Aiuto, il mio PC è infetto Problemi con Avira Premium.

  • Creatore Discussione Creatore Discussione bimatch
  • Data di Inizio Data di Inizio

bimatch

Guest
Problemi con Avira Premium.
Ieri pomeriggio, prima mi ha segnalato come utente in prova (sono Premium da oltre un mese) e mi ha disattivato la protezione online; poi, dopo l'ultimo aggiornamento, mi ha riattivato la protezione online ed il webguard, infine, dopo aver fatto una scansione, mi ha trovato questa roba qua:


Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\program files\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:, Z:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Attivo
Scansione ottimizzata.......................: Attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
Categorie irregolari delle minacce..........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Avvio della scansione: domenica 2 agosto 2009 22:00

Avvio della scansione dei file di sistema:
NON firmato -> 'C:\Windows\system32\svchost.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ad8f19d.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\winlogon.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae3f1a5.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\explorer.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae5f1c8.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\smss.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae8f1ce.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\wininet.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae3f1d8.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\wsock32.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae4f1ef.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\ws2_32.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4aa7f200.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\services.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae7f209.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\lsass.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ad6f225.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\csrss.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae7f232.qua' ( QUARANTENA )
Firmato -> 'C:\Windows\system32\drivers\kbdclass.sys'
NON firmato -> 'C:\Windows\system32\spoolsv.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae4f246.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\alg.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4adcf250.qua' ( QUARANTENA )
Firmato -> 'C:\Windows\system32\wuauclt.exe'
NON firmato -> 'C:\Windows\system32\advapi32.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4aebf25f.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\user32.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4adaf27b.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\gdi32.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4adef279.qua' ( QUARANTENA )
NON firmato -> 'C:\Windows\system32\kernel32.DLL'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4ae7f288.qua' ( QUARANTENA )
Firmato -> 'C:\Windows\system32\ntdll.DLL'
Firmato -> 'C:\Windows\system32\ntoskrnl.exe'
NON firmato -> 'C:\Windows\system32\ctfmon.exe'
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Modified.SystemFile
[NOTA] È stato creato un backup con nome '4adbf2b8.qua' ( QUARANTENA )
I file di sistema sono stati sottoposti a scansione (file '21')



Secondon voi si tratterà di falsi positivi oppure di che cosa ?

Ho rifatto la scansione, previo nuovo aggiornamento, e mi segnala gli stessi files, ma il bello è che si limita a copiarli nella quarantena ma non li elimina....anche perchè se li eliminasse non funzionerebbe più il S.O., essendo tutti files di sistema.
Inoltre se prendo un file di questi singolarmente e lo scansiono sempre con Avira non trova niente di strano.
:help::help::help:

user_offline.gif
 
manda qualcuno di questi files a www.virustotal.com

a parte l'antivirus usi anche un antispyware?

strano
è come se l'euristica di avira dicesse che questi file di sistema siano stati modificati
 
Goofy ha scritto:
manda qualcuno di questi files a www.virustotal.com

a parte l'antivirus usi anche un antispyware?

strano
è come se l'euristica di avira dicesse che questi file di sistema siano stati modificati
Clicca per allargare...



Questi sono i risultati della scansione fatta con Virustotal di 3 di quei files.
A me pare tutto ok......possibile che Avira abbia preso questa svista solo con il mio computer ? :wall:
Come antipsyware uso Malawarebytes,Superantispyware e A-Squared, che non mi hanno rilevato nulla di che.




Virustotal è un servizio che analizza files sospetti e permette la rapida identificazione di virus, worms, trojans, e di tutti i tipi di malware rilevati dai motori antivirus. Più informazioni...

