www.MegaLab.it

[devicepenguin]

Era da tempo che non lanciavo una scansione antivirus (di solito mi basavo su Hitman e Malwarebytes + associato al mio HIPS ,e quindi non facevo la scansione)

Adesso vorrei sapere come ci sono andati a finire questi 3 rilevamenti nel mio Computer [Seven Pro 32 Bit)

Log

Avira Free Antivirus
Data del file di report: domenica 10 febbraio 2013 20:25


Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7 Professional
Versione di Windows : (Service Pack 1) [6.1.7601]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : User
Nome computer : USER-PC

Informazioni sulla versione:
BUILD.DAT : 13.0.0.506 48565 Bytes 07/12/2012 16:06:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 20/12/2012 17:57:21
AVSCANRC.DLL : 13.4.0.360 63264 Bytes 20/12/2012 17:57:21
LUKE.DLL : 13.6.0.400 67360 Bytes 20/12/2012 17:59:33
AVSCPLR.DLL : 13.6.0.628 94432 Bytes 09/02/2013 17:00:26
AVREG.DLL : 13.6.0.600 250592 Bytes 09/02/2013 17:00:24
avlode.dll : 13.6.2.624 434912 Bytes 09/02/2013 17:00:27
avlode.rdf : 13.0.0.36 10917 Bytes 31/01/2013 16:12:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:50:29
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 07:54:23
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 07:54:28
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 07:54:30
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 07:54:31
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 08:27:46
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 08:27:49
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22/11/2012 17:53:07
VBASE008.VDF : 7.11.60.10 6627328 Bytes 07/02/2013 16:56:03
VBASE009.VDF : 7.11.60.11 2048 Bytes 07/02/2013 16:56:04
VBASE010.VDF : 7.11.60.12 2048 Bytes 07/02/2013 16:56:04
VBASE011.VDF : 7.11.60.13 2048 Bytes 07/02/2013 16:56:05
VBASE012.VDF : 7.11.60.14 2048 Bytes 07/02/2013 16:56:06
VBASE013.VDF : 7.11.60.62 351232 Bytes 08/02/2013 16:56:40
VBASE014.VDF : 7.11.60.115 190976 Bytes 09/02/2013 16:58:02
VBASE015.VDF : 7.11.60.116 2048 Bytes 09/02/2013 16:58:18
VBASE016.VDF : 7.11.60.117 2048 Bytes 09/02/2013 16:59:16
VBASE017.VDF : 7.11.60.118 2048 Bytes 09/02/2013 16:59:23
VBASE018.VDF : 7.11.60.119 2048 Bytes 09/02/2013 16:59:25
VBASE019.VDF : 7.11.60.120 2048 Bytes 09/02/2013 16:59:28
VBASE020.VDF : 7.11.60.121 2048 Bytes 09/02/2013 16:59:31
VBASE021.VDF : 7.11.60.122 2048 Bytes 09/02/2013 16:59:35
VBASE022.VDF : 7.11.60.123 2048 Bytes 09/02/2013 16:59:36
VBASE023.VDF : 7.11.60.124 2048 Bytes 09/02/2013 16:59:38
VBASE024.VDF : 7.11.60.125 2048 Bytes 09/02/2013 16:59:39
VBASE025.VDF : 7.11.60.126 2048 Bytes 09/02/2013 16:59:42
VBASE026.VDF : 7.11.60.127 2048 Bytes 09/02/2013 16:59:46
VBASE027.VDF : 7.11.60.128 2048 Bytes 09/02/2013 16:59:48
VBASE028.VDF : 7.11.60.129 2048 Bytes 09/02/2013 16:59:50
VBASE029.VDF : 7.11.60.130 2048 Bytes 09/02/2013 16:59:50
VBASE030.VDF : 7.11.60.131 2048 Bytes 09/02/2013 16:59:51
VBASE031.VDF : 7.11.60.154 54272 Bytes 10/02/2013 18:02:56
Motore : 8.2.10.250
AEVDF.DLL : 8.1.2.10 102772 Bytes 07/11/2012 08:27:22
AESCRIPT.DLL : 8.1.4.88 471417 Bytes 09/02/2013 17:00:21
AESCN.DLL : 8.1.10.0 131445 Bytes 20/12/2012 17:54:37
AESBX.DLL : 8.2.5.12 606578 Bytes 07/11/2012 08:27:22
AERDL.DLL : 8.2.0.88 643444 Bytes 15/01/2013 14:14:32
AEPACK.DLL : 8.3.1.2 819574 Bytes 20/12/2012 17:54:36
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 07/11/2012 08:27:22
AEHEUR.DLL : 8.1.4.198 5751159 Bytes 09/02/2013 17:00:19
AEHELP.DLL : 8.1.25.2 258423 Bytes 07/11/2012 08:27:19
AEGEN.DLL : 8.1.6.16 434549 Bytes 28/01/2013 19:45:27
AEEXP.DLL : 8.3.0.24 188787 Bytes 09/02/2013 17:00:22
AEEMU.DLL : 8.1.3.2 393587 Bytes 07/11/2012 08:27:19
AECORE.DLL : 8.1.30.0 201079 Bytes 20/12/2012 17:53:55
AEBB.DLL : 8.1.1.4 53619 Bytes 07/11/2012 08:27:19
AVWINLL.DLL : 13.4.0.163 25888 Bytes 07/11/2012 08:27:30
AVPREF.DLL : 13.4.0.360 50464 Bytes 20/12/2012 17:57:17
AVREP.DLL : 13.6.0.480 178544 Bytes 09/02/2013 17:00:25
AVARKT.DLL : 13.6.0.402 260384 Bytes 20/12/2012 17:57:00
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 20/12/2012 17:57:11
SQLITE3.DLL : 3.7.0.1 397088 Bytes 07/11/2012 08:27:42
AVSMTP.DLL : 13.4.0.163 62752 Bytes 07/11/2012 08:27:28
NETNT.DLL : 13.4.0.360 15648 Bytes 20/12/2012 17:59:34
RCIMAGE.DLL : 13.4.0.360 4782880 Bytes 20/12/2012 17:56:57
RCTEXT.DLL : 13.4.0.360 68896 Bytes 20/12/2012 17:56:57

