Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Premessa: Come programmi di sicurezza uso Avira Antivirus PRO e Comodo Firewall con tutti i moduli di protezione attivati e HIPS su "Sicuro".
Oggi ho eseguito come amministratore solo il programma "Process Explorer" dal sito ufficiale e mi sono accorto – verificando a seguito della inusuale notifica dell'HIPS di Comodo – che ha installato un driver di sistema senza che mi venisse chiesto (che ora ho rimosso). Avira e Comodo sono sempre rimasti attivi con la protezione in tempo reale attiva.
I file per i quali era segnalato il tentativo di modifica (che ho bloccato) erano nella cartella "C:\Windows\System32\LogFiles\WMI" e si può leggere nello spoiler in dettaglio quali erano.
Vorrei sapere se in quella cartella sono presenti dei file importanti per il sistema operativo, come lascerebbe intendere il fatto che quella cartella è modificabile solo con permessi di sistema, e se dovrei fare ulteriori verifiche – e quali – per confermare che il sistema operativo è integro.
Leggere "System è un'applicazione insicura e sta cercando di modificare un file" è infatti un attimo preoccupante.
NOTA: Pensando ad un rootkit, ho fatto una scansione con TDSSKiller che non ha trovato minacce.
I file in quella cartella dovrebbero essere solo dei file di log di qualche evento che era successo e stava tentando di registrarlo.
La cosa strana e che ti segnali system come insicuro.
Anche qui viewtopic.php?p=57818#p57818 ci sono delle rilevazioni strane per processi di sistema.
(Magari un aggiornamento del firewall riuscito male?)
Giusto per sicurezza, anche se probabilmente non troverai nulla, fai una scansione con malwarebytes o kaspersky removal tool.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Ho fatto la scansione con Kaspersky Removal Tool e non ha trovato nulla.
Riguardo il possibile aggiornamento corrotto di Comodo, sinceramente non so dove guardare per vedere se ne ha fatti di recente (li verifica e installa in automatico ogni giorno).
Ieri sera, dopo aver cliccato su "Arresta il sistema", ho sentito il suono dei pop-up di Comodo e il pc è rimasto nella schermata di Windows di attesa dell'arresto per 10 minuti (di solito di spegne in 2 minuti massimo) e alla fine ho spento il pc tenendo premuto il tasto per forzare lo spegnimento.
Stamattina, il log di ieri di Comodo risultava scomparso (perciò non so cosa sia successo ieri sera) e il Wi-Fi non funzionava (aveva una croce rossa sopra e "risoluzione problemi" non ha risolto), perciò ho riavviato il pc e dopo risultava tutto funzionante.
Dopo alcuni minuti dal riavvio, però, si sono ripresentati i soliti messaggi di "system insicuro che modifica file":
Quello che vorrei provare a fare è ripristinare tutte le impostazione di default per Comodo Firewall, solo che non trovo questa opzione fra le impostazioni.
Nelle "Impostazioni HIPS" avevo di recente aggiunto la spunta a "Crea regole per le applicazioni sicure". A quanto pare (non lo immaginavo) questo ha cancellato tutte le regole HIPS esistenti di default, in particolare quelle riguardanti i gruppi file tipo "Applicazioni di sistema", "Applicazioni Comodo", "Applicazioni Metro", ecc.
Ho aggiunto di nuovo queste regole copiandole da un video di una recensione di comodo, ma credo di non averle ripristinate tutte. Spero che basti a risolvere il problema.
Vorrei ripristinare quelle di default, ma non trovo l'opzione per farlo.
grendels91 ha scritto: ↑lun apr 09, 2018 12:00 pm
Ieri sera, dopo aver cliccato su "Arresta il sistema", ho sentito il suono dei pop-up di Comodo e il pc è rimasto nella schermata di Windows di attesa dell'arresto per 10 minuti (di solito di spegne in 2 minuti massimo) e alla fine ho spento il pc tenendo premuto il tasto per forzare lo spegnimento.
Ciao! Stessa cosa l'ha fatta a me quando in HIPS da "apprendimento" sono passato a "sicuro".
Quindi in "impostazioni" tra le regole HIPS" ho impostato l'applicazione "System" come applicazione di sistema(oppure penso anche che si possa impostare come sicura).
Così non me lo ha fatto più o comunque non sono usciti più avvisi HIPS, premetto che il PC è pulito da virus.
Sì, direi che hai fatto bene. Io nel dubbio ho disinstallato e reinstallato Comodo Firewall per avere di nuovo le opzioni di default, di cui ti lascio lo screenshot di seguito:
Nelle mie regole HIPS sono quasi tutte personalizzate e come vedi quella System l'ho impostata come di sistema.
Ecco qui lo screen-shot: https://ibb.co/nE6Pbn
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
