Hardware Upgrade Forum - View Single Post

Romagnolo1973 · 08-02-2009, 15:13

Comportamento durante una infezione

Canale su YouTube aperto dal Prevx Research direttamente dove potete vederePrevx all'opera contro diverse infezioni qui

Ottima recensione in italiano e test sul campo della versione pro contro diverse infezioni qui

Prova sul campo della versione Free effettuata da Cloutz qui e da sampei.nihira qui (grazie ragazzi)

Segnalo una altra caratteristica di Prevx che ai più sfugge perchè insita nel caricamento del programma :
Prevx ogni volta che viene caricato analizza il sistema e controlla l'integrità dei file Host e LSP (Layered Service Provider) due settori spesso attaccati dai malware e nel caso ne trovi una variazione rispetto all'ultima volta ci avviserà autonomamente.
Spesso i malware agiscono sul file Host della macchina impedendo al pc di collegarsi al database dei programmi di sicurezza, il controllo che Prevx svolge ha proprio questa funzione, se per qualsiasi motivo non ci si riesce a collegarsi a internet il programma effettuerà un servizio diagnostico sull' Host o LSP in modo da ripristinare il precedente valore e consentire quindi di connettersi al database comunitario.

Inoltre Prevx è l'unico ad oggi a monitorare l'MBR ovvero il Master Boot Record del pc contro i temibili rootkit che vanno ad annidarsi lì e non vengono visti dai normali antivirus o antirootkit, i quali non controllano quella area particolare del sistema operativo.

Prevx Versione PRO e gestione infezioni e falsi positivi

Infezione trovata dal Real Time

Premesso che in luogo di un vero malware avendo un solo pc casalingo, ho optato per un Falso Positivo creato ad arte aumentando i livelli euristici, ma i risultati sono identici, eccoci ora pronti a vedere cosa succede se si trova una infezione:

lancio il programma maligno e subito Prevx mi avverte che il file è ad alto rischio di infezione

Mi propone 2 possibilità BLOCK / REMOVE (a seconda che sia appena scaricato o già a sistema) o Options, in questo momento di default ha già bloccato il malware, non è eseguibile, Prevx visto il comportamento sospetto del file lo stoppa (cosa buona e giusta), ma lascia a noi ancora la possibilità di intervenire sul file.
Se clicchiamo su Options infatti potremo agire in questi 3 modi : BLOCK / REMOVE (lo isoliamo e rimuoviamo) - Trust Once (lo consentiamo ma solo questa volta e ad una successiva riesecuzione torneremo all'avviso di cui sopra) - Trust Always (lo acconsentiamo definitivamente e per sempre).

Qualunque sia la scelta fatta l'applicazione verrà segnalata da Prevx in SETTINGS -- Configurazione Manuale che di fatto è la Quarantena, e all'applicazione verrà dato il comportamento che abbiamo appena scelto.
Io ora opto per eliminare l'eseguibile e infatti esso mi compare in Configurazione Manuale come file bloccato.
Cliccandoci sopra posso sempre intervenire sulla decisione come si vede nella immagine che ho affiancato :

Ora abbiamo reso inoffensivo il presunto malware che è in quarantena e ineseguibile, la comunity lo sta analizzando e tra pochissimo non sarà più considerato infetto ma un falso positivo, io comunque che già so che si tratta di un FP lo sblocco indicandolo come "Fidati Sempre" oppure, visto che la posso usare, agisco tramite TOOLS -- Undo Cleanup e clicco su Undo, in questo ultimo caso però una successiva apertura del programma mi farebbe ricominciare gli avvisi di infezione di Prevx.

Fatte queste operazioni di pulizia tutto torna alla normalità, ma solo dopo uno scan chePrevx richiede obbligatoriamente visto che lo stato del programma è attualmente di allarme, cioè Attenzione - Infezioni Bloccate :

Notate come il testo in alto sia rosso e anche l'icona di Prev vicino all'orologio sia dello stesso colore, poi una volta effettuata la scansione e non trovato infezioni tutto torna alla normalità, il nostro caro e amato verde.

Ok, in questo esempio ho creato ad arte un pericolo ma avete visto come funziona la versione Pro in Real Time.

In caso di FALSI POSITIVI andate in TOOLS -- Salva File di Log, Prevx vi salverà il risultato dell'ultima scansione fatta, quindi non è necessario riscansionare, poi inviate il log salvato a eraser a questo indirizzo falsipositivi@pcalsicuro.com risolveranno il problema in pochissimo tempo, sono velocissimi.
Infezione trovata durante lo Scan

Sopra si è analizzato il comportamento del Real Time di Prevx, ora vediamo come si comporta se le infezioni sono trovate durante una normale scansione.
Questo test è stato fatto con la precedente versione Edge ma nulla cambia in sostanza con la versione attuale. Mentre sopra abbiamo analizzato un'unica minaccia, è invece molto interessane vedere come se la cava Prevx contro una massiccia infezione come quella qui messa in atto.
Lanciato lo scan, Prevx esegue il controllo degli elementi critici del sistema o di una cartella specifica, durante questa azione trova delle infezioni che per sicurezza verifica ulteriormente :

Come potete vedere dal numero di elementi che sta trovando possiamo ben dire "Houston abbiamo un problema" ma per fortuna il nostro Prevx Pro può salvarci.
Finita la verifica Prvx ci mostra una nuova schermata suddivisa in diversi passaggi:
- Select Files to Remove : qui vedete tutte le infezioni trovate in sede di scansione. Ovviamente le eliminiamo tutte e clicchiamo su Next.
  Piccola nota a margine, se state provando una collezione di malware sappiate che per risparmiare risorse ed essere leggero Prevx trova al massimo 255 elementi infetti a scansione, quindi se per esempio avete 700 oggetti malevoli, autonomamente ripeterà questa procedura che sto descrivendo per 3 volte. Beh comunque una infezione di tale portata è effettivamente possibile solo in un test;
- Prepare for Cleanup : ora Prevx scaricherà una sorta di cura per il nostro pc, farà una serie di azioni in grado di cancellare i malware e le loro tracce dal nostro pc. Una volta scaricato questa serie di istruzioni Prevx ci avvertirà di salvare i files, chiudere ogni programma, disconnettersi da internet (tanto la "medicina" l'abbiamo già scaricata), disabilitare ogni altro prodotto di difesa per evitare conflitti o sovrapposizioni. Fatto ciò clicchiamo su Next;
- Cleanup : Ora inizia la vera fase di rimozione, le varie infezioni vengono cancellate dal sistema e con loro anche le cartelle o chiavi di registro da loro create. Al termine della pulizia Prevx passa autonomamente al sommario finale della sua azione;
- Summary : Qui potete vedere la fine della rimozione dei vari malware, Prevx vi consiglia di riabilitare gli altri prodotti di sicurezza e di riconnettervi a internet, cliccate Next e arrivate alla schermata finale. Qui vi viene data la possibilità di fare un punto di ripristino, contattare il supporto, risolvere un eventuale problema se l'infezione riguardava il desktop. Potete, se lo ritenete il caso, scegliere una o più di queste opzioni o anche nessuna, ora vi basta cliccare su Finish Cleanup ed il sistema è pulito.
Prevx farà poi una ulteriore scansione in automatico per certificare l'effettiva assenza di malware sul sistema.
Infezione trovata nel Master Boot Record

Prevx è l'unico software a controllare l' MBR e nel caso trovi una infezione o vi sia un programma che cerca di modificare il Master Boot, allora vi segnala questa minaccia con un avviso come questo:

Se questa allerta è dovuta all'ultimo MBR Rootkit di cui trovate qui la descrizione fatta da Marco Giuliani alias eraser, in quel caso anche la versione free elimina la minaccia, occorre però che dopo l'avviso analogo a quello visto (con il tasto bloccare grigio, quindi non disponibile) facciate una scansione del sistema. Se l'infezione trovata è quella, allora Prevx eliminerà la minaccia ed ogni modifica apportata da questa all'MBR, ne avete conferma qui e dalla immagine sotto.

Ora avete visto come lavora a versione Pro contro le infezioni sia in ambito real time che in ambito di scansione.
Che ne dite ? Secondo me è un ottimo prodotto !!!

