Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Guida all'uso dei Programmi (https://www.hwupgrade.it/forum/forumdisplay.php?f=122)
-   -   Kaspersky Int. Secur.6.0 [OFFICIAL THREAD] (https://www.hwupgrade.it/forum/showthread.php?t=1165383)


Wip3out 13-07-2006 21:15

In arrivo A B e C.
Se la prima regola è di bloccare B e l'ultima è di far passare tutto vai tranquillo che B non passa.

Se sei in ascolto sulle porte 1 2 e 3 e la prima regola ti dice che il mulo non deve accettare il dato A e C dalla porta 2 e l'ultima regola dice di accettare tutto A e C possono passare sulle porte 1 e 3 ma non dalla 2.

Questa è una delle funzioni che maggiormente apprezzo del FW di KIS. Secondo me permette di creare delle configurazioni SPETTACOLARI se uno ci sa fare. Ricordo che funzionamenti di questo tipo sono molto cari agli utilizzatori di Look'n'Stop ;)

GogetaSSJ 14-07-2006 00:50

Credo di aver capito, quindi in definitiva serve se voglio tentare di bloccare qualcosa che già ho in mente per poi permettergli tutto il resto.
Quindi (riprendendo l'esempio di emule) come potrei configurarlo? Permettere tutto alle applicazioni + conosciute oppure no?

codaxo 14-07-2006 10:36

ciao a tutti,
ieri durante una scansione il kav mi ha rilevato che l'eseguibile di process guard
procguard.exe era infettato con la variante di questo virus:
Packed.win32.PePatch.dk
Io credo sia un falso positivo e gli ho detto di non disinfettare
Ora se gli faccio analizzare quel file da solo (ci clicco col destro e faccio scansiona con Kav) non trova niente.
lo fa perchè è davvero pulito o siccome gli ho detto di nn disinfettarlo all inizio ora anche se c'è il virus non lo vede più?
ammetto la mia ignoranza.
grazie mille

riccardosl45 14-07-2006 10:46

Ma è più leggero KAV 6???

A me rispetto al 5 non sembra... :confused:

nV 25 14-07-2006 10:59

Quote:

Originariamente inviato da Wip3out
... Ricordo che funzionamenti di questo tipo sono molto cari agli utilizzatori di Look'n'Stop ;)

Posto che è corretta anche la spiegazione antecedente a questo estratto che ti vado a quotare, aggiungo:

"cari agli utilizzatori di Look'n'Stop, Jetico, Comodo 2 (tanto per fare qualche altro nome...) e a tutti quegli altri Fw (pochi, invero... :p ) che realmente hanno un funzionamento da packet filtering".

Sai qual'è la carenza + madornale di KIS rispetto a LnS o Jetico, tanto per fare 1 es.? ( e da qui il fatto che, pur facendo in modo eccellente il proprio lavoro, l'utente "più smaliziato" possa voler guardare altrove?)

il fatto che non c'è modo di esercitare un controllo profondo sui flags dei pacchetti del protocollo TCP, tanto per fare un esempio... :muro: ( es: voglio escludere particolari combinazioni di Flags... )
Ok, dirà qualcuno:
certe combinazioni ( FIN Flag, XMAS, NULL Flags ) sono inserite nel motore IDS e riconsciute quindi come Port Scan....
Cmq sia mi da ugualmente fastidio non poter avere a disposizione questa possibilità....

IDEM se il discorso lo spostiamo sui protocolli non propriamente preposti al trasporto di dati (UDP, ICMP....): 0, dico ZERO (caz@o!!) possibilità di intervenire sui parametri.... :muro:
L'ICMP, poi, per come è impostato il KIS, consente di lavorare solo sul tipo ma non sul codice.... :mbe: :rolleyes:

In conclusione, cmq: KIS inteso come Antihacker fà egregiamente il proprio lavoro. :)

L'MP1 poi dovrebbe risolvere molte altre lacune (anche se non propriamente queste che ho descritto poc'anzi), quindi direi che c'è da essere sempre + fiduciosi su questo prodotto.... :p

nV 25 14-07-2006 11:03

Quote:

Originariamente inviato da codaxo
ciao a tutti,
ieri durante una scansione il kav mi ha rilevato che l'eseguibile di process guard
procguard.exe era infettato con la variante di questo virus:
Packed.win32.PePatch.dk

KAV si è bevuto l'impossibile :hic: :D

PS: da quello che ho letto sul forum uff di kav, segna (erroneamente) come invaders anche l'EXE di System Safety Monitor... :D

Insomma, sei di fronte ad un bel FALSO POSITIVO... :)

Togli il fiasco al Kav! ;)
:D

ekerazha 14-07-2006 11:56

Quote:

Originariamente inviato da codaxo
ciao a tutti,
ieri durante una scansione il kav mi ha rilevato che l'eseguibile di process guard
procguard.exe era infettato con la variante di questo virus:
Packed.win32.PePatch.dk
Io credo sia un falso positivo e gli ho detto di non disinfettare
Ora se gli faccio analizzare quel file da solo (ci clicco col destro e faccio scansiona con Kav) non trova niente.
lo fa perchè è davvero pulito o siccome gli ho detto di nn disinfettarlo all inizio ora anche se c'è il virus non lo vede più?
ammetto la mia ignoranza.
grazie mille

PePatch è un runtime packer... probabilmente KAV non supporta ancora l'unpacking di PePatch (nonostante sia l'indiscusso leader in questo campo) e quindi lo segnala "preventivamente" come virus (NOD32 è impareggiabile in questo tipo di falsi positivi). Quindi hai buone ragioni per pensare che sia un falso allarme (che probabilmente risolveranno presto... se non è già stato risolto).

satanaxe 14-07-2006 12:06

mi passate la patch ITA?
oppure da dove si carica? grazie!
p.s. hanno risolto il bug della lentezza infinita della scansione?

lucadue 14-07-2006 12:57

Quote:

Originariamente inviato da satanaxe
mi passate la patch ITA?
oppure da dove si carica? grazie!
p.s. hanno risolto il bug della lentezza infinita della scansione?

email in pvt e te la mando ;)

iannu 14-07-2006 14:03

Quote:

Originariamente inviato da satanaxe
mi passate la patch ITA?
oppure da dove si carica? grazie!
p.s. hanno risolto il bug della lentezza infinita della scansione?

quale patch scusate?!?!!? :confused:

Wip3out 14-07-2006 14:30

Quote:

Originariamente inviato da nV 25
Posto che è corretta anche la spiegazione antecedente a questo estratto che ti vado a quotare, aggiungo:

"cari agli utilizzatori di Look'n'Stop, Jetico, Comodo 2 (tanto per fare qualche altro nome...) e a tutti quegli altri Fw (pochi, invero... :p ) che realmente hanno un funzionamento da packet filtering".

Sai qual'è la carenza + madornale di KIS rispetto a LnS o Jetico, tanto per fare 1 es.? ( e da qui il fatto che, pur facendo in modo eccellente il proprio lavoro, l'utente "più smaliziato" possa voler guardare altrove?)

il fatto che non c'è modo di esercitare un controllo profondo sui flags dei pacchetti del protocollo TCP, tanto per fare un esempio... :muro: ( es: voglio escludere particolari combinazioni di Flags... )
Ok, dirà qualcuno:
certe combinazioni ( FIN Flag, XMAS, NULL Flags ) sono inserite nel motore IDS e riconsciute quindi come Port Scan....
Cmq sia mi da ugualmente fastidio non poter avere a disposizione questa possibilità....

IDEM se il discorso lo spostiamo sui protocolli non propriamente preposti al trasporto di dati (UDP, ICMP....): 0, dico ZERO (caz@o!!) possibilità di intervenire sui parametri.... :muro:
L'ICMP, poi, per come è impostato il KIS, consente di lavorare solo sul tipo ma non sul codice.... :mbe: :rolleyes:

In conclusione, cmq: KIS inteso come Antihacker fà egregiamente il proprio lavoro. :)

L'MP1 poi dovrebbe risolvere molte altre lacune (anche se non propriamente queste che ho descritto poc'anzi), quindi direi che c'è da essere sempre + fiduciosi su questo prodotto.... :p


:mbe: :mbe: :mbe:
Sei andato ben oltre le mie misere conoscenze :cry: :help:

nV 25 14-07-2006 14:30

Vi segnalo una discussione che ho trovato particolarmente interessante e che dovrebbe venire in aiuto anche a diversi utenti di Hw visto che va a spiegare "COME REAGIRE" di fronte ai messaggi di allarme del WEB ANTIVIRUS o, meglio, che significato hanno le opzioni "allow/deny" che compaiono nel pop-up.

Anzitutto:
il modulo Web-Antivirus opera "a livello di traffico" ancor prima che il codice venga materialmente trascritto sull'HD.
L' "HTTP traffic protection" è quindi un layer (livello) di protezione situato più a monte rispetto al layer tradizionale, quello cioè del file antivirus.

OK, benissimo: e quindi? :mbe:
usate l'impostazione sotto e festa finita.
Da questo momento riceverete dal Web-AV solo msg che vi informano che un azione di blocco è stata intrapresa e nulla di più... :D



Se impostate il web antivirus come da screen, potete allegramente saltare il link che ora posto (NB: è da mo' che cmq anch'io consiglio questi settaggi.... :rolleyes: )

http://forum.kaspersky.com/index.php?showtopic=16234

Come si vede dal link, "il piccione" [:p] che aveva lasciato il web AV impostato su "prompt for action", si trova disorientato da questi 2 msg a cui non sa come rispondere:



...ecc,ecc....la storiella continua nel link. :D
La spiegazione è questa (tratta dal post n°17):


nV 25 14-07-2006 14:34

Quote:

Originariamente inviato da Wip3out
:mbe: :mbe: :mbe:
Sei andato ben oltre le mie misere conoscenze :cry: :help:

...e se ti dicessi che a 'sto punto avrei raschiato il fondo? :Prrr:

Non ti credere, non ho mica molto altro da aggiungere ;) :
W.S. e ekerazha ( Ciaba?) in proposito credo possano dire molto di +... :)

Neran 14-07-2006 15:59

Ragazzi io uso kaspersky internet security da un po'...e devo anche dire che mi ci trovo bene. dopo aver cambiato molti software finalmente ne ho trovato uno che mi sembra davvero valido...

ho però 3 problemi:

- quando scarico da messenger vado eccessivamente lento, non capisco se magari devo disabilitare qualche porta su kaspersky per farli andare meglio..visto che ha il firewall integrato... se si mi dite bene come fare?

- non capisco una cosa, integrandosi con outlook posso segnalare quali mail considero spam semplicemente premendo il bottone...però non capisco perchè quando mi arrivano mail e si apre la finestra con scritto se ne voglio canceallare alcune o scaricarle tutte in ogni caso mi fa anche vedere quelle che gli ho già impostato come spam?in più non è possibile eliminare quella noiosa mail di segnalazione di kaspersky che arriva ogni volta che decido di cancellare dalla finestra una delle mail in arrivo? cioè non ha molto senso che io fermo da subito una mail indesiderata ma me ne arriva cmq una di kaspersky che mi dice "guarda hai eliminato una mail"... (spero di essere stato almeno in parte chiaro :( )

- ma è normale che più volte al giorno mi segnala tramite un rumore che proviene dal pc il blocco di un'intrusione...che è sempre la stessa...è questa qui:
Intrusion.Win.MSSQL.worm.Helkern!

cioè mi sembra strano..quotidianamanete almeno 3-4 volte mi dice che neutralizza questatentata intrusione!

nV 25 14-07-2006 16:27

Quote:

Originariamente inviato da Neran
...

ho però 3 problemi:

- ...
- ...

- ma è normale che più volte al giorno mi segnala tramite un rumore che proviene dal pc il blocco di un'intrusione...che è sempre la stessa...è questa qui:
Intrusion.Win.MSSQL.worm.Helkern!

cioè mi sembra strano..quotidianamanete almeno 3-4 volte mi dice che neutralizza questatentata intrusione!

ho tolto i primi 2 visto che non ti so rispondere.
Sull'ultimo posso invece dirti qualcosa:

1) non allarmarti: l'essenziale è che KIS rilevi l'attacco e te lo blocchi.
Al limite, puoi provare quanto segue:
disabilitare l'allarme sonoro e/o togliere il pop-up per questo tipo di evento (io te lo sconsiglio: preferisco infatti avere sempre sott'occhi la situazione se possibile...)
settings->service-> sotto "notifications" ->settings->
togli la spunta a quello che preferisci.

2) (a titolo di scupolo): sicuro di avere installate tutte le patch del S.O.?
verificalo lanciando windows update.

