[HIPS - Popup] open hosts.bat is trying to execute notepad.exe

Salve, prima di ogni popup del HIPS, compare uno strano popup(vedi figura) per 1 o 2 secondi e poi viene rimpiazzato dal pupup giusto. Versione CIS 6.2.285401.2860 su Win XP SP3
Come mai?

[attachment deleted by admin]

Ciao andrea01,

deduco che non hai mai risposto a quel pop-up.

Deduzione corretta?

Saluti

fuco

Google-Italian! :stuck_out_tongue:

Ho lo stesso problema:
https://forums.comodo.com/defense-sandbox-help-cis/open-hostsbat-trying-to-execute-notepadexe-t97435.0.html

“open hosts.bat” non esiste, non è mai esistito, anche non temporanea…
Il messaggio appena si apre per 1 o 2 secondi, prima che un altro segue
Non è possibile fare clic sul popup…

saluti e grazie

Ciao andrea01,

Potrebbe essere un virus.

La buona notizia è che Comodo Defense+ lo blocca.

Prova ad eseguire una scansione completa.

Saluti

fuco

io sono un ulteriore passo avanti, ma non riesco a spiegare in italiano …
Si prega di consultare il thread inglese se siete interessati ;D
Salve!

Salve, ho lo stesso identico problema, cui se ne aggiunge un altro: spesso Comodo mi avverte che “System non è stato riconosciuto” e sta tentando di modificare il file ksnapshot.etl che si trova in alcune cartelle dal nome {lungastringadinumeri} nel percorso C:\Windows\System32\WDI. Alcune hanno il file krundown.etl. Ho fatto la scansione con alcuni antirootkit senza trovare niente. Che può essere?
Grazie

Ciao bandoneo,

se vai nell’elenco delle regole della Defense+ dovresti trovare la regola delle applicazioni di sistema.

Tra le applicazioni di sistema è presente System?

Saluti

fuco

Ciao fuco,

System è presente ed è impostato come in figura.

I messaggi di Comodo riguardo le attività di System (tutti riguardanti il file ksnapshot.etl) appaiono in modo casuale (almeno tre volte per ogni sessione, in particolare al momento dello shutdown). Di solito do a Comodo l’ordine di bloccare, ma poiché il file è sempre nuovo (viene creato in cartelle diverse), Comodo non memorizza l’azione e mi chiede ogni volta cosa fare. Capita anche che non riconosca il file conime.exe (non ho idea di cosa l’abbia fatto avviare, sarà qualche processo di Windoes) e l’ha sandboxato in automatico.

Oltre che le scansioni complete con Comodo, ho fatto scansioni con antirookti di uso semplice (TDSSkiller, Malwarebytes AntiRootkit e Antimalware, Spybot, Hijackthis) ma non si trova nessun rootkit o malware. Ho letto in giro di Gmer, programma potente che però richiede un utente esperto a causa dei falsi positivi, e non l’ho ancora provato.

Ciao,
alcune volte capita anche a me e viene individuato il file:

C:\Windows\system32\wdi{a7a5847a-7511-4e4e-90b1-45ad2a002f51}{5237e405-5c07-495d-969e-9b8cace2b94b}\ksnapshot.etl

Cosa è?

Che devo fare? Blocco o consento?

E’ un virus?

Grazie.
Nunzio.

Stesso problema. Il guaio grosso, e che è il mio maggiore timore, è che il virus in questione usi il popup applicando una copertura per ottenere accessi.
I programmi base che appaiono in seconda battuta di solito dovrebbero essere già configurati e quindi non dovrebbe proprio chiederne l’autorizzazione…
Qualcuno ha qualche idea in merito? Grazie.