Как вылечить издевательство проактивной защиты?

Долго в словах описывать-заснял специально на видео этот шедевр:
http://vkontakte.ru/video_ext.php?oid=-10298951&id=158837665&hash=00a6ac4134a75055&hd=1"%20width="607"%20height="360"%20frameborder="0"
Windows XP SP3 со всеми заплатками, Comodo Firewall последней версии.
Кто-нибудь сталкивался с подобным? Как избавиться от назойливости такой? Снять галочку в проактивной защите не предлагать!

Опишите лучше в словах.

добавляю определенный файл в доверенные. комодо забывает и снова блокирует его.

Какой “определенный файл”? Откуда он берётся? Что в данном случае означает “блокирует”? В каком режиме Defense+? В каком режиме песочница?

все на видео наглядно показано.
файл PowerDVD
берется из папки, куда установлен
Defense+ в режиме “Безопасный”
песочница в режиме автоблокирования неизвестных файлов. правда после их занесения в доверенные, они не блокируются, а файл PowerDVD блокируется постоянно.

Fox, у Вас на “видео” ничего “наглядно” не показано. Ни полных путей к файлам, ни какой конкретно объект блокируется. Ни включен или нет анализ командной строки в Defense+. Почему Вы считаете, что кто-то станет ковырять глаза в этом Вашем “видео” и гадать, что там не так, если Вам самому лень описать проблему как следует?

полный путь к ФАЙЛУ
http://img529.imageshack.us/img529/7650/36602149.png
заблокированный объект (да-да, все тот же файл из того же видео)
http://img196.imageshack.us/img196/4197/72255577.png
розовеньким цветом отмечена нужная информация.

проблема в определенном файле, а не масштабная. то есть комодо не может добавить в доверенные ТОЛЬКО ОДИН ФАЙЛ. ТО ЕСТЬ ОСТАЛЬНЫЕ ДОБАВЛЯЕТ. причем тут анализ командной строки в Defense+?

Нет, ну Вы нарочно что ли? Какая информация отмечена “розовеньким”?
c:\documents and settings\nikolay\cyberlink powe…что? Создан 02.01… Вы его только что поставили? Почему в “Documents and Settings”?

При том, что Вы запускаете его (кого?) с параметром. Вы не на плеере щелкаете “открыть”, а на “IFO” (или что-там) файле.

папка, в которой находится файл.

наверное потому, что я туда установил? не?

считайте, что это файл для запуска плеера. ибо с ним так же себя ведет.

Я Вас просил показать полный путь к блокируемому файлу. Весьма желательно - в обоих случаях. А не многоточия. Это понятно? не?

Я вообще ничего “считать” и “гадать” не собираюсь. Вас просят предоставить информацию по проблеме. Не хотите? Разбирайтесь сами, только и всего.

Уважаемый Fоx!

Пожалуйста оформите топик надлежащим образом - Руководство по оформлению топиков!

Прошу Вас впредь не создавать такие названия топиков: Как вылечить издевательство проактивной защиты?. Пока проблема не решена, еще неизвестно кто(что) над кем издевается… D+ над Вами или “непонятно какой файл” над Вами(который возможно постоянно изменяется)

C:\Documents and Settings\Nikolay\CyberLink PowerDVD Ultra v10.0 PORTABLE 10.0.2325

информацию я предоставил. сейчас дополню.
разбираться с багами-головная боль разработчиков, а не пользователей.

прямо по пунктам иду (наплевать, что половину в моем случае не надо выполнять)
I.+
II.+
III. а) ++
б)

http://img842.imageshack.us/img842/5403/43666716.png

http://img46.imageshack.us/img46/4741/82669453.png

http://img710.imageshack.us/img710/7119/53942276.png

http://img141.imageshack.us/img141/4807/63572963.png

 в) отключение автоблокировки неизвестных приложений решает проблему, но данная функция необходима, поэтому не вариант.

IV. +

а что это по-вашему? обычное дело? докатились-фаерволл не может добавлять доверенные файлы. тогда какой это фаерволл? есть фаерволлы, а есть комодо? ???

Вот с этого “portable” и надо было начинать. Только в песочницу, 100%, попадает не этот файл, а тот, который он из себя выкручивает. И куда “тот” файл попадает, вот это и надо смотреть

Вообще-то здесь все такие же пользователи…

Вообще-то пока всё идёт к тому, что CIS в точности выполняет то, для чего и предназначен. Так что сарказм пока не понятен.

но ведь ругается-то только на этот файл, а не на выкручиваемый.

http://img545.imageshack.us/img545/2314/32298646.png

я его перемещаю в доверенные. затем еще раз запускаю, в доступе отказано и ТОТ ЖЕ файл попадает опять в неизвестные, как на скрине выше.

разработчики в соседней ветке сидят, но там пока тишина. забыл указать.
https://forums.comodo.com/firewall-help-cis/comodo-firewall-blocked-powerdvd-2010-t67331.0.html

о да, не запоминает те файлы, которым пользователь trusted дал.

Fox, Вы понимаете, что для того, чтобы говорить, что это тот же файл нужно убедиться, что его содержимое во всех случаях одно и то же? А мы с Вами пока даже сам файл найти не можем потому, что Вы всё время показываете обрывки пути к нему с многоточиями. Даже там, где Вы наконец “признались”, что это “portable”, имени файла всё равно не видно. Вы можете хотя бы окно вытянуть вот так:

http://img403.imageshack.us/img403/8508/dfw456e45y.th.png

чтобы хотя бы полный путь к файлу узнать? Или сами найдете и хэш-суммы для каждого раза с них снимете?

P.S

Я вообще не понимаю, как можно списать с народа.ру вот такую дрянь:

http://img227.imageshack.us/img227/6760/ertw34634635.th.png

(обычная реакция CIS на неизвестную малварь, кстати)
Упакованую Xenocode (который вообще непонятно, что с экзешниками творит, не разбирался да и неинтересно даже), даже не запускающуюся на виртуалке (по крайней мере) и не то, что пытаться её из всех сил запустить, так ещё и топать ногами не только на CIS, который этому всячески препятствует, как и должен, так ещё и на весь белый свет…

Нужно сказать отдельное Спасибо ntoskrnl, что не поленился скачать 90 метров файла и проверить его. По всей видимости это обыкновенный вернее необыкновенный полиморфный червь, который изменяет файл при каждом к нему обращении и плодит ещё неизвестно чего в системе.


Вот еще один пример того, как [b]не нужно[/b] создавать топики:

В начале вопрос “ни о чём”, без информации для размышления, с руганью на продукт, который исправно, должным образом выполняет свои функции. Затем недовольство форумчанами, которые задают вопросы, чтобы помочь старттоперу разобраться с проблемой…

Что это? “Криворукость” или “толстолобость” пользователя, который не удосужился даже изучить принцип работы фаервола? Компрометация продуктов от Comodo перед общественностью?

Пусть этот топик останется на совести автора…

SerB, да в данном случае это может даже и не червь, просто Ксенокод это очередная “переносилка”, а эти переносилки есть относительно “честные”, которые просто раскрутят из себя файлы куда-нибудь и больше их не трогают, а есть такие, как в данном случае, которые складывают в %APPDATA% какие-то огрызки экзешников и потом то ли их каждый раз пересобирают, то ли перевыкручивают, подменяют полный путь к имиджу процесса, якобы это всё запущено из “програм файлз”, хотя их там даже не было никогда и т.д. Вот такая же тема: http://forums.Comodo.com/10551086108810911089108910821080-russian/eth�ethfrac34ethsup2ethmicron�ethmicroethfrac12ethfrac12n�ethmicro-n�ethdegethsup1ethraquon�-t67114.0.html Плюс “народру”, плюс (естественно) отсутствие подписи. Там внутри может быть всё, что угодно. У меня эта белиберда вообще не захотела работать, может детектит виртуалку (ещё один “плюс” к ней), само собой, что на рабочих машинах я это никогда в жизни запускать не стану, может вообще не работает. Ну зачем вообще такую пакость на компе держать? Просто я, честно, не понимаю, зачем ставить какую угодно систему безопасности и потом бить её по рукам, когда она честно выполняет свою работу. С учётом золотого правила: “если кто-то из нас двоих (включая систему безопасности) в некоем файле не уверены - выбрасывать без всякого сожаления”. Ладно бы, какая редкость была, а то двд-плеер, вот уж прям проблема PowerDVD найти без таких фокусов.

стоп. сейчас все разъясню:

по всей видимости, это обыкновенная переносная программа
http://rutracker.org/forum/viewtopic.php?t=2959659
будут там червей раздавать, конечно.

