Avira Antivirus 9/10

[sassi]

ma scusa con la scansione non trova nulla?
Vai in provvisorio ed elimina quel rootkit (se ci riesci)
E scansiona in provvisorio
se hai gia fatto cosi allora non so cosa possa consigliarti (lascia il format)

[Trokji]

Mi iscrivo. Utilizzo antivir da 3 anni

[andrea.ippo]

Quote:

Originariamente inviato da sassi

ma scusa con la scansione non trova nulla?
Vai in provvisorio ed elimina quel rootkit (se ci riesci)
E scansiona in provvisorio
se hai gia fatto cosi allora non so cosa possa consigliarti (lascia il format)

Ti scrivo dalla modalità provvisoria
Adesso il problema sembra sia risolto, non so come né perché, ho rimosso un elemento trovato da spybot che inizialmente (in mod. non provvisoria) sembrava non aver cambiato nulla, ma in mod. provvisoria il risultato c'è stato, ora carico tutte le pagine
Torno in mod. normale e anche qui per fortuna tutto ok.

Solo che GMER mi continua a notificare una modifica che, mi dice, forse è causata da un rootkit.
nè superantispyware né antivir né malwarebyte hanno trovato nulla però, ora sto ripassando di nuovo con spybot per vedere se ritrova qualcosa

Se passa tutto liscio, penso che non formatto, anche se ho sempre un po' di paura che qlcs ci sia ancora.

Per curiosità, se tu lanci GMER, non ti notifica nulla?

A me dice "GMER has found a system modification, which might have been caused by ROOTKIT activity"

Fammi sapere grazie

[andrea.ippo]

Aggiungo un estratto del log di GMER:

Codice:

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )  [AUTO] oiocytog                                              <-- ROOTKIT !!!

Ho inviato il file svchost a virustotal e ottiene 0/39 rilevazioni (quindi pulito)
NON l'ho cancellato ovviamente, trattandosi di un file di sistema.

A questo punto però se avessi un pc pulito non dovrei avere questa segnalazione da GMER, o no?

Forse c'entra qlcs il fatto che ho applicato la famosa patch per poter installare temi per xp personalizzati?

PS: Buon 2009!!!

[andrea.ippo]

Come non detto...
Sto di nuovo in modalità normale e non mi ricarica nessuno dei siti citati...
ho provato anche blacklight di f-secure, spybot non mi ha più trovato nulla, superantispyware neanche.
GMER continua imperterrito a segnalarmi svchost che però non oso cancellare (anche perché quando sono riuscito a inviarlo a virustotal da mod. provv. risultava pulito), ora sto passando con Rootkit Revealer della sysinternals

Se mi rompo le palle domani formatto e ripristino l'immagine fatta con acronis, mica no...
Così vediamo chi la spunta, rootkit di merd! (scusate mi sono lasciato andare )

[jedy48]

Quote:

Originariamente inviato da andrea.ippo

Come non detto...
Sto di nuovo in modalità normale e non mi ricarica nessuno dei siti citati...
ho provato anche blacklight di f-secure, spybot non mi ha più trovato nulla, superantispyware neanche.
GMER continua imperterrito a segnalarmi svchost che però non oso cancellare (anche perché quando sono riuscito a inviarlo a virustotal da mod. provv. risultava pulito), ora sto passando con Rootkit Revealer della sysinternals

Se mi rompo le palle domani formatto e ripristino l'immagine fatta con acronis, mica no...
Così vediamo chi la spunta, rootkit di merd! (scusate mi sono lasciato andare )

prova con Prevx2.0

[sampei.nihira]

Quote:

Originariamente inviato da andrea.ippo

purtroppo non è quello il problema, è stata la prima cosa che ho controllato.
Tu confermi che riesci ad accedere ai siti che ho citato prima?

GMER mi ha trovato un rootkit in svchost, ma non sono riuscito a toglierlo neanche con spybot (mentre malwarebyte non ha trovato nulla).
Tutti gli altri tool segnalati nel readme "aiuto sono infetto" sono per me inaccessibili, ora da entrambi i pc...

