Antivir INCREDIBILE - Pagina 2

sycret_area · 10-03-2008, 20:16

Quote:

Originariamente inviato da forum1

Forse mi sono spiegato male

I file contenuti nell'archivio sono 48 e sono tutte varianti di nsis media quindi tutti devono essere rilevati come malware. Dovete scansionare le singole dll non l'archivio compresso.

Dovete fare una scansione con antivir e poi una scansione con il tool da riga di comando sempre di avira. Il tool da riga di comando utilizza le stesse definizioni di antivir con l'interfaccia grafica. Spero che sappiate come si usa un tool da riga di comando.

Vedrete delle differenze mentre antivir becca solo 1 su 48 dll il tool da riga di comando le becca tutte e 48 come si evince dal log che ho allegato nel primo post.

La domanda è come è possibile una simile discrepanza, io me la spiego con un difetto dello scanner, ovvero il tool da riga di comando è più efficace.

Non mi interessa più tanto la differenza tra antivirus diversi.

il mio Avira Premium manco mi fa aprire il file con 7zip, mi rileva subito l'infezione...

forum1 · 11-03-2008, 08:26

Allora dato che Antivir personal edition classic ha questa limitazione (che non rileva gli adspy) possiamo aggirare parzialmente la cosa con questo piccolo trucco.

Copiate i seguenti file nella cartella C:\Programmi\VIRSCAN

avcls.exe (tool a riga di comando)

antivir0.vdf
antivir1.vdf
antivir2.vdf
antivir3.vdf
avewin32.dll
avpack32.dll
avrep.dll

Tali file li potete reperire dal sito di avira.

AntiVir unicode update package (Windows 2000, XP, XP 64Bit, Vista 32 Bit and Vista 64 Bit):

http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip

avcls.exe

http://dl.antivir.de/down/windows/antivir_avcls_en.zip

Create un file con estensione .reg con il seguente codice e aggiungetelo al registro di windows con un doppio click.

Codice:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN]
@="VIRSCAN"

[HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN\Command]
@="C:\\Programmi\\VIRSCAN\\avcls.exe -noboot -nombr -r3 -heuristic:3  \"%1\" "

[HKEY_CLASSES_ROOT\*\shell\VIRSCAN]
@="VIRSCAN"

[HKEY_CLASSES_ROOT\*\shell\VIRSCAN\command]
@="C:\\Programmi\\VIRSCAN\\avcls.exe -noboot -nombr -r3 -heuristic:3  \"%1\" "

Fatto questo avrete nel menu contestuale una voce con la quale lanciare una scansione on demand di singoli file o di tutti i file contenuti in una cartella (escluse le sottocartelle)

Se nel vostro pc il percorso del file avcls.exe fosse differente dovrete modificare opportunamente le voci del registro

HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN\Command

HKEY_CLASSES_ROOT\*\shell\VIRSCAN\command

Il tool a riga di comando a differenza di antivir personal edition classic è in grado di rilevare anche i malware della categoria adspy (adware) pur utilizzando le medesime firme virali.

Inoltre se usate un diverso antivirus potete usare questa scansione come un secondo parere senza dover fare una vera installazione di Antivir. L'unica accortezza è mantenere periodicamente aggiornati i file necessari al tool.

juninho85 · 11-03-2008, 08:29

i parametri -nombr -r3 e \"%1\ a cosa fanno riferimento?

forum1 · 11-03-2008, 08:39

Quote:

Originariamente inviato da juninho85

i parametri -nombr -r3 e \"%1\ a cosa fanno riferimento?

sono tutti parametri del tool io ho messo solo quelli necessari a scansionare un file o più file contemporaneamente da menu contestuale.

%1 è la variabile d'ambiente utilizzata da windows per dire al tool quale file deve scansionare.

Codice:

Usage is: AVCLS [options] [path[\*.ext]] [*.ext]

where options are:

 -? / -h ......... display the help text

 -allfiles ....... scan all files

 -defext ......... use the default extension list for scanning

 -allboot ........ scan all boot records

 -alldrives ...... scan all drives

 -allhard ........ scan all hard disks

 -allremote ...... scan all network drives

 -wub ............ save unknown boot records to file '.\UKB.SAV'

 -s .............. scan subdirectories

 -z .............. files in archives will be extracted and scanned

 -noboot ......... do not check any boot records

 -nombr .......... do not check any master boot records

 -nobreak ........ disable Ctl-C and Ctrl-Break

 -v .............. verbose scan mode

 -nopack ......... do not scan inside packed files

 -e [-del | -ren]  repair detected files if possible

                   [-del] non-repairable files will be deleted

                   [-ren] non-repairable files will be renamed

 -ren ............ rename detected files (*.COM->*.VOM,...)

