Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: dom apr 08, 2018 8:28 pm
da grendels91
Premessa: Come programmi di sicurezza uso Avira Antivirus PRO e Comodo Firewall con tutti i moduli di protezione attivati e HIPS su "Sicuro".
Oggi ho eseguito come amministratore solo il programma "Process Explorer" dal sito ufficiale e mi sono accorto – verificando a seguito della inusuale notifica dell'HIPS di Comodo – che ha installato un driver di sistema senza che mi venisse chiesto (che ora ho rimosso). Avira e Comodo sono sempre rimasti attivi con la protezione in tempo reale attiva.
I file per i quali era segnalato il tentativo di modifica (che ho bloccato) erano nella cartella "C:\Windows\System32\LogFiles\WMI" e si può leggere nello spoiler in dettaglio quali erano.
Vorrei sapere se in quella cartella sono presenti dei file importanti per il sistema operativo, come lascerebbe intendere il fatto che quella cartella è modificabile solo con permessi di sistema, e se dovrei fare ulteriori verifiche – e quali – per confermare che il sistema operativo è integro.
Leggere "System è un'applicazione insicura e sta cercando di modificare un file" è infatti un attimo preoccupante.
NOTA: Pensando ad un rootkit, ho fatto una scansione con TDSSKiller che non ha trovato minacce.
Logs di Comodo:
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: lun apr 09, 2018 8:18 am
da crazy.cat
I file in quella cartella dovrebbero essere solo dei file di log di qualche evento che era successo e stava tentando di registrarlo.
La cosa strana e che ti segnali system come insicuro.
Anche qui viewtopic.php?p=57818#p57818 ci sono delle rilevazioni strane per processi di sistema.
(Magari un aggiornamento del firewall riuscito male?)
Giusto per sicurezza, anche se probabilmente non troverai nulla, fai una scansione con malwarebytes o kaspersky removal tool.
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: lun apr 09, 2018 12:00 pm
da grendels91
Ho fatto la scansione con Kaspersky Removal Tool e non ha trovato nulla.
Riguardo il possibile aggiornamento corrotto di Comodo, sinceramente non so dove guardare per vedere se ne ha fatti di recente (li verifica e installa in automatico ogni giorno).
Ieri sera, dopo aver cliccato su "Arresta il sistema", ho sentito il suono dei pop-up di Comodo e il pc è rimasto nella schermata di Windows di attesa dell'arresto per 10 minuti (di solito di spegne in 2 minuti massimo) e alla fine ho spento il pc tenendo premuto il tasto per forzare lo spegnimento.
Stamattina, il log di ieri di Comodo risultava scomparso (perciò non so cosa sia successo ieri sera) e il Wi-Fi non funzionava (aveva una croce rossa sopra e "risoluzione problemi" non ha risolto), perciò ho riavviato il pc e dopo risultava tutto funzionante.
Dopo alcuni minuti dal riavvio, però, si sono ripresentati i soliti messaggi di "system insicuro che modifica file":
Quello che vorrei provare a fare è ripristinare tutte le impostazione di default per Comodo Firewall, solo che non trovo questa opzione fra le impostazioni.
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: lun apr 09, 2018 1:07 pm
da grendels91
Ok, credo di avere capito il problema.
Nelle "Impostazioni HIPS" avevo di recente aggiunto la spunta a "Crea regole per le applicazioni sicure". A quanto pare (non lo immaginavo) questo ha cancellato tutte le regole HIPS esistenti di default, in particolare quelle riguardanti i gruppi file tipo "Applicazioni di sistema", "Applicazioni Comodo", "Applicazioni Metro", ecc.
Ho aggiunto di nuovo queste regole copiandole da un video di una recensione di comodo, ma credo di non averle ripristinate tutte. Spero che basti a risolvere il problema.
Vorrei ripristinare quelle di default, ma non trovo l'opzione per farlo.
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: lun apr 16, 2018 11:23 am
da NDABBRU
grendels91 ha scritto: ↑lun apr 09, 2018 12:00 pm
Ieri sera, dopo aver cliccato su "Arresta il sistema", ho sentito il suono dei pop-up di Comodo e il pc è rimasto nella schermata di Windows di attesa dell'arresto per 10 minuti (di solito di spegne in 2 minuti massimo) e alla fine ho spento il pc tenendo premuto il tasto per forzare lo spegnimento.
Ciao! Stessa cosa l'ha fatta a me quando in HIPS da "apprendimento" sono passato a "sicuro".
Quindi in "impostazioni" tra le regole HIPS" ho impostato l'applicazione "System" come applicazione di sistema(oppure penso anche che si possa impostare come sicura).
Così non me lo ha fatto più o comunque non sono usciti più avvisi HIPS, premetto che il PC è pulito da virus.
Quindi penso di aver fatto bene.
Che ne pensate?
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: lun apr 16, 2018 11:33 am
da grendels91
Sì, direi che hai fatto bene. Io nel dubbio ho disinstallato e reinstallato Comodo Firewall per avere di nuovo le opzioni di default, di cui ti lascio lo screenshot di seguito:
Re: Comodo Firewall e allarme HIPS "System è un'applicazione insicura e sta tentando di creare un nuovo file"
Inviato: lun apr 16, 2018 11:44 am
da NDABBRU
Nelle mie regole HIPS sono quasi tutte personalizzate e come vedi quella System l'ho impostata come di sistema.
Ecco qui lo screen-shot: https://ibb.co/nE6Pbn