Il file è già stato analizzato:


MD5: 22bfd03df51065a9ed8d17f8fb72296b First received: 2009.02.13 08:40:32 UTC Data 2009.07.25 05:38:41 UTC [>10D] Risultati 0/41 Permalink: analisis/ce84699449ba15c6868f96f6a51515c008ad9b3c2b36befd95b09bd0b4a55d1e-1248500321

File ctfmon.exe ricevuto il 2009.07.25 05:38:41 (UTC)
Stato corrente: finito
Risultato: 0/41 (0.00%)



Antivirus Versione Ultimo aggiornamento Risultato a-squared 4.5.0.24 2009.07.24 - AhnLab-V3 5.0.0.2 2009.07.24 - AntiVir 7.9.0.228 2009.07.24 - Antiy-AVL 2.0.3.7 2009.07.24 - Authentium 5.1.2.4 2009.07.24 - Avast 4.8.1335.0 2009.07.24 - AVG 8.5.0.387 2009.07.25 - BitDefender 7.2 2009.07.25 - CAT-QuickHeal 10.00 2009.07.24 - ClamAV 0.94.1 2009.07.25 - Comodo 1757 2009.07.25 - DrWeb 5.0.0.12182 2009.07.24 - eSafe 7.0.17.0 2009.07.23 - eTrust-Vet 31.6.6640 2009.07.25 - F-Prot 4.4.4.56 2009.07.24 - F-Secure 8.0.14470.0 2009.07.24 - Fortinet 3.120.0.0 2009.07.25 - GData 19 2009.07.25 - Ikarus T3.1.1.64.0 2009.07.24 - Jiangmin 11.0.800 2009.07.24 - K7AntiVirus 7.10.801 2009.07.24 - Kaspersky 7.0.0.125 2009.07.25 - McAfee 5687 2009.07.24 - McAfee+Artemis 5687 2009.07.24 - McAfee-GW-Edition 6.8.5 2009.07.25 - Microsoft 1.4903 2009.07.24 - NOD32 4275 2009.07.24 - Norman 6.01.09 2009.07.24 - nProtect 2009.1.8.0 2009.07.25 - Panda 10.0.0.14 2009.07.24 - PCTools 4.4.2.0 2009.07.24 - Prevx 3.0 2009.07.25 - Rising 21.39.50.00 2009.07.25 - Sophos 4.44.0 2009.07.25 - Sunbelt 3.2.1858.2 2009.07.23 - Symantec 1.4.4.12 2009.07.25 - TheHacker 6.3.4.3.373 2009.07.24 - TrendMicro 8.950.0.1094 2009.07.25 - VBA32 3.12.10.9 2009.07.24 - ViRobot 2009.7.25.1852 2009.07.25 - VirusBuster 4.6.5.0 2009.07.24 - Informazioni addizionali File size: 8704 bytes MD5 : 22bfd03df51065a9ed8d17f8fb72296b SHA1 : 9fa4c29a69b3224670d0d3f28df2f3655f3c31c0 SHA256: ce84699449ba15c6868f96f6a51515c008ad9b3c2b36befd95b09bd0b4a55d1e PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10014F7
timedatestamp.....: 0x4549AE86 (Thu Nov 2 09:38:30 2006)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xD7A 0xE00 6.01 99bc1e2f1f4858f208709bc319995f2a
.data 0x2000 0x388 0x200 0.30 a497d24ecb6e112af339fa7456a7af7f
.rsrc 0x3000 0xAE8 0xC00 4.18 d1a749bdc0d62a357d8a7e74941d8ddb
.reloc 0x4000 0x19C 0x200 4.08 31d7acc1a2d61d812d5e0667b6975c7e

( 0 imports )


( 0 exports )
TrID : File type identification

Il file è già stato analizzato:


MD5: d4e6d91c1349b7bfb3599a6ada56851b First received: 2009.05.28 01:26:48 UTC Data 2009.08.02 12:39:05 UTC [>2D] Risultati 0/41 Permalink: analisis/8748091bf27f05d28d45688e04dd9229a4b2e159209a64f457703f66a8cece4d-1249216745


File services.exe ricevuto il 2009.08.02 12:39:05 (UTC)
Stato corrente: finito
Risultato: 0/41 (0.00%)



Antivirus Versione Ultimo aggiornamento Risultato a-squared 4.5.0.24 2009.08.02 - AhnLab-V3 5.0.0.2 2009.08.01 - AntiVir 7.9.0.238 2009.07.31 - Antiy-AVL 2.0.3.7 2009.07.31 - Authentium 5.1.2.4 2009.08.02 - Avast 4.8.1335.0 2009.08.01 - AVG 8.5.0.406 2009.08.02 - BitDefender 7.2 2009.08.02 - CAT-QuickHeal 10.00 2009.07.30 - ClamAV 0.94.1 2009.08.02 - Comodo 1838 2009.08.02 - DrWeb 5.0.0.12182 2009.08.02 - eSafe 7.0.17.0 2009.07.30 - eTrust-Vet 31.6.6650 2009.08.01 - F-Prot 4.4.4.56 2009.08.02 - F-Secure 8.0.14470.0 2009.08.01 - Fortinet 3.120.0.0 2009.08.02 - GData 19 2009.08.02 - Ikarus T3.1.1.64.0 2009.08.02 - Jiangmin 11.0.800 2009.08.02 - K7AntiVirus 7.10.808 2009.08.01 - Kaspersky 7.0.0.125 2009.08.02 - McAfee 5695 2009.08.01 - McAfee+Artemis 5695 2009.08.01 - McAfee-GW-Edition 6.8.5 2009.08.02 - Microsoft 1.4903 2009.08.02 - NOD32 4298 2009.08.02 - Norman 6.01.09 2009.07.31 - nProtect 2009.1.8.0 2009.08.02 - Panda 10.0.0.14 2009.08.02 - PCTools 4.4.2.0 2009.08.02 - Prevx 3.0 2009.08.02 - Rising 21.40.62.00 2009.08.02 - Sophos 4.44.0 2009.08.02 - Sunbelt 3.2.1858.2 2009.08.02 - Symantec 1.4.4.12 2009.08.02 - TheHacker 6.3.4.3.375 2009.08.01 - TrendMicro 8.950.0.1094 2009.07.31 - VBA32 3.12.10.9 2009.08.02 - ViRobot 2009.7.31.1863 2009.07.31 - VirusBuster 4.6.5.0 2009.07.31 - Informazioni addizionali File size: 279552 bytes MD5 : d4e6d91c1349b7bfb3599a6ada56851b SHA1 : d1fdd47a13a50805ed4e3d17816c2cd036503421 SHA256: 8748091bf27f05d28d45688e04dd9229a4b2e159209a64f457703f66a8cece4d PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1388D
timedatestamp.....: 0x49E01A51 (Sat Apr 11 06:19:29 2009)
machinetype.......: 0x14C (Intel I386)





Il file è già stato analizzato:


MD5: 3794b461c45882e06856f282eef025af First received: 2008.03.30 18:47:38 UTC Data 2009.08.02 15:18:21 UTC [>2D] Risultati 0/41 Permalink: analisis/d4f79d7bc639fe86ac68961e6273836b9d7af491773fd054395b33d317017beb-1249226301

File svchost.exe ricevuto il 2009.08.02 15:18:21 (UTC)
Stato corrente: finito
Risultato: 0/41 (0.00%)



Antivirus Versione Ultimo aggiornamento Risultato a-squared 4.5.0.24 2009.08.02 - AhnLab-V3 5.0.0.2 2009.08.01 - AntiVir 7.9.0.238 2009.08.02 - Antiy-AVL 2.0.3.7 2009.07.31 - Authentium 5.1.2.4 2009.08.02 - Avast 4.8.1335.0 2009.08.01 - AVG 8.5.0.406 2009.08.02 - BitDefender 7.2 2009.08.02 - CAT-QuickHeal 10.00 2009.07.30 - ClamAV 0.94.1 2009.08.02 - Comodo 1839 2009.08.02 - DrWeb 5.0.0.12182 2009.08.02 - eSafe 7.0.17.0 2009.07.30 - eTrust-Vet 31.6.6650 2009.08.01 - F-Prot 4.4.4.56 2009.08.02 - F-Secure 8.0.14470.0 2009.08.01 - Fortinet 3.120.0.0 2009.08.02 - GData 19 2009.08.02 - Ikarus T3.1.1.64.0 2009.08.02 - Jiangmin 11.0.800 2009.08.02 - K7AntiVirus 7.10.808 2009.08.01 - Kaspersky 7.0.0.125 2009.08.02 - McAfee 5695 2009.08.01 - McAfee+Artemis 5695 2009.08.01 - McAfee-GW-Edition 6.8.5 2009.08.02 - Microsoft 1.4903 2009.08.02 - NOD32 4299 2009.08.02 - Norman 6.01.09 2009.07.31 - nProtect 2009.1.8.0 2009.08.02 - Panda 10.0.0.14 2009.08.02 - PCTools 4.4.2.0 2009.08.02 - Prevx 3.0 2009.08.02 - Rising 21.40.62.00 2009.08.02 - Sophos 4.44.0 2009.08.02 - Sunbelt 3.2.1858.2 2009.08.02 - Symantec 1.4.4.12 2009.08.02 - TheHacker 6.3.4.3.375 2009.08.01 - TrendMicro 8.950.0.1094 2009.07.31 - VBA32 3.12.10.9 2009.08.02 - ViRobot 2009.7.31.1863 2009.07.31 - VirusBuster 4.6.5.0 2009.08.02 - Informazioni addizionali File size: 21504 bytes MD5 : 3794b461c45882e06856f282eef025af SHA1 : bf15549a7ec01ac505ccac036aba5b9bae688135 SHA256: d4f79d7bc639fe86ac68961e6273836b9d7af491773fd054395b33d317017beb PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2083
timedatestamp.....: 0x47918B89 (Sat Jan 19 06:32:57 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3A24 0x3C00 6.21 5037917ca875679df4e24d44d02f02b4
.data 0x5000 0x5EC 0x600 0.83 9203e7f188b0ecb11266e90e9a442853
.rsrc 0x6000 0x818 0xA00 3.75 013fd325d2363ecadecd660d847876e8
.reloc 0x7000 0x400 0x400 6.61 296b23856e7f7105159e55c33338cd9b

