Comodo и автозагрузка

International Comodo Forums По-русск
#1

Всем привет, много лет устанавливаю сей продукт разным людям. Всё в основном нравится. Не могу понять одного - почему комодо так легко даёт удалить себя из автозагрузки? Это ведь плохо… В результате - много случаев, когда прихожу через год-два по адресу, где уже был и установил cis - на компе комодо нет… Папка есть, но в процессах нет… Это очень плохо. Хороший антивирус не должен разрешить пользователю-другой программе-вирусу выгрузить себя из автозагрузки.

Еще момент. Сегодня удалил очередной блокировщик - SHA256 34fbc5ce199eded87c7acff806df857491910f4022951cd39a6884932e3299bc
Так вот, комодо до сих пор его в базу не внес и соотв не считает вирусом. Год назад я видел другую картину - каспер пропускал блокираторов, комодо ловил. А сейчас наоборот. Печально.

#2

Лаба комодо любит сачковать частенько. Привыкай

#3

Вирус, врят-ли его выгрузит. А пользователь с правами администратора может. Ничего тут думаю странного.
Хотя конечно, не помешала-бы защита от дураков, или ввод капчи например…

Еще момент. Сегодня удалил очередной блокировщик - SHA256 34fbc5ce199eded87c7acff806df857491910f4022951cd39a6884932e3299bc Так вот, комодо до сих пор его в базу не внес и соотв не считает вирусом.
Можешь показать образец?
#4

Я ж хэш выложил… чего еще?))) вирустотал всё покажет!

Вот кстати сегодняшний новый, комодо опять не видит, впрочем как и большинство:
SHA256: d281d600fa5f5bad2c5dbff29f5c0d0344ce368da41934db575cc89faa2f1ea2
Имя файла: VIDEOPORNO.EXE._BA150B852F5B5531B4FECFF8536270F30CFA7FB7
Показатель выявления: 7 / 51
а между тем это блокировщик, могу скрин с его требованиями выложить…

#5

Я не картинки спрашивал. Сам зловред если можно. Коллекционирую, тестирую… :azn:

#6

Я их обычно не храню… Вот вчерашний остался, бери, пароль от архива мой логин…
http://rghost.ru/55910571

#7

Проверил. То что Комодо пока его не детектит, не беда. Проактивка, все равно не дала у меня запуститься банеру. Хотя комп и ушел сам в перезагрузку, но в итоге загрузился и работает нормально. :slight_smile:

#8

Проактивка по умолчанию отключена, так что чел, сам установивший комодо без дальнейших настроек, попал бы…

#9

В последней версии, возмождно.
У меня стоит только фаер от 5.5версии. Самая оптимальная и легкая защита. По умолчанию, проактивка работает, ничего настраивать не нужно(интернет или проактив секюрити профиль). Антивирус тормозящий систему, пришел к выводу - не нужен. Достаточно встроенного облачного антивируса. )

#10

Никуда бы он не попал…
Проверил этот вирус на VirtualBox, WinXP, CIS 7.0.317799.4142, конфигурация по умолчанию “Internet Security”, HIPS отключен, Sandbox - частично ограниченное.
Вреда для системы нет.
Единственное, что он смог сделать - это увести систему на перезагрузку, да создать два зловреда в папке C:\Documents and Settings\Admin\Application Data, которых потом благополучно обнаружил и убил HitmanPro.
К тому же эти файлы уже были “не при делах”.
Так что не стращайте народ… :slight_smile:

#11

Я лично его удалил с заблокированного компа.

http://s52.radikal.ru/i137/1405/f4/c86e1df3af96.jpg

#12

И на компе был установлен CIS?

#13

Нет. Ну и что? Ваша “проверка” тоже необъективна. На зараженной машине была win 7 ultimatum x64, а не хр… Это первое. Второе - мы не знаем механизм заражения, есть только тело вируса. Как тут можно делать выводы?

#14

Как это “необъективна”? Вам и amid525 то же самое сказал.

На зараженной машине была win 7 ultimatum x64, а не хр.. Это первое.
Ну и что?
Второе - мы не знаем механизм заражения, есть только тело вируса. Как тут можно делать выводы?
Включите HIPS, отключите песочницу, и во всплывающих алертах Вам станет понятен механизм заражения. :) Только на запросы HIPS - отвечайте "блокировать", кроме запуска файла explorer-ом. Потом можете проанализировать журнал проактивки.
#15

Уже детектит обл. сканер Комодо этот винлок после запуска. Система, уже не уходит сама в ребут.
Полностью удалить, предлагает при перезагрузке. Сомодо фаер 5.5 xp

#16

Я, может, путаю чего (тогда пусть меня вежливо поправят 88) ). Но из автозапуска убирается же только оболочка cistray? Она нужна по большому счёту чисто для диалога с пользователем. Сама защита заложена в системной службе (Comodo Internet Security Helper Service вроде как называется). Пока она работает - основные функции выполняются. Конечно, и её можно отключить. Пользователю с правами администратора. Если зайти в панель_управления/администрирование/службы. Но не каждый дурак об этом знает, и вообще это вполне нормально, что админ может службу отключить =)
По факту, сам лично сталкивался с таким случаем, когда комодо видел во взломанном/патченном файле какую-то угрозу и не давал установить. Пробовал отрубить этот самый cistray (его, кстати, и помимо автозапуска можно выключить тыкнув по иконке в тре ПКМ и выбрав “выход” ;D ), файл всё равно блокировался. Помогало только именно отрубание службы (и то, по-моему, с последующим ребутом ??? ).
Так что автозагрузка ничего не решает ;). Особенно, если в настройках HIPS поставлена галочка “Блокировать неизвестные запросы, если приложение не запущено” (эта функция, правда, не является желательной при штатном режиме работы CIS :slight_smile: ).

#17

Все верно сказал.

#18

Опять комодо дремлет. У зловреда цифровая подпись LLC ITC

#19
  1. Помимо LLC ITC файл подписан самим Комодом:
LLC ITC [b]COMODO Code Signing CA 2[/b] UTN-USERFirst-Object USERTrust
, а доверенные файлы антивирусный модуль Комода не проверяет; 2. Большинство детектов - эвристик, т.е. - неоднозначный детект; 3. промахнулся с темой - при чем тут [b]Comodo и автозагрузка[/b]? [url=https://forums.comodo.com/av-false-positivenegative-detection-reporting-b154.0/]Более подходящая тема[/url]