3) verifica l'IP dell'attaccante:
se fosse sempre il medesimo, puoi creare una regola ad-hoc che blocchi quell'IP una volta per tutte, altrimenti puoi creare una regola per chiudere definitivamente la porta su cui viene portato l'attacco stesso.
Nel 2° caso, la regola da creare è come da screen (di tipo packet filter, ecc..tanto lo vedi):
http://forum.kaspersky.com/index.php...=post&id=10574
Nel caso in cui tu voglia bloccare l'IP definitivamente, invece, agisci solo sul REMOTE ADDRESS che non compare nello screen. ;)

Mi raccomando sull'inbound stream! ( come si vede dalla figura) ;)


Ciao :)

ekerazha 14-07-2006 16:40

Quote:

Originariamente inviato da Neran
- quando scarico da messenger vado eccessivamente lento, non capisco se magari devo disabilitare qualche porta su kaspersky per farli andare meglio..visto che ha il firewall integrato... se si mi dite bene come fare?

Hai settato l'Anti-Hacker in training mode e/o creato regole idonee per messenger? Stai utilizzando un router?

enzo82 14-07-2006 17:09

Quote:

Originariamente inviato da lucadue
email in pvt e te la mando ;)

anke a me se possibile grazie ;)

Neran 14-07-2006 17:26

@ nv 25 : va beh se tanto mi blocca ogni volta l'attacco preferisco lasciare il tutto così, non ho nessun problema a vedere il pop-up, vorrei invece levare il suono..perchè lasciando spesso il pc acceso la notte a volte mi dà un po' fastidio il bip che proviene dall'interno del pc. ma come si fa?

@ ekerazha : non ho impostato l'anti-hacker e non so come si faccia. me lo puoi spiegare dettagliatamente? altrimenti non so dove metter mano.
Ah, no non ho un router ma il semplice modem adsl datomi in dotazione da libero (e prima o poi dovrò pure cambiarlo perchè mi fa cagare e costa pure mensilmente per il noleggio...) .

Nicole Ridgway 14-07-2006 17:33

una gentilezza...siccome le discussioni sono arrivate alla 60 pagina e io da tale ritardat...ario che sono ho solo installato il kis 6 adesso, non è che potreste fare una summa dei settaggi più importanti in modo che appena torno dalla solita uscita serale non debba leggermi circa 1200 postsalla ricerca del settaggio perduto? scusate la lamerosità della domanda ma ogni volta sti thread diventano mattoni...ed io matto appresso a loro :mc:

nV 25 14-07-2006 18:30

Quote:

Originariamente inviato da Nicole Ridgway
... ma ogni volta sti thread diventano mattoni...ed io matto appresso a loro ..

non hai mica tutti i torti, eh? :p

Guarda a titolo di es. questo post:
http://www.hwupgrade.it/forum/showpo...postcount=1121

La mia cfg-zione differisce assai da questa proposta da ekerazha, cmq da questo post vedi già quello che secondo lui è il miglior compromesso sicurezza/prestazioni.

Se vuoi essere + radicale ( e fregartene del lieve appesantimento che ne deriva...), procedi come segue ( è + difficile a postare tutto che non a fare poi materialmente le singole cose..):


NB: PRIMA DI PASSARE AL DUNQUE, CI TENGO A PRECISARE CHE, SETTANDO IL KIS/KAV COME DICO IO, SI RIDUCE AL MINIMO L'ITERAZIONE DELL'UTENTE:
in sostanza, si va incontro a meno noie.

Ricordo inoltre che TUTTO è reversibile (es: il PDM "bolla" come invader un file pulito? lo possiamo sempre sbloccare in un 2° momento...)










Ora, per la verità qualche commento sarebbe necessario, ma per tagliarla corta:
in riferimento al 6° screen http://img430.imageshack.us/my.php?image=5a5xw.jpg, è importante settare "paro paro" come si vede sopra la voce "help" per la voce contrassegnata dalla banda di colore blu.
In riferimento al 9° screen http://img430.imageshack.us/my.php?image=87yq1.jpg, se si clicca sul pulsante giallo, si applicano le stesse impostazioni anche ad aree critiche, mio computer...


Tutti gli orari sono GMT +1. Ora sono le: 08:54.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.