HIPS в каком режиме?
Безопасный режим.
HIPS настройки такие… ничего там не менял, не было мотивации к этому… Отключить облако - это же снять первую галку в разделе Настройка рейтинга файлов?
Переустановил, изменения есть. Использовал этот дистрибутив, надеюсь, не сильно отличается от этого. В настройках установки снял три галки: DNS, облако, отправлять статистику. На что влияет вторая галка? После установки опции программы выглядели так:
Убрал все галки в этом разделе и, возможно, это принесло положительные результаты опыта: добавляем приложение в довер. - рамки нет. Убираем приложение из довер. - рамка есть. Однако при включенном облаке приложение становится доверенным “навсегда” или до тех пор, пока облако не будет вновь отключено. Или может где-то в CIS есть дополнительный список доверенных, где сидит это приложение не смотря на его отсутствие в основном списке Доверенных.
Можно ли объяснить логику срабатывания? Если Облако CIS считает приложение доверенным (анализирует и сравнивает хеш-суммы нужных файлов) - тогда зачем оно как бы намекает что приложение небезопасное и запускает его в виртуале? Тогда зачем предлагает пользователю принять непростое решение: отнести ли приложение к доверенным или не относить? И если пользователь принял решение и вдруг решил что оно неверное… Назад шагу нет? Приложение начинает запускаться БЕЗ виртуализации до тех пор, пока не снимешь галочку Облачной проверки (напомню, что исключение из доверенных при включенной облачной проверке - не влияет). По-моему, срабатывание странное.
Подскажите, можно ли менять статус сетей, например из рабочей в общественную, либо можно их вообще удалять, делать нейтральными? И как отменить действие галочки “не обнаруживать новые сети” если её случайно поставил? Как сделать чтобы это окошко вновь появилось при обнаружении сети? http://cdn.comss.net/img/comodo/2014-09-06_020441.png Помогает опция Импорт конфигурации, но это уж слишком радикальный метод.
После всех манипуляций из этой статьи (раздел Статус «доверенной сети») максимум чего я добился это появление сети “Ethernet” в разделе настроек “Сетевые зоны”. Если её удалить - она иногда возвращается, иногда нет. От чего зависит, не понятно. Но это окошко по-прежнему не появляется…
От чего зависит смена названия сети в этом окошке? http://i.snag.gy/vWgXA.jpg
Спасибо.
