Author Topic: CAVS - Segnalazione falsi positivi/negativi  (Read 85833 times)

Offline nickoscuro

  • Comodo's Hero
  • *****
  • Posts: 287
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #30 on: July 30, 2009, 08:13:07 AM »
ciao sirio  :D

si,li ho scnsionati con virus total,ma tutto negativo.
per quanto riguarda l invio,ho usato anche l interfaccia da te segnalata e li ho anche spediti con il submit incluso in CIS. continuerò in questi giorni.


        grazie tanti saluti     (:WAV)

Offline Joe2011

  • Comodo Family Member
  • ***
  • Posts: 64
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #31 on: January 17, 2011, 01:35:47 PM »
Dopo l'installazione di CIS5, ho effettuato uno scan completo.
Mi è stato riscontrato un "Heur.Suspicious1" nel file C:\Windows|System32\Oem\Factory\LANFIRST.EXE

Trattandosi, probabilmente, di un file di sistema voglio andarci cauto, e perciò ho provato ad esaminarlo con VirusScan.
Purtroppo, sebbene abbia imposto la visibilità dei file nascosti, non riesco a trovarlo.
Tra le subdirectory di OEM non trovo neppure la cartella FACTORY.
Per lo stesso motivo non posso inviarlo neppure a Comodo.

Mi sembra che questo file è già stato attenzionato su qualche altro forum senza risultati apprezzabili.
Cosa mi consigliate di fare?

Grazie!

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 472
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #32 on: January 17, 2011, 01:46:11 PM »
Ciao Joe 2011,

Dopo l'installazione di CIS5, ho effettuato uno scan completo.
Mi è stato riscontrato un "Heur.Suspicious1" nel file C:\Windows|System32\Oem\Factory\LANFIRST.EXE

Trattandosi, probabilmente, di un file di sistema voglio andarci cauto, e perciò ho provato ad esaminarlo con VirusScan.
Purtroppo, sebbene abbia imposto la visibilità dei file nascosti, non riesco a trovarlo.

Hai controllato che il file non sia nella quarantena di Comodo?

Saluti

fuco

Offline Joe2011

  • Comodo Family Member
  • ***
  • Posts: 64
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #33 on: January 17, 2011, 02:00:27 PM »
Ciao Joe 2011,

Hai controllato che il file non sia nella quarantena di Comodo?

Saluti

fuco

Non ho consentito a Comodo di spostarlo in quarantena e ho scelto l'opzione Ignora.
Quindi sta ancora li al suo posto.
Sono riuscito però ad inviarlo a Comodo con l'opzione "Invia file sospetti". Il risultato è stato "Già ricevuto".
Adesso come saprò l'esito dell'analisi di Comodo e tra quanto tempo?
ciao

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 472
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #34 on: January 17, 2011, 02:07:16 PM »
Ciao Joe 2011,

Adesso come saprò l'esito dell'analisi di Comodo e tra quanto tempo?

Provando ad aprire una discussione qui (in inglese):


http://forums.comodo.com/av-false-positivenegative-detection-reporting-b154.0/

Saluti

fuco

Offline arcobaleno69

  • Newbie
  • *
  • Posts: 2
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #35 on: January 23, 2011, 07:10:09 AM »
Buongiorno a tutti. Sono nuovo del forum anche se è da anni che uso Comodo firewall. Non so se il topic è quello giusto, visto però che è legato ad un problema di falsi positivi e non avendo trovato altro sul forum scrivo qui il mio problema. E' da una decina di giorni che mi sono deciso ad abbandonare avast free + Comodo firewall e di passare in toto alla cis premium. Ho settato l'antivirus di Comodo con livello di euristica alto in tutti i profili ed in scansione real time il processo è ottimizzato. Alla prima scansione che ho effettuato il programma mi ha rilevato come infetti quattroi eseguibili di un programma trial (Edilus-CA di Acca Software-S.p.A.) che avevo installato sul portatile (sistema operativo Win7 home professional x64). Dopo averli esclusi dalla cancellazione ed averli inviati a Comodo segnalandoli come falsi positivi ho pensato bene (secondo me) di disinstallare il programma e dopo aver ripulito sia il file di registro che le varie autorizzazioni su firewall e D+ di reistallarlo da 0. Solo che ho notato (e lo segnalo come problema per l'antivirus) che durante la installazione del programma (che è durata quasi 10 minuti contro i pochi minuti che impiegava prima) la routine d'installazione si bloccava in fase di copia di alcune .dll che in dimensioni variavano dalle decine di Kbyte ad 1Mbyte (presumo che il rallentamento fosse dovuto al modulo di scansione in real time) e l'antivirus mi segnalava come infetti alcuni file con estensione .rra (mi pare fosse questa l'estensione) che il programma installava.
Da quando lo ho reinstallato il programma impiega una vita ad aprirsi e durante l'uso ha dei vistosi rallentamenti che prima non aveva. Ho provato anche ad abbassare il livello dell'euristica da alto a medio e non è cambiato nulla. Ho notato inoltre con mio sommo stupore che Acca Software S.p.A. è tra gli autori software fidati (si che questo riguarda, credo, le regole che si crea il D+ e non centri nulla con l'antivirus o no  ???). Ultima nota, se scansiono i file sospetti dal menu contestuale (tasto destro mouse) per l'antivirus i file non sono infetti.
Mi scuso in anticipo se ho sbagliato post e ringrazio in anticipo chi potrà darmi consigli. A presto  :)
 
 
« Last Edit: January 23, 2011, 02:09:30 PM by arcobaleno69 »

Offline mirk1989

  • Moderator
  • Comodo's Hero
  • *****
  • Posts: 1071
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #36 on: January 23, 2011, 05:48:09 PM »
ciao arcobaleno69 e benvenuto anche nel forum!  :-TU

Hai fatto bene a segnalarli a Comodo, ma sappi che dopo che vengono inviati passano sempre un paio di giorni per la risposta e la correzione delle firme, quindi siccome tu hai disinstallato e cancellato tutte le tracce da Comodo alla nuova installazione ti segnalava la stessa cosa... (Ricordo che se l'AV trova un virus ed io clicco su Riporta a Comodo come Falso Positivo, tale file verrà aggiunto ai File Sicuri, quindi non sarà riconosciuto più come virus. Non dovevi disinstallare e cancellare le tracce da Comodo)

Per il fatto che il programma non funziona bene, prova ad aggiungere l'eseguibile del programma oppure se hai comunque problemi l'intera cartella di installazione del software tra i File Sicuri e verifica come va.

Il fatto che Acca Software sia tra i produttori firmati non vuol dire che deve trattare i suoi file come tali, perchè può essere che il file non sia stato firmato e che quindi Comodo non riconosce tale file di proprietà di Acca Software... spero di aver reso l'idea!

P.S: questa è la sezione giusta in cui postare poichè il problema è relativo a Falsi-Positivi. Ti chiedo gentilmente di eliminare il tuo mess nell'altro topic (ecco il link)

P.S 2: una regola generale, non vale solo per te, specificate sempre la versione di Comodo che state utilizzando  ;)

Grazie e fammi sapere

Offline arcobaleno69

  • Newbie
  • *
  • Posts: 2
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #37 on: January 24, 2011, 09:01:05 AM »
ciao arcobaleno69 e benvenuto anche nel forum!  :-TU

Hai fatto bene a segnalarli a Comodo, ma sappi che dopo che vengono inviati passano sempre un paio di giorni per la risposta e la correzione delle firme, quindi siccome tu hai disinstallato e cancellato tutte le tracce da Comodo alla nuova installazione ti segnalava la stessa cosa... (Ricordo che se l'AV trova un virus ed io clicco su Riporta a Comodo come Falso Positivo, tale file verrà aggiunto ai File Sicuri, quindi non sarà riconosciuto più come virus. Non dovevi disinstallare e cancellare le tracce da Comodo)

Per il fatto che il programma non funziona bene, prova ad aggiungere l'eseguibile del programma oppure se hai comunque problemi l'intera cartella di installazione del software tra i File Sicuri e verifica come va.

Il fatto che Acca Software sia tra i produttori firmati non vuol dire che deve trattare i suoi file come tali, perchè può essere che il file non sia stato firmato e che quindi Comodo non riconosce tale file di proprietà di Acca Software... spero di aver reso l'idea!

P.S: questa è la sezione giusta in cui postare poichè il problema è relativo a Falsi-Positivi. Ti chiedo gentilmente di eliminare il tuo mess nell'altro topic (ecco il link)

P.S 2: una regola generale, non vale solo per te, specificate sempre la versione di Comodo che state utilizzando  ;)

Grazie e fammi sapere

Grazie mirk1989 per la risposta. La versione di cis premium è la 5.3.176757.1236. Si avevo già provveduto ad inserire l'intera cartella del programma tra i file sicuri e anche se migliorando di poco l'apertura è comunque lenta. Avevo provato a disinstallare e reinstallare il programma su un altro pc, proprio per fare delle prove e verificare dove fosse il problema.
Il problema è proprio l'antivirus (almeno così credo), prima con il firewall di comodo e avast 5 non ho mai avuto di questi problemi. Oggi addirittura per poter installare l'ultimo aggiornamento del software daemon-tools ho dovuto avviare il pc in modalità provvisoria. Perchè in modalità normale dopo la prima finestra di installazione del programma mi spariva tutto e non riuscivo a completare l'installazione neanche disabilitando tutta la suite di comodo ???

Offline rebel84

  • Newbie
  • *
  • Posts: 7
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #38 on: November 19, 2012, 03:42:15 AM »
Salve,

Dopo aver fatto l'update a Quick Time 7.7.3, Comodo Defense+ (versione 5.10) ha segnalato il file QTTask.exe come sospetto.

Ho aperto una segnalazione nel forum principale al seguente indirizzo (ho anche inserito il link del log creato da Virus Total).
http://forums.comodo.com/av-false-positivenegative-detection-reporting/heursuspiciousat1-qttaskexe-t88416.0.html

Nella discussione di cui sopra mi hanno suggerito di aggiornare alla versione 5.12 in quanto tale file non è rilevato come nocivo.

Una volta effettuato l'aggiornamento, devo prendere qualche accorgimento? Come posso verificare che il file sia etichettato come "sicuro"?

Grazie dell'attenzione.

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 472
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #39 on: November 24, 2012, 04:40:09 AM »
Ciao rebel84,

se l'antivirus non te lo rileva più come file infetto direi che il problema è risolto e che l'antivirus considera sicuro il file. Non credo ci sia da fare nient'altro.

Saluti

fuco

Offline rebel84

  • Newbie
  • *
  • Posts: 7
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #40 on: November 24, 2012, 05:08:49 AM »
Gentile fuco,

Il problema persiste anche dopo aver aggiornato alla nuova versione.

Credo che il rilevamento sia al 99.9% un falso positivo.

Ho provato da un altro computer con lo stesso file. Comodo Instant Malware Analysis (web tool), tramite euristica, lo rileva come sospetto anche in questo caso. Ciò non avviene su Virus Total dato che la funzionalità euristica non è abilitata (almeno credo). Ovviamente l'hash del file è sempre lo stesso.

Attualmente ho disinstallato QuickTime et voilà, Comodo Defense+ non rileva più niente.

Grazie dell'attenzione.
« Last Edit: November 24, 2012, 05:10:28 AM by rebel84 »

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 472
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #41 on: November 24, 2012, 12:45:19 PM »
Ciao rebel84,

Il database antivirus è l'ultimo disponibile?
il controllo con VirusTotal indica che il file è pulito. Immagino quindi sia un falso positivo.

Per evitare che Comodo rilevi il file come infetto, in attesa che lo staff risolva il problema, puoi procedere così:

1) Apri Comodo
2) Seleziona "Antivirus" --> "Impostazioni antivirus" --> "Esclusioni"
3) Aggiungi il file alle esclusioni

Saluti

fuco

Offline marker

  • Newbie
  • *
  • Posts: 1
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #42 on: January 06, 2013, 09:02:16 AM »
Mi rileva come sospetti o backdoor due file ma penso sia un falso positvo riguardano un noto simulatore di Treni opensource "OPENBVE".

- OS_Ats1.dll (Backdoor[at]#1iih8w3pf4xz6): questa è una libreria di un treno. Ne parlano in questo forum: http://lnx.trenomania.it/forum/viewtopic.php?f=25&t=1173

- UninstM1.exe     Suspicious[at]#362jznqi80k08 file di disinstalalzione di una linea


Con il sito Virus Total ho notato che solo alcuni antivirus li rilevano:

https://www.virustotal.com/file/765533cb42cf0ebb760bb149011a30cf488320048f665968e893441b5b484c65/analysis/1357479970/

https://www.virustotal.com/file/f0bc9ed093f92f51d2f934f5c3b5fd99b9660c9850bf86e7854dc3fba4baef0e/analysis/1357481227/


Per ora li ho messi nella lista di eclusione....
 :)

Ho usato Comodo Internet Security Premium Versione: 6.0.260739.2674.
« Last Edit: January 06, 2013, 09:10:10 AM by marker »

Offline fuco

  • Comodo's Hero
  • *****
  • Posts: 472
Re: CAVS - Segnalazione falsi positivi/negativi
« Reply #43 on: April 05, 2013, 02:48:40 PM »
Ciao marker,

benvenuto nel forum  :-TU

Prova a scansionarli nuovamente con virustotal e se Comodo te li rileva ancora come infetti segnalali via e-mail seguendo queste istruzioni:

http://forums.comodo.com/italiano-italian/cavs-segnalazione-falsi-positivinegativi-t34617.0.html

Saluti

fuco

Offline iucaa

  • Newbie
  • *
  • Posts: 18
CAVS - Segnalazione falsi positivi/negativi - Rimuove comunque
« Reply #44 on: February 20, 2014, 03:20:15 AM »
Buongiorno,
ho il seguente problema: ho installato Comodo Internet Security Premium, ho cercato in tutti modi di non fargli rimuove dei file "sicuri" senza successo, me li rimuove comunque (trà l'altro senza neache un avviso prima di procedere), inoltre non capisco perchè andando a visualizzare il registro gli eventi antivirus mi mostra i file in questione e poi però non mi permette di ripristinarli in alcun modo!, comprendo che comodo mi segnala un non ben identificato malware (inesistente) ma possibile che non ci sia il modo per lasciare intatti questi file? in questo modo la protezione diventa solo di intralcio e basta.

Grazie

PS: ho letto tutte le istruzioni qui all'interno del forum e spero di aver azzeccato il topic giusto

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek