HKLM - CLSID - dlaczego COMODO bije na alarm?


(NRN) #1

Mam drobny problem w kwestii bezpieczeństwa systemu. Korzystam z oprogramowania zabezpieczającego COMODO. Podczas rutynowego skanu wczorajszego wieczoru, ostrzegł mnie o 58, wysoce niebezpiecznych, zagrożeniach zlokalizowanych w gałęzi rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

Między innymi, nie spodobał mu się wpis o treści:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0000002F-0000-0000-c000-000000000046}\InprocServer32 @="C:\\Windows\\system32\\oleaut32.dll" "ThreadingModel"="Both"

i jemu podobne.

Z tego co wiem, w CLSID mamy dane odnośnie rozszerzeń plików i pewnych powiązanych bibliotek (no chyba, że źle zrozumiałem treść stron tę gałąź opisujących). Co niebezpiecznego można ukryć tutaj, nie umieszczając złośliwego kodu na dysku? I skąd miałoby się to wziąć, jeśli komputer jest raczej poprawnie zabezpieczony?

Troszkę danych:

  • Windows 7 Professional 32-bit PL

  • COMODO InternetSecurity (Antivirus, Firewall, Defence+, Sandbox)

  • SpyBot (najnowsza beta)

Co ciekawe, SpyBot niczego nie wykrywa. Fałszywy alarm ze strony COMODO, czy coś poważniejszego? Skan w zeszłym tygodniu tego nie wykrywał, więc dopuszczam myśl, że nowe definicje są kropnięte, lub, że związek z tym ma niedawna instalacja Wiedźmina 2 (jedyna zmiana na komputerze od ostatniego skanu). Byłbym jednak wdzięczny za fachową opinię :wink:


(krzych5610) #2

SpyBot do usunięcia, jest w tym przypadku zbyteczny. Nic nie wykryje. CIS(4)5 ma wbudowany moduł BOClean, odpowiednik SpyBot. Obecność tych dwóch programów, to niepotrzebne kolizje.


(NRN) #3

Kolizje wystąpią jedynie, gdy oba programy pracują w tym samym czasie z włączoną protekcją real-time. Jeśli natomiast SpyBot służy weryfikacji i pracuje niezależnie, wówczas kolizja jest niemożliwa.

Tak czy siak - COMODO usunąć problemu nie potrafi, ja ręcznie usuwać wpisów z rejestru nie zamierzam, a SpyBot nic nie wykrywa. Będę wdzięczny za odpowiedź odnośnie mojego problemu, a nie konfiguracji oprogramowania, którą podałem jako (możliwie) dodatkową poszlakę :wink:


(krzych5610) #4

Odniosę się do twojego problemu w ten sposób:

  1. Comodo zareagował na zmiany w rejestrach. 58 zmian !!

  2. SpyBot wg mnie jest całkowicie zbyteczny.

  3. Odinstaluj Wiedźmina i uruchom Win-7 z wcześniejszej kopii bezpieczeństwa.


(NRN) #5

Czysto. Ciekawe, że Defence+ się nie burzył na żadne zmiany w rejestrze, ale już Antivirus przy zwykłym skanie tak :stuck_out_tongue_winking_eye:

Ma ktoś jakieś szersze informacje, co może siedzieć w CLSID?

-- Dodane 24.05.2011 (Wt) 18:15 --

No nic, skoro nikt nie wie, to chyba do zamknięcia... Jakbym się czegoś dowiedział, dam znać, a póki co - zagrożenie ignoruję :stuck_out_tongue:


(system) #6

Może Comodo zgłupiał po aktualizacji?

Moja rada: olać alerty :lol: