Помогите понять для чего приложение aepdu.dll настойчиво просит соединения с интернетом.Вроде бы библиотеки не должны этого делать?Загрузить для проверки на VirusTotal не получается,через выгрузку файла сайт его не видит(проверял и на другом ПК).Comodo признаёт это приложение как безопасное.
Win 8 PROx64.
[attachment deleted by admin]
velkovit
Гляньте вложение. Может какой адресок пригодится )
[attachment deleted by admin]
Загрузить для проверки на VirusTotal не получаетсяСкопируйте файл на рабочий стол и с него загрузите на VT.
Результат тот же,сайт его не видит.
Спасибо,получить результат удалось
отчёт
Эта библиотека признаётся системным и при этом безопасным файлом,но вопрос остаётся-что ей делать в интернете?
aepdu.dll - Средство обновление данных по совместимости программ (без GUI)
Конектится к 65.52.98.7 (watson.telemetry.microsoft.com:443)
Смотрите настройки системы…
Ну все нормально в отчете все пункты в норме.Можно значит и заблокировать.И в проактивной тоже.
Имя файла мне известно,но вот здесь приложения с расширением dll нет,а тут описание.
В настройках CIS для HIPS выбирал функцию создавать правила для безопасных приложений,но вопрос остаётся-библиотека просит доступ в интернет!
Я же тебе говорил-мое мнение,это не исполняемый.По крайней мере в том понятии в котором понимают исполняемые(запускаемые пользователем или приложением).
Очень похоже на червяка.Вопрос как он ваще в проактивке правило создает.
Некоторые системные библиотеки Windows (dll), и не только они, требуют создания правил для проактивки. Например: hotplug.dll, wininet.dll, newdev.dll и другие. aepdu.dll имеет ЦП, 65.52.98.7 - адрес Майкрософта, бояться не стоит. У меня та же история и я спокойно разрешил ей (aepdu.dll) доступ в инет.
По поводу создания правил в проактивке спорить не буду,но как не имея исполняемого файла приложение может исполниться и просить доступ в интернет?В KillSwitch отображаются все процессы выполняющиеся на ПК,выполнения процесса приложением dll там нет!На форуме Windows также в недоумении,грешат на ошибки в детекте Comodo!
Как может не исполняемый файл чего то требовать?Никто и не боится,просто этот вопрос давно уже созрел(перезрел)
Ну исполняемый там файл наверняка есть, а вот почему так сделали разработчики я не знаю. Возможно что у этих библиотек один и тот же исполняемый файл, но разрешения проактива при работе с этими библиотеками могут быть противоположные и чтобы как то отделить мух от котлет пошли на этот шаг.
Во время сканирования проактивка проверяет все приложения и файлы и принимает решение о создании правил для них,но всё это не снимает главного вопроса-о выходе в интернет.Однозначно-библиотека сама по себе не может создать процесс для подключения к интернету.Как определить какая программа используя библиотеку выполняет запрос на соединение с инетом?
Я предполагаю, что с помощью Process Monitor это можно узнать.
Спасибо,Fyord!
Проблему решал при помощи программы ProcessMonitor.Во время появления извещения о попытке соединения с интернетом для приложения с расширением dll,проследил полный путь.Так вот побуждающим исполняемым файлом является svchost.exe,который использует библиотеку для отправки отчёта о совместимости программы на нужный сайт.
Думаю проблема находится в неправильном определении CIS 6 процесса инициирования доступа в интернет для svchost.exe,как то так.
Далее в тему-процесс cis.exe также использует приложение portabledeviceapi.dll для отправки сведений. описание.
Народ тут все как то отвлеклись.Вопрос конкретно вот в чем.Библиотека как пррложение не может проситься в интернет.Так по крайней мере утверждают здесь.
Поэтому вопрос каким образом могло появиться это сообщение?Либо такого запроса не существовало(нет запущенного процесса,нет и выхода в сеть) либо откровенная лажа со стороны комодо(выдает процесс за библ),либо зловред.Если захера комодо,то вопрос серьезный.
Чуть не успел…В таком случае комодская лажа.Пусть исправляют.
Некорректное детектирование CIS 6.0
Если взять за основу,что приложение с расширением dll не может самостоятельно исполниться и просить разрешения на доступ с интернетом,то вот что получается.
Windows 8 PROx64
CIS 6.0.264710.2708
Настройки:
Конфигурация → Internet Security с активированным HIPS
Защита+ → Безопасный режим+Создавать правила для безопасных приложений.
Фаервол → Пользовательская политика.
При использовании CIS проактивка определила и создала правила для нескольких библиотек
http://i057.radikal.ru/1302/6f/efb6e75dd076.jpg
В различное время появляется оповещение от фаервола на соединение с интернетом(для примера WSClient.dll описание)
http://s017.radikal.ru/i436/1302/31/6f0e90aeeb76.jpg
Comodo определяет это приложение как безопасное и советует разрешить.Но так как не зная какой исполняемый файл использует эту библиотеку для выхода в интернет большинство пользователей заблокируют данное действие(из-за подозрений в его вредоносности).Но если попробовать вычислить этот исполняемый файл,то при помощи сторонних утилит получаем на выходе или cis.exe(как в данном случае),или cmdagent.exe ,а эти процессы вероятно блокировать не стоит.
http://s47.radikal.ru/i118/1302/85/fde351c4a7dd.jpg
Значит мы имеем явную ошибку CIS 6.0 в детектировании процесса для библиотек при их выходе в интернет!
Для остальных видов приложений dll используются исполняемые файлы ОС Windows,но их появление можно прекратить не блокируя фаерволом.
Разработчикам Comodo,ИМХО,необходимо это учесть.
Во-первых, как мне кажется, вы неправильно интерпретировали результаты Procmon-а. Процесс cis.exe можно так сказать просто “обнюхал” WSClient.dll, а не пытался выйти через него в сеть.
Второе: WSClient.dll библиотека Microsoft, лезет на Akamai, куда часто лазает svchost, будем считать там их “база”(Microsoft-а).
Так что это обычное поведение компонентов Microsoft-а.
Я пытался объяснить свойства данного соединения,а в алерте от фаервола ясно указана библиотека как приложение,а никакой другой файл.Вот если бы был указан svchost.exe-то и не возникало бы ни каких претензий.
Отображение процесса
[attachment deleted by admin]
