CAVS - Segnalazione falsi positivi/negativi

Ciao, eccomi nuovamente qui a scrivere. Parrebbe (ne sono certo, ma la formula avvocatese è d’obbligo :slight_smile: ) che Comodo sia completamente indifferente al virus “conficker”. Sulle macchine con SO XP, sprovviste di Sp3 o ancorchè di patch rilasciata da Microsoft, conficker passa tranquillamente attraverso Comodo, creando problemi noti attribuiti al virus stesso. Su macchine con SO XP con SP3 pur non provocando danni, comodo non lo rileva nelle chiavette inserite. Questo mi pare un bel problema :frowning: La mia esperienza si basa solo su 3 macchine di 3 clienti diversi. Per puro tuziorismo, preciso che il veicolo non sono le mie chiavi, ne uso una piccolina (256m) solo per gli antivirus e i tool, che formatto sempre a fine assistenza.
Un abbraccio e grazie per la risposta.
Albi Satana

Imgur

Ciao Albi, mah… da quanto so io CIS è stato uno dei primi a riconoscere conficker ??? avresti un sample da inviarmi per fare delle verifiche?

(:WAV)

Ciao Sirio, positorio al 100, appena mi succede nuovamente ti invio il tutto. Anche a me è parso strano, ma l’ultima versione di Conficker è passata… Mmmm mi pare un po’ come le polpette del ristorante, un mistero, non sai mai cosa c’è dentro :slight_smile: Naturalmente creava vari problemi, come il non riuscire più ad aprire diversi componenti del pannello di controllo (mouse,sistema,ecc.) inoltre non faceva più visualizzare i siti antivirus, ne scaricare tool e patch.
Un abbraccio
Albi
Imgur

Ok, mille grazie in anticipo :wink:

ZzZZzzZ è successo nuovamente ieri. Da una cliente, confiker è passato senza problemi. Parrebbe una versione recente del virus. Comodo non se n’è accorto (si può dire) Nessun danno, poichè su XP in quel caso c’era il SP3. Non ho recuperato nessun dato che ti potrebbe essere utile, ma, ho utilizzato la solita procedura di fronte a un COMODO che non si aggiornava più, come il Malwarebytes, e siti antivirus non più fruibili. Ho utilizzato il tool di F-Secure, aggiornato malwarebytes, scansione veloce e riavvio, con conseguente aggiornamento di Comodo e Malwarebytes e scansione approfondita di entrambi. Prima di uscire, ho formattato la chiavetta (molto importante, confiker è biricchino).
Felice Giornata
Albi

Imgur

io ieri ho temuto il conficker, internet non andava, fortunatamente oggi va…

Ciao Albi, peccato tu non sia riuscito a metterlo da parte per me. Comunque CIS non se lo fa sfuggire, l’ho testato io stesso :wink:

Certo usare CIS senza sapere quello che si fa è come non averlo :-\ …per fortuna la direzione presa da Melih è quella di rendere CIS sempre più semplice e adatto a tutti. Credo che già il fatto di poterlo avere in italiano sia un bel passo in avanti.

Comodo ha pensato bene di semplificare la segnalazione di falsi positivi/negativi con la pubblicazione di un’interfaccia web: Comodo Firewall | Get Best Personal Firewall Software for $29.99 A Year

Basta accedere all’indirizzo, indicare il tipo di segnalazione (malware o falsi positivi), selezionare il file che non deve superare i 10 MB e non deve essere frammentato e mettere il proprio indirizzo eMail.

ciao :smiley:

ho un dubbio su (credo dei falsi positivi) trovati da AV di CIS :

http://img9.imageshack.us/img9/3710/divxc.jpg

nonostante li abbia inviati più volte al team di CIS,continuo ad avere questi rilevamenti.
per precauzione,anche se credo siano falsi positivi,ho messo il programma in questione in monitoraggio ormai da un mesetto con il firewall.
ma le richieste di aggiornamento,se non apro WMP non ci sono e comunque nessun tipo di richiesta di accesso alla rete viene notificata.

come mi dovrei comportare?..lo elimino?

grazie a tutti    (V)

Ciao nick :wink:

credo anch’io in un falso positivo, continua ad inviarli ai laboratori Comodo, magari usando l’interfaccia web: Comodo Firewall | Get Best Personal Firewall Software for $29.99 A Year
Hai provato a scansionarlo su www.virustotal.com ? Così hai qualche elemento in più per decidere.

ciao sirio :smiley:

si,li ho scnsionati con virus total,ma tutto negativo.
per quanto riguarda l invio,ho usato anche l interfaccia da te segnalata e li ho anche spediti con il submit incluso in CIS. continuerò in questi giorni.

    grazie tanti saluti     (:WAV)

Dopo l’installazione di CIS5, ho effettuato uno scan completo.
Mi è stato riscontrato un “Heur.Suspicious1” nel file C:\Windows|System32\Oem\Factory\LANFIRST.EXE

Trattandosi, probabilmente, di un file di sistema voglio andarci cauto, e perciò ho provato ad esaminarlo con VirusScan.
Purtroppo, sebbene abbia imposto la visibilità dei file nascosti, non riesco a trovarlo.
Tra le subdirectory di OEM non trovo neppure la cartella FACTORY.
Per lo stesso motivo non posso inviarlo neppure a Comodo.

Mi sembra che questo file è già stato attenzionato su qualche altro forum senza risultati apprezzabili.
Cosa mi consigliate di fare?

Grazie!

Ciao Joe 2011,

Hai controllato che il file non sia nella quarantena di Comodo?