я думаю, что это криворукость проактивной защиты, которая не удосужилась добавить файл в доверенные, не смотря на все просьбы пользователя.
еще теорию заговора прикрутите к теме ;D

чтобы окончательно развеять сомнения я скачал еще раз оригинальный файл программы, сделал его копию и запустил его (без комодо, естественно). хэш запущенного файла (слева) и его нетронутой копии (справа):

http://img547.imageshack.us/img547/2677/66470250.png

сравнение хэша запущенного и нетронутого файла:

http://img695.imageshack.us/img695/4335/64513584.png

а ваши оскорбления-на вашей совести.

просто это единственный плеер, который открывает DVD-файлы на моем ПК под любой записью пользователя. Klite+WMP открывает 50%, MPKlassic-под администратором открывает все, под ограниченной записью-только звук слышно. TheKMPLayer вообще в ошибках вылетает. от безысходности, наверно.

В принципе, могут. Почему бы и нет? :smiley:

Fox, дело в том, что в данном случае даже этого недостаточно. После того, как удалось получить “объект”. Вполне очевидно, что ксенокодные процессы самомодифицируются уже в памяти. По всей видимости, CIS отслеживает и это, хотя это нигде и не документировано. Я, повторяю, не разбирался с этим пристально (абсолютно не хочется ковырять эту ерунду в отладчике, тем более, что вряд ли я там увижу что-то новое), но уже того факта, что он подменяет пути к файлам процессов, вполне достаточно, чтобы говорить, что, фактически, эта прога - минимум юзермодный руткит. Во всяком случае мнение GMER’а по этому поводу однозначно:

http://img690.imageshack.us/img690/884/windowsxpprofessional20g.th.png

Вам нужны такие программы? В любом случае, лично я здесь могу только поаплодировать CIS’у.

Мне кажется, что в данном случае стоит искать первопричину такого поведения. Или, по крайней мере, поискать нормальный PowerDVD, без подобных закидонов. Где искать, думаю, Вы знаете. :wink:

Так, будем разбираться…

Во-первых: За одни такие высказывания, как:

Как вылечить издевательство проактивной защиты?
тогда какой это фаерволл? есть фаерволлы, а есть комодо?

к тому же, - ненадлежащее оформление топика, который вносит путаницу в рассматриваемый вопрос и дискредитацию программы разработчика в названии темы, в нарушение установленных Правил оформления топиков;
к тому же, - вызывающее обращение с форумчанами, которые стараются Вам помочь в решении, заметьте, Вашей проблемы…
к тому же, - наплевательское отношение к замечаниям модератора форума -

прямо по пунктам иду (наплевать, что половину в моем случае не надо выполнять)

Вам, как минимум, - в ответ на Ваш вопрос, полагалось бы молчание форумчан,а максимум - бан на форуме за поведение

P.S. Пойдите на другой форум разработчиков программного обеспечения и позвольте там голословно высказаться, что их продукт дерьмо. Посмотрите, что получиться… Ваши эмоции здесь никому не нужны! Тем более, если Вы хотите найти поддержку на форуме.

Во-вторых:
Так как Вы не можете внятно изложить суть вопроса, а вопрос затрагивает честь фаервола от Comodo :D, так как

тогда какой это фаерволл? есть фаерволлы, а есть комодо?

то будем разбираться с вашим исполняемым файлом - плеером PowerDVD…

Наконец то узнав суть проблемы, спустя десяток бессмысленных сообщений с пререканиями, что это исполняемый файл PowerDVD.exe - портабл версия плеера, скомпилированный в контейнер программой типа Xenocode,Thinstall, который запускает программу на исполнение в виртуальной среде
PowerDVD.exe добавляется в Доверенные, но тогда программа не запустится, если Вы в Настройках контроля исполнения приложений Проактивной защиты установите “Обрабатывать неопознанные файлы как заблокировано”, ведь он(PowerDVD.exe) каждый раз при запуске эмулирует кучу неопознанных фалов для работы программы в виртуальной среде(а они заблокированы), которые исчезают после закрытия программы PowerDVD. Они не могут быт добавлены в доверенные, вернее добавлены могут, но не могут быть сохранены, так как их после закрытия программы на компьютере просто нет!
Если выставить “Обрабатывать неопознанные файлы как частично ограниченные” программа запускается без проблем, но Вас этот вариант не устраивает…

Так в чём фаервол работает неправильно и “издевается” над Вами??!

И ещё, зря Вы думаете, что портабл версии программ сделанные Ксенокодом не оставляют следы в системе… а какие и зачем, можно узнать только у “создателя” вашего шедевра… и может там быть что угодно, от руткита и до… ничего :smiley: