locked
Virus blocca l'antivirus RRS feed

  • Domanda

  • Ciao a tutti,
    come mai un antivirus pratico e leggero come Avira si fa "fregare" da un virus, nel senso che, pur segnalando il virus, si fa bloccare il servizio, e quindi diventa inutilizzabile?

    Ho preso infatti un virus. Avira in realtà me lo ha segnalato, ma poi non si avvia più il servizio, quindi niente scansioni e nemmeno aggiornamenti.

    Come mai succede?
    Significa che Avira è un antivirus scarso?

    Grazie

    Luigi

    martedì 15 novembre 2011 08:11

Risposte

  • Esegui una scansione del sistema con il tool Microsoft Safety Scanner e vedi se riesci a toglierlo.

    Per quanto riguarda Avira non lo conosco e quindi non so darti una opinione ma se devo prendere un antivirus free allora uso Microsoft Security Essentials, se invece ho bisogno di un antivirus business con gestione centralizzata etc. etc. uso NOD32.

    Tutti gli altri prodotti free o economici oramai non li prendo più in considerazione.


    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    • Contrassegnato come risposta Ciupaz martedì 15 novembre 2011 09:16
    martedì 15 novembre 2011 08:32

Tutte le risposte

  • Esegui una scansione del sistema con il tool Microsoft Safety Scanner e vedi se riesci a toglierlo.

    Per quanto riguarda Avira non lo conosco e quindi non so darti una opinione ma se devo prendere un antivirus free allora uso Microsoft Security Essentials, se invece ho bisogno di un antivirus business con gestione centralizzata etc. etc. uso NOD32.

    Tutti gli altri prodotti free o economici oramai non li prendo più in considerazione.


    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    • Contrassegnato come risposta Ciupaz martedì 15 novembre 2011 09:16
    martedì 15 novembre 2011 08:32
  • Grazie per i consigli Andrea.
    In effetti è inutile avere un antivirus se poi si fa bloccare dal primo virus che prende l'utente.
    Proverò con il NOD32, anche se qua bisogna sborsare qualche soldo.

    Luigi

    martedì 15 novembre 2011 09:15
  • Esegui una scansione del sistema con il tool Microsoft Safety Scanner e vedi se riesci a toglierlo.

    Per quanto riguarda Avira non lo conosco e quindi non so darti una opinione ma se devo prendere un antivirus free allora uso Microsoft Security Essentials, se invece ho bisogno di un antivirus business con gestione centralizzata etc. etc. uso NOD32.

    Tutti gli altri prodotti free o economici oramai non li prendo più in considerazione.


    Andrea... prima di tutto, il safety scanner gira all'interno dell'OS compromesso e, sebbene possa essere una buona scelta per un "secondo controllo" non lo consiglierei nella situazione corrente; in questo caso sarebbe meglio optare per il Microsoft System Sweeper che si avvia da CD e procede ad una scansione del sistema "offline" garantendo, in genere, migliori risultati; ovvio che, una volta completata tale scansione si potrà procedere con una seconda passata usando il safety scanner, ma usarlo per primo, come ho detto, non è consigliabile in questo caso

    Tornando al discorso antivirus; prima di tutto Avira non è solo "free" ma esiste anche in versione Enterprise o SBS (con tanto di console di gestione/aggiornamento etc...); in secondo luogo, un qualsiasi antivirus va considerato soltanto come una contromisura che aiuta ad EVITARE che il malware arrivi su un sistema, NON come una protezione; se consideri che il malware attuale "muta" rapidamente (ad esempio potresti vedere più di venti varianti diverse di un dato malware nel giro di alcune ore), è facile capire come sebbene sia una buona idea usare un antivirus, questo NON possa mettere al riparo da tutto; peggio, il malware attuale è in grado di compromettere rapidamente un sistema al punto da rendere qualsiasi tentativo di "disinfezione" del tutto inutile o, meglio, impraticabile, quindi non è colpa "dell'antivirus", anche se "ottimo", se qualcosa passa, ma degli utenti che NON hanno la corretta "educazione"; inoltre, sempre con riferimento al malware attuale, questo riesce a radicarsi così profondamente nel sistema che un qualsiasi tentativo di "scansione" usando un tool in esecuzione all'interno del sistema INFETTO è del tutto inutile, è per questo che è un'idea migliore usare un boot-cd per ripulire il sistema e, fatto ciò, volendo essere del tutto sicuri e tranquilli, sarebbe opportuno effettuare un backup dei propri dati e REINSTALLARE il sistema da zero (si, inclusa la formattazione e tutto il resto)

    ciao

     

     

    martedì 15 novembre 2011 16:15
  • concordo con obiwan , tuttavia , molto modestamente riporto la mia esperienza

    qualche tempo fa mi è passato un trojan , o meglio , HO CONSENTITO IO AL MALEDETTO DI ENTRARE perchè avast (sono 8 anni che uso il free a casa su 2 computer  ed usando il pc in maniera "oculata" non mi ha mai fatto passare schifezze) me l'aveva segnalato .... il mio amico vincenzo di russo mvp ms mi suggerì (dopo ore di tentativi ) due semplici e gratuiti programmini : superantispyware portable scanner e malwarebytes , mi hanno pulito tutto .... io prima di formattare un tentativo in modalità provvisoria lo farei ....

    http://www.superantispyware.com/portablescanner.html , scarica da un pc diverso e metti su una pen drive e dai una passata in safe mode

    http://www.malwarebytes.org/products/malwarebytes_free , puoi fare una seconda passata

    buona fortuna

    ciao



    martedì 15 novembre 2011 18:14
  • Sì sto poi procedendo alla riformattazione di tutto il disco C. Fortunatamente tengo tutto sul disco D: posta, documenti, immagini&video&musica. Non mi pesa molto il fatto di reinstallare tutto, anzi ne approfitto per ripulire il sistema, dato che con diverse installazioni di SQL Server Denali, Visual Studio 2011 Developer Preview e altre amenità qualcosa si era rotto. Mi sorprendeva solo il fatto che un antivirus si facesse bloccare così facilmente da un virus. Dovrebbero creare questi antivirus in modo che i loro file di sistema non siano corrompibili o modificabili, altrimenti è tutto inutile. Luigi
    martedì 15 novembre 2011 19:11
  • Cioè tu davvero pensi che se un virus è entrato in C il disco D (o partizione D) resta immune???

    Ciao

     


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration
    martedì 15 novembre 2011 19:27
  • Lo pensavo fino al momento in cui mi hai messo la pulce nell'orecchio...

    L

    martedì 15 novembre 2011 19:30
  • Si.

    Mantienila in modo costante e sicuro , questa "pulce".

    ;-)

    Ciao

     


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration
    martedì 15 novembre 2011 19:32
  • Provvedo a fare una scansione immediata del disco D! ;-)

     

    L

    martedì 15 novembre 2011 19:42
  • Cosa buona e giusta.

    Ciao

     


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration
    martedì 15 novembre 2011 19:43
  • Il fatto di usare un account non amministratore, mi metterebbe un po' al riparo da ulteriori minacce?

    Luigi

    martedì 15 novembre 2011 20:17
  • Sicuramente aumenterebbe la sicurezza.

    Ma anche mantenere il controllo account utente alle impostazioni consigliate o superiori.

    Ciao

     


    Franco Leuzzi - Microsoft ® MVP Windows Expert-IT Pro \System Administration
    martedì 15 novembre 2011 22:07
  • ha mai fatto passare schifezze) me l'aveva segnalato .... il mio amico vincenzo di russo mvp ms mi suggerì (dopo ore di tentativi ) due semplici e gratuiti programmini : superantispyware portable scanner e

    Il suggerimento di Vincenzo era sicuramente buono, il problema è che, come ho già scritto, il malware attuale è nella maggioranza dei casi basato su codice "rootkit"; questo è in grado di insediarsi molto profondamente nel sistema e intercettare / prendere il controllo di diverse chiamate "kernel" (ed altre); questo significa che, ad esempio, chiamando una funzione per leggere il contenuto di un file, il malware potrebbe intercettare la chiamata e fare in modo che il contenuto letto NON contenga tracce del malware stesso, idem per quanto riguarda l'elenco dei processi in memoria ed altro ancora; come (credo/spero) sia facile capire, in tali condizioni, effettuare una scansione/pulizia dall'interno del sistema operativo compromesso non porterà a risultati apprezzabili, certo, i tools usati potrebbero rilevare "qualcosa" ma sicuramente NON saranno in grado di ripulire correttamente il sistema che resterà comunque compromesso

    Tanto per fare un esempio; un malware arriva sul sistema, crea una copia del "master boot record" (MBR) memorizzandola in un'area libera del disco, rimpiazza il contenuto del MBR con il proprio "payload" e poi intercetta varie chiamate di sistema tra le quali quelle di I/O a basso livello; a questo se uno scanner AV richiedesse di leggere MBR per controllarlo, il malware intercetterebbe la chiamata e passerebbe allo scanner la copia pulita... ed ovviamente l'AV non troverebbe nulla (e questo, ovviamente è solo UNO dei possibili esempi)

    Quanto sopra è il motivo per il quale consiglio l'uso di uno strumento di rimozione basato su "boot-cd" (o boot-usb che sia); in tal modo il sistema verrà avviato SENZA avviare l'OS infetto ma usando un OS separato (e pulito) residente sul device di boot; a questo punto il malware (rootkit...) sarà inattivo e quindi lo scanner sarà in grado di rilevarlo e rimuoverlo; d'altro canto, nel caso di infezioni "gravi" dopo uno scan/clean di tale tipo il sistema potrebbe non essere più in grado di avviarsi dato che (ad es.) il malware potrebbe aver rimpiazzato dei files di sistema necessari per il boot con i propri files (infetti); per tale motivo, dopo aver effettuato una scansione/pulizia da boot-cd sarebbe opportuno avviare il sistema usando il CD/DVD di installazione e procedendo ad un "repair" in modo da ricaricare i files corretti permettendo quindi al sistema di avviarsi normalmente

    A questo punto, e solo a questo punto, ossia dopo quanto sopra, si potrà procedere con una ulteriore scansione del sistema usando dei tools avviati dal normale OS e poi ... beh, va considerato che un sistema compromesso, per quanto "ripulito a fondo" non potrà mai essere considerato affidabile al 100% dato che potrebbero comunque essere rimaste delle tracce del malware quindi, volendo riportare il sistema al 100% di "trust" sarebbe opportuno procedere ad un backup di dati/impostazioni e poi reinstallare il sistema da ZERO (formattazione etc...)

    E ... no, non c'è altro modo, mi dispiace dirlo

     

    mercoledì 16 novembre 2011 09:16
  • Cioè tu davvero pensi che se un virus è entrato in C il disco D (o partizione D) resta immune???

    Ma non solo... una delle cose che il 99.99999% dei malware attuali fa è prelevare dal sistema infetto qualsiasi tipo di informazione "utile" il che non include solo indirizzi email, numeri di carte di credito, credenziali online-banking et similia, ma anche tutte le varie credenziali di accesso vuoi alla rete locale vuoi ad altre reti e/o servizi online, quindi nel caso di una infezione, oltre a ripulire il sistema sarà necessario modificare tutte le varie passwords usate sia localmente sia online, in caso contrario beh... credo che le conseguenze siano piuttosto prevedibili :(

     

    mercoledì 16 novembre 2011 09:19
  • Ho masterizzato un Cd con la versione attuale a 32 bit del Microsoft Standalone System Sweeper Beta rintracciabile a questo sito:

    http://connect.microsoft.com/systemsweeper


    Sul disco C: non dovrebbe trovare nulla, dato che ho reinstallato (con formattazione) Windows 7 Ultimate 32 bit.

    Vediamo un po' che succede per il disco D:


    Luigi

    mercoledì 16 novembre 2011 09:33
  • Andrea... prima di tutto, il safety scanner gira all'interno dell'OS compromesso e, sebbene possa essere una buona scelta per un "secondo controllo" non lo consiglierei nella situazione corrente; in questo caso sarebbe meglio optare per il Microsoft System Sweeper che si avvia da CD e procede ad una scansione del sistema "offline" garantendo, in genere, migliori risultati; ovvio che, una volta completata tale scansione si potrà procedere con una seconda passata usando il safety scanner, ma usarlo per primo, come ho detto, non è consigliabile in questo caso

     

     


    Siamo daccordo, ma come primo passo si può anche tentare.. Alla peggio non sortisce effetto...
    E' ovvio che una scansione off-line e sempre meglio..


    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    mercoledì 16 novembre 2011 11:07
  • Anche un Rescue Disk può fallire?
    Ho provato sia con Avira Rescue Disk (non trova nulla se non qualche Warning su file mal formati), sia con Kaspersky Rescue CD 10 (non termina la procedura, dato che lo schermo rimane nero per un tempo indefinito).
    Il Miscrosoft Sweeper invece, dopo circa 20 ore di funzionamento, mostra un messaggio di errore in cui consiglia di contattare l'amministratore di rete.

    Luigi

    sabato 19 novembre 2011 17:49
  • Anche un Rescue Disk può fallire?
    Ho provato sia con Avira Rescue Disk (non trova nulla se non qualche Warning su file mal formati), sia con Kaspersky Rescue CD 10 (non termina la procedura, dato che lo schermo rimane nero per un tempo indefinito).
    Il Miscrosoft Sweeper invece, dopo circa 20 ore di funzionamento, mostra un messaggio di errore in cui consiglia di contattare l'amministratore di rete.


    Prima di tutto... si, anche un rescue disk può "fallire", specie se il rootkit è "nuovo di zecca" e/o se usa dei "componenti" che normalmente non vengano identificati come "malware"; in secondo luogo, quel "dopo 20 ore" mi suona molto strano; hai usato un sistema "pulito" per scaricare e masterizzare il CD o lo hai fatto dal sistema "infetto" ? Nel secondo caso, secondo me ti converrebbe ricreare il CD usando un sistema pulito. Oltretutto quel "contattare l'amministratore" mi fa sospettare qualche problema di rete, considera che lo "sweeper" usa la rete "spynet" di microsoft per controllare eventuali files sospetti, quindi durante la scansione è necessario che la connessione internet sia attiva

     

    lunedì 21 novembre 2011 15:03
  • Sì il Cd l'ho masterizzato da un sistema pulito (un altro pc), ma effettivamente quando eseguiva la scansione non era attiva la connessione di rete.
    Ora ho riformattato il disco C: per la seconda volta (con l'opzione di formattazione dell'unità).
    Ho reinstallato Avira, l'ho aggiornato ed ho eseguito una scansione del disco D:
    Non mi ha trovato niente.

    Sempre dal sito della AVira mi sono creato il loro Rescue CD.
    Ho fatto boot dal lettore Cd, ho impostato tutte le varie opzioni di ricerca, e dopo una scansione di circa un paio di ore non mi ha trovato nulla di grave, a parte una ventina di warning su file con terminazioni non corrette (che vorrà dire poi...).

    Riproverò ancora lo Sweeper della Microsoft.
    Il problema è che non potendo utilizzare la chiavetta internet (il boot è dal Cd), devo sperare di ritrovare la rete Wi-Fi libera che ogni tanto si becca a casa mia.

    Una domanda: se un rootkit si insedia nel Master Boot Record, una eventuale formattazione approfondita del disco riuscirebbe a debellarlo?


    Luigi


    • Modificato Ciupaz lunedì 21 novembre 2011 15:27
    lunedì 21 novembre 2011 15:22
  • Una domanda: se un rootkit si insedia nel Master Boot Record, una eventuale formattazione approfondita del disco riuscirebbe a debellarlo?

    si, se lo scan da "boot cd" non rivela nulla di strano e/o se riesce a ripulire i MBR ("gli MBR" sarebbe meglio, ma visto che MBR = "master boot record" ho preferito l'accezione "i master boot records" all'altra) dei vari dischi ed a rimuovere eventuali "dropper"; c'è però da considerare che, se (come nel tuo caso) vi sia un "dropper" non identificato sull'unità secondaria, lo stesso potrebbe reinfettare l'OS nel momento in cui il file contenente il malware venisse aperto/eseguito; è per quello che conviene effettuare la scansione di tutte le unità di storage; non solo, spero che tu abbia disattivato l'autorun e che il sistema operativo abbia tutte le necessarie "patch" in caso contrario, potresti ritrovarti con il sistema infettato di nuovo semplicemente inserendo una chiavetta USB o un hard-disk esterno...

     

    • Modificato ObiWan lunedì 21 novembre 2011 17:29
    lunedì 21 novembre 2011 17:27
  • Dopo una scansione di quasi 6 ore, lo Standalone System Sweeper mi ha trovato 2 rootkit, tra l'altro stranamente posizionati nel cestino (il path che mi segnala dice Recycle Bin). Strano però che il Rescue CD dell'Avira non mi ha segnalato nulla. Riproverò con un'altra scansione dello Sweeper stanotte (posso eseguirlo solo di notte, considerando il lungo tempo che ci mette). Luigi
    martedì 22 novembre 2011 08:47