Saluti

fuco

Non ho consentito a Comodo di spostarlo in quarantena e ho scelto l’opzione Ignora.
Quindi sta ancora li al suo posto.
Sono riuscito però ad inviarlo a Comodo con l’opzione “Invia file sospetti”. Il risultato è stato “Già ricevuto”.
Adesso come saprò l’esito dell’analisi di Comodo e tra quanto tempo?
ciao

Ciao Joe 2011,

Provando ad aprire una discussione qui (in inglese):

Saluti

fuco

Buongiorno a tutti. Sono nuovo del forum anche se è da anni che uso Comodo firewall. Non so se il topic è quello giusto, visto però che è legato ad un problema di falsi positivi e non avendo trovato altro sul forum scrivo qui il mio problema. E’ da una decina di giorni che mi sono deciso ad abbandonare avast free + Comodo firewall e di passare in toto alla cis premium. Ho settato l’antivirus di Comodo con livello di euristica alto in tutti i profili ed in scansione real time il processo è ottimizzato. Alla prima scansione che ho effettuato il programma mi ha rilevato come infetti quattroi eseguibili di un programma trial (Edilus-CA di Acca Software-S.p.A.) che avevo installato sul portatile (sistema operativo Win7 home professional x64). Dopo averli esclusi dalla cancellazione ed averli inviati a Comodo segnalandoli come falsi positivi ho pensato bene (secondo me) di disinstallare il programma e dopo aver ripulito sia il file di registro che le varie autorizzazioni su firewall e D+ di reistallarlo da 0. Solo che ho notato (e lo segnalo come problema per l’antivirus) che durante la installazione del programma (che è durata quasi 10 minuti contro i pochi minuti che impiegava prima) la routine d’installazione si bloccava in fase di copia di alcune .dll che in dimensioni variavano dalle decine di Kbyte ad 1Mbyte (presumo che il rallentamento fosse dovuto al modulo di scansione in real time) e l’antivirus mi segnalava come infetti alcuni file con estensione .rra (mi pare fosse questa l’estensione) che il programma installava.
Da quando lo ho reinstallato il programma impiega una vita ad aprirsi e durante l’uso ha dei vistosi rallentamenti che prima non aveva. Ho provato anche ad abbassare il livello dell’euristica da alto a medio e non è cambiato nulla. Ho notato inoltre con mio sommo stupore che Acca Software S.p.A. è tra gli autori software fidati (si che questo riguarda, credo, le regole che si crea il D+ e non centri nulla con l’antivirus o no ???). Ultima nota, se scansiono i file sospetti dal menu contestuale (tasto destro mouse) per l’antivirus i file non sono infetti.
Mi scuso in anticipo se ho sbagliato post e ringrazio in anticipo chi potrà darmi consigli. A presto :slight_smile:

ciao arcobaleno69 e benvenuto anche nel forum! :-TU

Hai fatto bene a segnalarli a Comodo, ma sappi che dopo che vengono inviati passano sempre un paio di giorni per la risposta e la correzione delle firme, quindi siccome tu hai disinstallato e cancellato tutte le tracce da Comodo alla nuova installazione ti segnalava la stessa cosa… (Ricordo che se l’AV trova un virus ed io clicco su Riporta a Comodo come Falso Positivo, tale file verrà aggiunto ai File Sicuri, quindi non sarà riconosciuto più come virus. Non dovevi disinstallare e cancellare le tracce da Comodo)

Per il fatto che il programma non funziona bene, prova ad aggiungere l’eseguibile del programma oppure se hai comunque problemi l’intera cartella di installazione del software tra i File Sicuri e verifica come va.

Il fatto che Acca Software sia tra i produttori firmati non vuol dire che deve trattare i suoi file come tali, perchè può essere che il file non sia stato firmato e che quindi Comodo non riconosce tale file di proprietà di Acca Software… spero di aver reso l’idea!

P.S: questa è la sezione giusta in cui postare poichè il problema è relativo a Falsi-Positivi. Ti chiedo gentilmente di eliminare il tuo mess nell’altro topic (ecco il link)

P.S 2: una regola generale, non vale solo per te, specificate sempre la versione di Comodo che state utilizzando :wink:

Grazie e fammi sapere

Grazie mirk1989 per la risposta. La versione di cis premium è la 5.3.176757.1236. Si avevo già provveduto ad inserire l’intera cartella del programma tra i file sicuri e anche se migliorando di poco l’apertura è comunque lenta. Avevo provato a disinstallare e reinstallare il programma su un altro pc, proprio per fare delle prove e verificare dove fosse il problema.
Il problema è proprio l’antivirus (almeno così credo), prima con il firewall di comodo e avast 5 non ho mai avuto di questi problemi. Oggi addirittura per poter installare l’ultimo aggiornamento del software daemon-tools ho dovuto avviare il pc in modalità provvisoria. Perchè in modalità normale dopo la prima finestra di installazione del programma mi spariva tutto e non riuscivo a completare l’installazione neanche disabilitando tutta la suite di comodo ???

Salve,

Dopo aver fatto l’update a Quick Time 7.7.3, Comodo Defense+ (versione 5.10) ha segnalato il file QTTask.exe come sospetto.

Ho aperto una segnalazione nel forum principale al seguente indirizzo (ho anche inserito il link del log creato da Virus Total).
https://forums.comodo.com/av-false-positivenegative-detection-reporting/heursuspiciousat1-qttaskexe-t88416.0.html

Nella discussione di cui sopra mi hanno suggerito di aggiornare alla versione 5.12 in quanto tale file non è rilevato come nocivo.

Una volta effettuato l’aggiornamento, devo prendere qualche accorgimento? Come posso verificare che il file sia etichettato come “sicuro”?

Grazie dell’attenzione.

Ciao rebel84,

se l’antivirus non te lo rileva più come file infetto direi che il problema è risolto e che l’antivirus considera sicuro il file. Non credo ci sia da fare nient’altro.

Saluti

fuco