Sono disperato, mi sa che passerò il primo giorno del 2009 a formattare ben due pc (vabbè, almeno di uno ho l'immagine fatta con acronis...)

Altri suggerimenti sono naturalmente ben accetti

Grazie

Fai precauzionalmente una riprova con altri tool (almeno 2),tipo RootRepeal e simili.

[manga81]

Quote:

Originariamente inviato da GmG

La licenza è valida anche per la versione 9.
Quasi sicuramente ti si aggiornerà automaticamente alla versione 9 ( se nelle opzioni hai abilitato l'aggiornamento automatico del prodotto / Product updates)

per il momento siamo sempre alla 8
http://www.free-av.com/en/download/1...antivirus.html

Quote:

Originariamente inviato da serpone

cmq avira rileva alcuni falsi positivi
Tipo: entrate nel sito del mio paese e ti dice chè c'è un virus (cosa non vera)
Però come AV è ottimo e leggero, questo lo confermo!!

i falsi positivi li rilevano tutti gli antivirus

nel dubbio virustotal

Quote:

Originariamente inviato da juninho85

1 year è la licenza che hai ora in scadenza(come anche l'altra scaduta)ed è IMPOSSIBILE che l'hai richiesta nel sito di avira,come ti ho detto prima
se invece vai nel sito di avira,precisamente qui(che è il sito in cui tu mi hai detto di averla richiesta),l'unica licenza che ti fanno è per 1 MESE...anche se hai tempi in cui l'hai prelevata se non sbaglio la davano gratuitamente per 3 mesi

che io sappia solo 1 o 3 mesi dal sito avira

Quote:

Originariamente inviato da jedy48

ma Comodo funziona anche con i 64 bit?

Quote:

Originariamente inviato da andrea.ippo

E io da bravo idiota l'ho pure visitato, col risultato che STRANAMENTE non mi carica più le pagine di virustotal né di trend micro per l'invio di campioni da analizzare...che strano eh?

Ora la domanda: come disinfetto sta roba? Ho antivir personal con euristica al massimo (e pure noscript con FF, cazzo!)

Grazie

non vorrei sbagliare ma comodo è l'unico forse tra i free a supportare i 64 bit

se non è l'unico di sicuro è il migliore visto che ne OA ne pctools lo supportano

Quote:

Originariamente inviato da andrea.ippo

E ora manco pià il pc fisso va su quei siti!!!
Mi tocca formattarne due in un colpo solo?

Voi riuscite ad andare su trendmicro.com o avast.com, o superantispyware.com?
Stranamente sul sito di antivir ci arrivo... non è che magari hanno toppato qlcs con le firme virali di oggi? (col desktop non ho mai visitato quel sito infetto!)

fatemi sapere, grazie

fino a domani non ci penso più...certo che entrare nell'anno nuovo con un virus non è di buon auspicio

stavo per dirti d'usare spybot...anche a me raramente non mi fa accedere ad alcuni siti nonostante con decine di programmi sembra tutto ok

Quote:

Originariamente inviato da andrea.ippo

purtroppo non è quello il problema, è stata la prima cosa che ho controllato.
Tu confermi che riesci ad accedere ai siti che ho citato prima?

GMER mi ha trovato un rootkit in svchost, ma non sono riuscito a toglierlo neanche con spybot (mentre malwarebyte non ha trovato nulla).
Tutti gli altri tool segnalati nel readme "aiuto sono infetto" sono per me inaccessibili, ora da entrambi i pc...

Sono disperato, mi sa che passerò il primo giorno del 2009 a formattare ben due pc (vabbè, almeno di uno ho l'immagine fatta con acronis...)

Altri suggerimenti sono naturalmente ben accetti

Grazie

se ho ben capito da altri post alla fine hai risolto tutto

tutto è bene ciò che finisce bene


AUGURI A TUTTI

[sampei.nihira]

Quote:

Originariamente inviato da GmG

il primo sito xtremehw[DOT]it è sicuramente infetto

http://www.virustotal.com/it/analisi...a9ddb74062c2e4

Il secondo mi viene segnalato un file JS/Agent.6300 e mi sembra un falso positivo

Si, il primo sito è infetto,quindi cautela.



Anche AVIRA free interviene.
Prova effettuata con Opera lanciato da privilegi ridotti,RVS attivo,Avira attivo,EQS attivo.
Nessun problema, come riportato nelle pagine precedenti, all'apertura di alcune pagine internet.

[papero giallo]

Quote:

Originariamente inviato da colex

Veramente l'ho richiesta attreverso questo link ...

Acc...promo scaduta.

p.s. buon 2009 a tutti voi

[waikiki]

Quote:

Originariamente inviato da waikiki

Ciao ragazzi scusate ma negli ultimi giornis pesso Avira mi segnala questo:

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\170NTB60\ufgi[1].jpg.

Il percorso è sempre questo:

'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\

come faccio a verificare se un file .jpg è effettiamente un malware visto che lo scan antivir mi da 0 errori pero' in tempo reale mi segnala malware diranye l'uso del pc mi segnala questi malware provenienti da 3 cartelle che sono nel percorso suddetto??

[juninho85]

Quote:

Originariamente inviato da waikiki

come faccio a verificare se un file .jpg è effettiamente un malware visto che lo scan antivir mi da 0 errori pero' in tempo reale mi segnala malware diranye l'uso del pc mi segnala questi malware provenienti da 3 cartelle che sono nel percorso suddetto??

virustotal.com,come detto anche in prima pagina

[juninho85]

Quote:

Originariamente inviato da papero giallo

Acc...promo scaduta.

...tra l'altro!

[juninho85]

link
chi ha tempo provi questa soluzione per rimuovere pubblicità in aggiornamento e splash screen all'avvio

[waikiki]

Quote:

Originariamente inviato da juninho85

virustotal.com,come detto anche in prima pagina

juninho il problema è che io il file .jpg non lo vedo, come devo spiegarlo?
Da dove lo prendo me lo invento?
Si puo' prenderlo dal reports di Avira che appunto è l'unico che me lo segnala per poi peor' nons egnlarmi nulla quando vado a fare lo Scan normale di tutto C: o della directory interessata??

[juninho85]

Quote:

Originariamente inviato da waikiki

juninho il problema è che io il file .jpg non lo vedo, come devo spiegarlo?
Da dove lo prendo me lo invento?
Si puo' prenderlo dal reports di Avira che appunto è l'unico che me lo segnala per poi peor' nons egnlarmi nulla quando vado a fare lo Scan normale di tutto C: o della directory interessata??

disabilita il guard,vai nel percorso,ripristini il file dalla quarantena e vedi se compare

[marcoesse]

Quote:

Originariamente inviato da fred_151

http://www.hwupgrade.it/forum/showthread.php?t=1895605
Ciao a tutti, questo è il mio primo messaggio.....
Il programma NoNotifyAvira v1.6 toglie lo splash iniziale di avira e......
....scrivo la chiavi che modificherà il programma.....
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min /nosplash"
Ho semplicemente aggiunto la voce /nosplash che permette di nascondere la schermata di avvio di antivir.
By fred_151

Quote:

Originariamente inviato da juninho85

link
chi ha tempo provi questa soluzione per rimuovere pubblicità in aggiornamento e splash screen all'avvio

ciao,
io ho Avira Premium ma lo Splash mi dava un po' fastidio e ho fatto la modifica sopracitata
per adesso tutto Ok è sparita ho spento e riacceso più volte Ok ....vedremo con gli aggiornamenti e l'avvio mi sembra più veloce
ho fatto anche girare l'exe NoNotifyAvira v1.6 della Free (per mettere ad amici) con PrevxEDGE che è "molto sensibile" tutto ok
ecco come ho messo la regola:
mia stringa originale
"C:\Programmi\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

modificato io: per no spash
"C:\Programmi\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min /nosplash"

da HwU per togliere spash da Avira Free
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min /nosplash"
ciao marco

[andrea.ippo]

Aggiornamenti:

sul notebook ho ripristinato l'immagine pulita (in 3 dico 3 minuti! WOW! era la prima volta che lo facevo...penso che la formattazione con tutti i crismi e la reinstallazione di xp da zero non la farò mai più!)


Ho due partizioni, temevo che su D: potessero essere rimaste tracce, su C: ero confidente che fosse pulito (appena piallato...)

Lancio GMER: tutto tranquillo (fiuuu)

Poi la caxxata: installo antivir, comodo, firefox, inizio a navigare: mi carica panda security, nod32, trendmicro, tutto ok.
Sono pronto per il passo successivo: RIMETTO IL VECCHIO PROFILO DI FIREFOX
ta-da! sorpresa

ripristino di nuovo l'immagine (altri 3 minuti, chissene ), stavolta vi scrivo da un profilo nuovo nuovo...però a questo punto sospetto che il profilo sia infetto.

Facendo altre prove però, noto una cosa molto strana:
la pendrive usata per copiare il profilo da un pc all'altro (non ho usato la lan per evitare contagi), viene vista in risorse del computer come CARTELLA (con tanto di icona, che è andata a sostituire quella del drive "grigio" e schiacciato di xp).
Noto anche che appena la collego, tra le scelte dell'autoplay, quella di default è qlcs tipo "esplora il contenuto del dispositivo con IL PROGRAMMA CONTENUTO".
Più sotto nell'elenco, trovo invece il tradizione "esplora il contenuto in esplora risorse"
Anche cliccando col destro sul drive (ora con icona di cartella), compaiono ben DUE voci Autoplay.

Insomma in sostanza credo sia infetta la pendrive: la formatto (non "veloce"), ma il problema si ripresenta: a questo punto o il rootkit infetta tutti i dispositivi che vengono collegati, oppure l'infezione è nell'MBR della pendrive (dove tra l'altro ho messo grub...)

Il succo del discorso è che adesso mi ritrovo con il profilo (con tanto di segnalibri accumulati nel corso di qualche anno) da rifare ex-novo, e una pendrive inutilizzabile (probabilmente se ne collego altre peggioro la situazione e vengono infettate anche quelle, quindi mi guardo bene dal farlo).

Ma soprattutto pensavo a questo: ora dei miei due pc, uno è pulito, l'altro è infetto. Se formatto anche quello infetto (il desktop), senza aver prima risolto il problema della pendrive, rischio che mi risputtano tutta l'installazione, quindi vorrei cercare di pulire la pendrive sul pc infetto.

Qualcuno si è già imbattuto in schifezze che possono comportarsi come ho detto? Una volta avevo beccato un virus tipicamente da pennetta, infettava autorun.inf.
Stavolta purtroppo sembra un altro, decisamente più tosto da togliere


Grazie



PS: per la cronaca: a me antivir free non mi ha segnalato un bel niente quando stavo su quel fott*to sito di mer*a di vendita di hardware.
Je possa pia' 'n colpo a chi la fatto (il sito, non antivir)

[waikiki]

Quote:

Originariamente inviato da juninho85

disabilita il guard,vai nel percorso,ripristini il file dalla quarantena e vedi se compare

se disabilito non è pericoloso scusa?
Cioè puo' infettarmi, se è davvero qualcosa, in qualsiasi momento.

Comunque in virustotal gli ho dato i file.qua della cartella INFECTED del programma.
E mi da risultato TRATTINO vicino ad ogni analisi di antivirus.
Che significa?Ho fatto bene a farl o questi fle .qua non serve inviargieli?

[juninho85]

il tempo di avere il file per mano,inoltre sei già infetto a quanto sembra,cosa vuoi di altro?
il qua è una copia del file infetto criptato,per cui è normale che nessuno te lo rilevi infetto