( 0 imports )
 
Inoltre ho inviato gli stessi files anche ad Avira che mi ha risposto che si tratta di files di sistema di Vista sp1 e sp2 e li considera puliti...:-?
 
bimatch ha scritto:
Inoltre ho inviato gli stessi files anche ad Avira che mi ha risposto che si tratta di files di sistema di Vista sp1 e sp2 e li considera puliti...:-?
Clicca per allargare...

e perchè non hai mandato ad Avira il report non i files che hai linkato nel primo post per vedere loro come lo interpretano ?;)
 
Ultima modifica:
Goofy ha scritto:
e perchè non hai mandato ad Avira il report non i files che hai linkato nel primo post per vedere loro come lo interpretano ?;)
Clicca per allargare...

Fatto, interrogando il forum di supporto di Avira e quelli della Achab, di cui Avira si serve per l'assistenza, mi hanno risposto :

"
Autore: Davide Rocca - Achab team - 04/08/2009 - 12:10​
pixel_trasparente.gif

Buongiorno,
purtroppo non abbiamo modo di sapere se questi siano o meno falsi positivi. "


Ottimo supporto non trovi ? Mi sto pentendo di avergli dato i 20 eurini: con la versione free mai avuto problemi.
 
bimatch ha scritto:
Ottimo supporto non trovi ? Mi sto pentendo di avergli dato i 20 eurini: con la versione free mai avuto problemi.
Clicca per allargare...

la versione premium ti serve per fare gli aggiornamenti veloci

le versioni free in questi gg hanno problemi di aggiornamento in quanto gli update sono di grandezza notevole
 
hai installato un service pack nel frattempo?

per caso nella configurazione c'è da qualche parte una funzione che controlla l'integrità dei file di sistema ?

Setting->Expert Mode->Scanner, untick “Integrity checking of system files”


se si disabilitala
 
per l'assistenza rivolgiti direttamente al forum di Avira non passare per l'achab

il problema è stato già trattato nel loro forum link

con un intervento diretto di un componente del team con istruzioni appropriate per analizzare il problema (post n°20) ;)
 
You must log in or register to reply here.

Similar threads

samir
problemi avvio Windows
Risposte
5
Visite
1.664
Fibonacci
Fibonacci
  • Poll Poll
Bio-ON: più luce sulla vicenda con Quintessential QCM
2 3 4
Risposte
37
Visite
8.474
Montanaro
tontolina
la Cia ci spia
2
Risposte
11
Visite
1.344
tontolina
tontolina
Aiuto, il mio PC è infetto processo "services.exe" con CPU al 100%
2
Risposte
11
Visite
8.603
Goofy
Goofy
Sicurezza informatica 2 Virus rilevato, 1 eliminato 1 in quarantena
2
Risposte
17
Visite
4.344
LUP1051

Users who are viewing this thread

Total: 1 (members: 0, guests: 1)
Back
Alto