Avira Antivirus 9/10

[lupin87]

scusate ragà,possiedo antivir premium 9 in inglese e quando avvio il pc la cpu sta sempre al 100 % e viene occupata dal processo update.exe(infatti se termino questo processo la percentuale di lavoro della cpu scende);
inoltre,quando lancio l' update manualmente ci mette circa un minuto e mezzo- 2 minuti per fare l' update....capita anche a qualcun altro questo problema?

[done75]

Quote:

Originariamente inviato da done75

Anzi, sulla questione ci sono novità (prese dal forum ufficiale)

per cambiare l'opzione di cui parlavamo non invasivamente (senza reinstallare ma soltanto richiamando il wizard):

Aprire il Prompt Dei Comandi,digitare:

cd c:\programmi\avira\antivir desktop
avconfig /wizard

si aprirà soltanto il wizard di configurazione post-installazione(da dove potremo modificare l'opzione "maledetta")

Thanks to kevin009

Quote:

Originariamente inviato da Novalis1977

In effetti questa decisione si può modificare solo disinstallando e reinstallando Antivir...
Io comunque ho usato l'avvio "anticipato forzato" e devo dire che a livello di prestazioni non è cambiato nulla, anzi... Antivir si mantiene comunque leggero anche in codesta modalità...

...non penso proprio che sia necessario reinstallare

Anzi,ti dirò di più....con questa soluzione puoi switchare tutte le volte che desideri

[juninho85]

la versione scaricabile è l'ultima disponibile dunque con le ultime migliorie rilasciate,bug risolti e grafica inclusi,mentre le firme aggiornate devi scaricarle manualmente

[TROPPO_silviun]

Quote:

Originariamente inviato da done75

...non penso proprio che sia necessario reinstallare
Anzi,ti dirò di più....con questa soluzione puoi switchare tutte le volte che desideri

Da vostra esperienza, switchando e non facendo l'avvio prioritario come consigliato in fase di installazione, si rende in generale un po' più veloce l'avvio del sistema operativo? Solo perchè, almeno sulla mia macchina in firma, lo trovo un po' più lento in avvio rispetto alla 8, è solo una mia sensazione? Byez
PS Avendo anche Comodo e sentendomi sicuro, a fronte di un leggero miglioramento, lo farei avviare anche leggermente dopo questo Avira 9 .. boh ..

[VashTheStampede83]

Sono anche io passato dalla versione 8 alla 9.
Dopo gli aggiornamenti di rito ho fatto una bella scansione...l'unica cosa di "preoccupante" che mi ha trovato è stata una archivio nella cache di java, ora il percorso non lo ricordo. La minaccia veniva identificata come qualcosa.Downloader.aq; ovviamente è stata eliminata. Andando a vedere la descrizione direttamente dal sito di Avira dice che è una classe java che in pratica ti scarica e installa un file ""nc.exe" da un dominio particolare, ma poi nella descrizione si dice che "il file non risulta più disponibile per ulteriori ricerche". Secondo le vostre conoscenze il fatto che in qualche modo (java script) sia stato scaricato questo archivio infetto, vuole dire che sicuramente è stato eseguito oppure è possibile che sia rimasto inattivo? Considerate che non ho avuto altri rilevamenti sospetti con le seguenti scansioni in successione (Avira,SuperAntipyware,A-Squared).
PS:Con il guard attivo in scrittura/lettura non avrei dovuto ricevere un qualche avviso da Avira? Forse essendo catalogato (non ricordo al 100% ma mi pare di si) come spyware la vecchia versione non l'aveva riconosciuto?

[juninho85]

magari quell'infezione è stata inclusa nelle firme quando il file già era scaricato

[VashTheStampede83]

Quote:

Originariamente inviato da juninho85

magari quell'infezione è stata inclusa nelle firme quando il file già era scaricato

Probabile. Per quanto riguarda il discorso che avvolte (e mi è successo anche in passato) l'antivirus rileva delle minacce, ma poi andando a vedere i comportamenti nelle varie descrizioni, in realtà la minaccia non è stata eseguita e quindi non ha infettato il sistema?

[Roby_P]

Quote:

Originariamente inviato da VashTheStampede83

Probabile. Per quanto riguarda il discorso che avvolte (e mi è successo anche in passato) l'antivirus rileva delle minacce, ma poi andando a vedere i comportamenti nelle varie descrizioni, in realtà la minaccia non è stata eseguita e quindi non ha infettato il sistema?

Per come la vedo io, sta facendo solo il suo dovere!
Io l'antivirus lo installo per proteggere il pc. Bene se mi avvisa che il pc è infetto e mi elimina l'infezione, ancora meglio se mi trova una minaccia prima ancora che mi infetti il pc!! Anche se la minaccia non è stata eseguita e magari non sarà mai eseguita, io persolamente preferisco non lasciarla lì

[VashTheStampede83]

Quote:

Originariamente inviato da Roby_P

Per come la vedo io, sta facendo solo il suo dovere!
Io l'antivirus lo installo per proteggere il pc. Bene se mi avvisa che il pc è infetto e mi elimina l'infezione, ancora meglio se mi trova una minaccia prima ancora che mi infetti il pc!! Anche se la minaccia non è stata eseguita e magari non sarà mai eseguita, io persolamente preferisco non lasciarla lì

Ciao Roby,su quello che dici non c'è dubbio. Il mio dubbio riguarda appunto il caso in cui una minaccia viene rilevata (ed eliminata) come unico file, ma poi non ci sono altre tracce del suo comportamento (altri file sospetti, chiavi di registro....), come se appunto non fosse stata eseguita.

[Roby_P]

Quote:

Originariamente inviato da VashTheStampede83

Ciao Roby,su quello che dici non c'è dubbio. Il mio dubbio riguarda appunto il caso in cui una minaccia viene rilevata (ed eliminata) come unico file, ma poi non ci sono altre tracce del suo comportamento (altri file sospetti, chiavi di registro....), come se appunto non fosse stata eseguita.

Ciao VashTheStampede83

Io direi che ti ha detto
Sarà che ho una grande fiducia in Avira e COMODO, ma io non mi preoccuperei se fossi in te
Tra l'altro hai già controllato il pc anche con SuperAntipyware e A-Squared.

Ciao ciao

[VashTheStampede83]

Quote:

Originariamente inviato da Roby_P

Ciao VashTheStampede83

Io direi che ti ha detto
Sarà che ho una grande fiducia in Avira e COMODO, ma io non mi preoccuperei se fossi in te
Tra l'altro hai già controllato il pc anche con SuperAntipyware e A-Squared.

Ciao ciao

Io infatti sono tranquillo (anche se tranquillo dalle mie parti si dice che ha fatto una brutta fine:-)) viste le scansioni fatte. Il mio è semplicemente un dubbio
PS: Ti ricordi che io ho comodo 2.4 vero?

[GmG]

Quote:

Originariamente inviato da VashTheStampede83

Sono anche io passato dalla versione 8 alla 9.
Dopo gli aggiornamenti di rito ho fatto una bella scansione...l'unica cosa di "preoccupante" che mi ha trovato è stata una archivio nella cache di java, ora il percorso non lo ricordo. La minaccia veniva identificata come qualcosa.Downloader.aq; ovviamente è stata eliminata. Andando a vedere la descrizione direttamente dal sito di Avira dice che è una classe java che in pratica ti scarica e installa un file ""nc.exe" da un dominio particolare, ma poi nella descrizione si dice che "il file non risulta più disponibile per ulteriori ricerche". Secondo le vostre conoscenze il fatto che in qualche modo (java script) sia stato scaricato questo archivio infetto, vuole dire che sicuramente è stato eseguito oppure è possibile che sia rimasto inattivo? Considerate che non ho avuto altri rilevamenti sospetti con le seguenti scansioni in successione (Avira,SuperAntipyware,A-Squared).
PS:Con il guard attivo in scrittura/lettura non avrei dovuto ricevere un qualche avviso da Avira? Forse essendo catalogato (non ricordo al 100% ma mi pare di si) come spyware la vecchia versione non l'aveva riconosciuto?

Quando in una pagina viene richiamato l'esecuzione di programma java viene eseguita la java virtual machine che scarica il file con l'applicazione *.jar nella cache (non è altro che uno zip rinominato) e poi ne esegue il codice.
Nel caso in cui la Java virtual machine sia vulnerabile viene eseguito anche l'exe attraverso la vulnerabilità (nel tuo caso nc.exe), se invece la versione è l'ultima con tutte le vulnerabilità patchate il programma nc.exe non verrà eseguito ma il file rimarrà nella cache.

[DLz]

Quote:

Originariamente inviato da juninho85

con quale dicitura viene identificato quel file dalle firme di avira,solo"malware" mi sembra un pò strano visto il file di cui dici si tratta

Ecco il risultato di tutta l'analisi del file cmdow.exe:

File ID Filename Size (Byte) Result
234274 cmdow.exe 30.5 KB MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result
cmdow.exe MALWARE

The file 'cmdow.exe' has been determined to be 'MALWARE'. Our analysts named the threat SPR/HideWindows.I. The term "SPR/" ("Security or Privacy Risk") denotes a program that might possibly be able to affect the security of your system, might trigger activities you might not want or might violate your privacy.Detection is added to our virus definition file (VDF) starting with version 6.34.00.141.

[VashTheStampede83]

Quote:

Originariamente inviato da GmG

Quando in una pagina viene richiamato l'esecuzione di programma java viene eseguita la java virtual machine che scarica il file con l'applicazione *.jar nella cache (non è altro che uno zip rinominato) e poi ne esegue il codice.
Nel caso in cui la Java virtual machine sia vulnerabile viene eseguito anche l'exe attraverso la vulnerabilità (nel tuo caso nc.exe), se invece la versione è l'ultima con tutte le vulnerabilità patchate il programma nc.exe non verrà eseguito ma il file rimarrà nella cache.

Grazie GmG della risposta, ma da quello che ho letto sulla descrizione dal sito di Avira, il .jar era un'applicazione che scaricava (in teoria) il file nc.exe da un sito in particolare. Infatti Antivir mi ha segnalato solo la presenza solo del .jar, e di nessun .exe, come se appunto la classe non fosse stata eseguita.(Il .jar è stato riconosciuto come il downloader.aq, mentre il file exe che avrebbe dovuto scaricare sarebbe stato sicuramente qualcos'altro) Può comunque essere dovuto allo stesso motivo che indichi tu?
PS:Eseguo gli aggiornamenti java (come quelli di Win) ogni volta che mi vengono segnalati.

[juninho85]

SPR/HideWindows

dunque non un virus,ma un file che può esser utilizzato da malintenzionati per far danni,dunque la rilevazione è lecita

[DLz]

Quote:

Originariamente inviato da juninho85

SPR/HideWindows

dunque non un virus,ma un file che può esser utilizzato da malintenzionati per far danni,dunque la rilevazione è lecita

Ok.Ma se lo eliminassi potrei avere problemi?Potrebbe tornarmi utile questo file?

[juninho85]

Quote:

Originariamente inviato da DLz

Ok.Ma se lo eliminassi potrei avere problemi?Potrebbe tornarmi utile questo file?

e lo chiedi a me?sapevi esattamente di che file si tratta no?!

[GmG]

Quote:

Originariamente inviato da VashTheStampede83

Grazie GmG della risposta, ma da quello che ho letto sulla descrizione dal sito di Avira, il .jar era un'applicazione che scaricava (in teoria) il file nc.exe da un sito in particolare. Infatti Antivir mi ha segnalato solo la presenza solo del .jar, e di nessun .exe, come se appunto la classe non fosse stata eseguita.(Il .jar è stato riconosciuto come il downloader.aq, mentre il file exe che avrebbe dovuto scaricare sarebbe stato sicuramente qualcos'altro) Può comunque essere dovuto allo stesso motivo che indichi tu?
PS:Eseguo gli aggiornamenti java (come quelli di Win) ogni volta che mi vengono segnalati.

L' exe può essere contenuto nel .jar o scaricato direttamente dal web.

P.S.
Il malware TR/Dldr.Java.OpenConnection.AQ l'ho segnalato io ad avira (il 29/09/2008)

[DLz]

Quote:

Originariamente inviato da juninho85

e lo chiedi a me?sapevi esattamente di che file si tratta no?!

Si ma volevo sapere se qualcuno avesse avuto la mia stessa esperienza e se eliminandolo il pc ha poi dato problemi.Io so che non dovrebbe darne,ma volevo solo esserne sicuro.

[VashTheStampede83]

Quote:

Originariamente inviato da GmG

L' exe può essere contenuto nel .jar o scaricato direttamente dal web.

P.S.
Il malware TR/Dldr.Java.OpenConnection.AQ l'ho segnalato io ad avira (il 29/09/2008)

Ora il nome non lo ricordo di preciso, ti farò sapere. Ma se come in questo caso(a detta della descrizione) il file viene scaricato dal web, ma del file non c'è traccia nel mio pc(e sempre a detta della descrizione anche nel web), si può affermare con ragionevole sicurezza, anche alla luce delle scansioni fatte con i vari strumenti, che la classe java non è stata eseguita? E può questo comportamento dipendere appunto da vulnerabilità "tappate" nella JVM? Grazie per la pazienza!