08-02-2009, 15:13	#6
Romagnolo1973 Senior Member Iscritto dal: Nov 2005 Città: Cervia (RA) Messaggi: 17388	Comportamento durante una infezione Canale su YouTube aperto dal Prevx Research direttamente dove potete vederePrevx all'opera contro diverse infezioni qui Ottima recensione in italiano e test sul campo della versione pro contro diverse infezioni qui Prova sul campo della versione Free effettuata da Cloutz qui e da sampei.nihira qui (grazie ragazzi) Segnalo una altra caratteristica di Prevx che ai più sfugge perchè insita nel caricamento del programma : Prevx ogni volta che viene caricato analizza il sistema e controlla l'integrità dei file Host e LSP (Layered Service Provider) due settori spesso attaccati dai malware e nel caso ne trovi una variazione rispetto all'ultima volta ci avviserà autonomamente. Spesso i malware agiscono sul file Host della macchina impedendo al pc di collegarsi al database dei programmi di sicurezza, il controllo che Prevx svolge ha proprio questa funzione, se per qualsiasi motivo non ci si riesce a collegarsi a internet il programma effettuerà un servizio diagnostico sull' Host o LSP in modo da ripristinare il precedente valore e consentire quindi di connettersi al database comunitario. Inoltre Prevx è l'unico ad oggi a monitorare l'MBR ovvero il Master Boot Record del pc contro i temibili rootkit che vanno ad annidarsi lì e non vengono visti dai normali antivirus o antirootkit, i quali non controllano quella area particolare del sistema operativo. Prevx Versione PRO e gestione infezioni e falsi positivi Infezione trovata dal Real Time Premesso che in luogo di un vero malware avendo un solo pc casalingo, ho optato per un Falso Positivo creato ad arte aumentando i livelli euristici, ma i risultati sono identici, eccoci ora pronti a vedere cosa succede se si trova una infezione: lancio il programma maligno e subito Prevx mi avverte che il file è ad alto rischio di infezione Mi propone 2 possibilità BLOCK / REMOVE (a seconda che sia appena scaricato o già a sistema) o Options, in questo momento di default ha già bloccato il malware, non è eseguibile, Prevx visto il comportamento sospetto del file lo stoppa (cosa buona e giusta), ma lascia a noi ancora la possibilità di intervenire sul file. Se clicchiamo su Options infatti potremo agire in questi 3 modi : BLOCK / REMOVE (lo isoliamo e rimuoviamo) - Trust Once (lo consentiamo ma solo questa volta e ad una successiva riesecuzione torneremo all'avviso di cui sopra) - Trust Always (lo acconsentiamo definitivamente e per sempre). Qualunque sia la scelta fatta l'applicazione verrà segnalata da Prevx in SETTINGS -- Configurazione Manuale che di fatto è la Quarantena, e all'applicazione verrà dato il comportamento che abbiamo appena scelto. Io ora opto per eliminare l'eseguibile e infatti esso mi compare in Configurazione Manuale come file bloccato. Cliccandoci sopra posso sempre intervenire sulla decisione come si vede nella immagine che ho affiancato : Ora abbiamo reso inoffensivo il presunto malware che è in quarantena e ineseguibile, la comunity lo sta analizzando e tra pochissimo non sarà più considerato infetto ma un falso positivo, io comunque che già so che si tratta di un FP lo sblocco indicandolo come "Fidati Sempre" oppure, visto che la posso usare, agisco tramite TOOLS -- Undo Cleanup e clicco su Undo, in questo ultimo caso però una successiva apertura del programma mi farebbe ricominciare gli avvisi di infezione di Prevx. Fatte queste operazioni di pulizia tutto torna alla normalità, ma solo dopo uno scan chePrevx richiede obbligatoriamente visto che lo stato del programma è attualmente di allarme, cioè Attenzione - Infezioni Bloccate : Notate come il testo in alto sia rosso e anche l'icona di Prev vicino all'orologio sia dello stesso colore, poi una volta effettuata la scansione e non trovato infezioni tutto torna alla normalità, il nostro caro e amato verde. Ok, in questo esempio ho creato ad arte un pericolo ma avete visto come funziona la versione Pro in Real Time. In caso di FALSI POSITIVI andate in TOOLS -- Salva