 -del ............ delete detected files

 -dmnoheur ....... disable macro heuristic

 -dmdel .......... delete documents containing suspicious macros

 -dmdas .......... delete all macros if one appears to be suspicious

 -dmse ........... set exit code to 101 if any macro was found

 -heuristic[:|=]1  heuristic detection rate low

 -heuristic[:|=]2  heuristic detection rate medium

 -heuristic[:|=]3  heuristic detection rate high

 -r1 ............. just log infections and warnings

 -r2 ............. log all scanned paths in addition

 -r3 ............. log all scanned files

 -r4 ............. select verbose log mode

 -rs ............. select single-line log messages

 -rf<filename> ... name of log file

                   ?d = day, ?m = month, ?y = year (two digits each)

 -ra ............. append new log data to existing file

 -ro ............. overwrite existing log file

 -q .............. quiet mode

 -lang[:|=]DE .... use German texts

 -lang[:|=]EN .... use English texts

 -once ........... run AVCLS only once a day

 -tmp<dir> ....... specify the directory for temporary files

 -x<dir> ......... AVCLS looks for its files e.g. 'antivir3.vdf' in <dir>

 -if<filename> ... AVCLS uses the given ini file

 -kf<filename> ... AVCLS uses the given license file

 -with-<type> .... detect unwanted programs,

                   like "dial", "joke", "game",

                   "bdc", "heur-dblext", "pck", "spr", "adspy"

                   the following types are enabled by default:

                   "dial", "bdc", "heur-dblext", "adspy"

 -without-<type>.. like --with-<type>, but disables this type

 -alltypes ....... combination of all known -with-<type> options

 -qua-<type> <dir> the quarantine function enables detected files

                   to be isolate in special

                   directory by specifying:

                   "qua-move <dir>", "qua-copy <dir>"

                   or rather "-qua-restore <dir>", "-qua-delete <dir>

                   to restore or delete files

 @<rspfile> ...... read parameters from the file <rspfile>

                   with each option in a separate line



list of return codes:

   0: Normal program termination, no malware, no error

   1: Detection pattern was found in a file or boot sector

   2: A detection pattern was found in memory

   3: Suspicious file found

 100: AVCLS only has displayed this help text

 101: A macro was found in a document file

 102: The parameter -once was given and AVCLS already ran today

 200: Program aborted, not enough memory available

 201: The given response file could not be found

 202: Within a response file another @<rsp> directive was found

 203: Invalid parameter

 204: Invalid (non-existent) directory given at command line

 205: The log file could not be created

 210: AVCLS could not find a necessary dll file

 211: Programm aborted, because the self check failed

 212: Virus definition file could not be found or read error

 213: An error occured during initialisation

examples:

   scan all files on drive C:

    AVCLS -s C:\*

   scan, repair & delete damaged/overwritten files on drives C: and D:

    AVCLS C:\ D:\ -s -e

federico_78 · 13-03-2008, 11:41

Interessante....ora provo!!!!

11-03-2008, 08:26	#22
forum1 Bannato Iscritto dal: Sep 2006 Città: Non vivo da nessuna parte Messaggi: 347	Trucco da usare con il tool a riga di comando Allora dato che Antivir personal edition classic ha questa limitazione (che non rileva gli adspy) possiamo aggirare parzialmente la cosa con questo piccolo trucco. Copiate i seguenti file nella cartella C:\Programmi\VIRSCAN avcls.exe (tool a riga di comando) antivir0.vdf antivir1.vdf antivir2.vdf antivir3.vdf avewin32.dll avpack32.dll avrep.dll Tali file li potete reperire dal sito di avira. AntiVir unicode update package (Windows 2000, XP, XP 64Bit, Vista 32 Bit and Vista 64 Bit): http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip avcls.exe http://dl.antivir.de/down/windows/antivir_avcls_en.zip Create un file con estensione .reg con il seguente codice e aggiungetelo al registro di windows con un doppio click. Codice: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN] @="VIRSCAN" [HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN\Command] @="C:\\Programmi\\VIRSCAN\\avcls.exe -noboot -nombr -r3 -heuristic:3 \"%1\" " [HKEY_CLASSES_ROOT\\shell\VIRSCAN] @="VIRSCAN" [HKEY_CLASSES_ROOT\\shell\VIRSCAN\command] @="C:\\Programmi\\VIRSCAN\\avcls.exe -noboot -nombr -r3 -heuristic:3 \"%1\" " Fatto questo avrete nel menu contestuale una voce con la quale lanciare una scansione on demand di singoli file o di tutti i file contenuti in una cartella (escluse le sottocartelle) Se nel vostro pc il percorso del file avcls.exe fosse differente dovrete modificare opportunamente le voci del registro HKEY_CLASSES_ROOT\Directory\shell\VIRSCAN\Command HKEY_CLASSES_ROOT\*\shell\VIRSCAN\command Il tool a riga di comando a differenza di antivir personal edition classic è in grado di rilevare anche i malware della categoria adspy (adware) pur utilizzando le medesime firme virali. Inoltre se usate un diverso antivirus potete usare questa scansione come un secondo parere senza dover fare una vera installazione di Antivir. L'unica accortezza è mantenere periodicamente aggiornati i file necessari al tool.

11-03-2008, 08:29	#23
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	i parametri -nombr -r3 e \"%1\ a cosa fanno riferimento?

13-03-2008, 11:41	#25
federico_78 Senior Member Iscritto dal: Mar 2006 Messaggi: 608	Interessante....ora provo!!!!

Strumenti
Mostra una versione stampabile Invia questa pagina per email