File di Log, Prevx vi salverà il risultato dell'ultima scansione fatta, quindi non è necessario riscansionare, poi inviate il log salvato a eraser a questo indirizzo falsipositivi@pcalsicuro.com risolveranno il problema in pochissimo tempo, sono velocissimi. Infezione trovata durante lo Scan Sopra si è analizzato il comportamento del Real Time di Prevx, ora vediamo come si comporta se le infezioni sono trovate durante una normale scansione. Questo test è stato fatto con la precedente versione Edge ma nulla cambia in sostanza con la versione attuale. Mentre sopra abbiamo analizzato un'unica minaccia, è invece molto interessane vedere come se la cava Prevx contro una massiccia infezione come quella qui messa in atto. Lanciato lo scan, Prevx esegue il controllo degli elementi critici del sistema o di una cartella specifica, durante questa azione trova delle infezioni che per sicurezza verifica ulteriormente : Come potete vedere dal numero di elementi che sta trovando possiamo ben dire "Houston abbiamo un problema" ma per fortuna il nostro Prevx Pro può salvarci. Finita la verifica Prvx ci mostra una nuova schermata suddivisa in diversi passaggi: Select Files to Remove : qui vedete tutte le infezioni trovate in sede di scansione. Ovviamente le eliminiamo tutte e clicchiamo su Next. Piccola nota a margine, se state provando una collezione di malware sappiate che per risparmiare risorse ed essere leggero Prevx trova al massimo 255 elementi infetti a scansione, quindi se per esempio avete 700 oggetti malevoli, autonomamente ripeterà questa procedura che sto descrivendo per 3 volte. Beh comunque una infezione di tale portata è effettivamente possibile solo in un test; Prepare for Cleanup : ora Prevx scaricherà una sorta di cura per il nostro pc, farà una serie di azioni in grado di cancellare i malware e le loro tracce dal nostro pc. Una volta scaricato questa serie di istruzioni Prevx ci avvertirà di salvare i files, chiudere ogni programma, disconnettersi da internet (tanto la "medicina" l'abbiamo già scaricata), disabilitare ogni altro prodotto di difesa per evitare conflitti o sovrapposizioni. Fatto ciò clicchiamo su Next; Cleanup : Ora inizia la vera fase di rimozione, le varie infezioni vengono cancellate dal sistema e con loro anche le cartelle o chiavi di registro da loro create. Al termine della pulizia Prevx passa autonomamente al sommario finale della sua azione; Summary : Qui potete vedere la fine della rimozione dei vari malware, Prevx vi consiglia di riabilitare gli altri prodotti di sicurezza e di riconnettervi a internet, cliccate Next e arrivate alla schermata finale. Qui vi viene data la possibilità di fare un punto di ripristino, contattare il supporto, risolvere un eventuale problema se l'infezione riguardava il desktop. Potete, se lo ritenete il caso, scegliere una o più di queste opzioni o anche nessuna, ora vi basta cliccare su Finish Cleanup ed il sistema è pulito. Prevx farà poi una ulteriore scansione in automatico per certificare l'effettiva assenza di malware sul sistema. Infezione trovata nel Master Boot Record Prevx è l'unico software a controllare l' MBR e nel caso trovi una infezione o vi sia un programma che cerca di modificare il Master Boot, allora vi segnala questa minaccia con un avviso come questo: Se questa allerta è dovuta all'ultimo MBR Rootkit di cui trovate qui la descrizione fatta da Marco Giuliani alias eraser, in quel caso anche la versione free elimina la minaccia, occorre però che dopo l'avviso analogo a quello visto (con il tasto bloccare grigio, quindi non disponibile) facciate una scansione del sistema. Se l'infezione trovata è quella, allora Prevx eliminerà la minaccia ed ogni modifica apportata da questa all'MBR, ne avete conferma qui e dalla immagine sotto. Ora avete visto come lavora a versione Pro contro le infezioni sia in ambito real time che in ambito di scansione. Che ne dite ? Secondo me è un ottimo prodotto !!! __________________ Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services Ultima modifica di Romagnolo1973 : 13-11-2009 alle 19:00.