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione alla ricerca di rootkit e malware attivi
File di configurazione......................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: completo

Avvio della scansione: domenica 10 febbraio 2013 20:25

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
c:\adsm_pdata_0150\dragwait.exe
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150\_avt
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150\db\si.db
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150\db\ul.db
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150\db\vl.db
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150\db\wal.db
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150\db\_avt
[NOTA] Il file non è visibile.
c:\program files\asus\asus data security manager\driver\x86\asdsm.sys
[NOTA] Il file non è visibile.
c:\program files\asus\asus data security manager\driver\x86\_avt
[NOTA] Il file non è visibile.
c:\users\user\doc protetto\_avt
[NOTA] Il file non è visibile.
c:\users\user\doc protetto\_lit
[NOTA] Il file non è visibile.
c:\users\user\musica protetta\_avt
[NOTA] Il file non è visibile.
c:\users\user\musica protetta\_lit
[NOTA] Il file non è visibile.
c:\users\user\video protetto\_avt
[NOTA] Il file non è visibile.
c:\users\user\video protetto\_lit
[NOTA] Il file non è visibile.
c:\adsm_pdata_0150
[NOTA] La directory non è visibile.
c:\adsm_pdata_0150\db
[NOTA] La directory non è visibile.
c:\program files\asus\asus data security manager\driver\x86
[NOTA] La directory non è visibile.
c:\users\user\doc protetto
[NOTA] La directory non è visibile.
c:\users\user\musica protetta
[NOTA] La directory non è visibile.
c:\users\user\video protetto
[NOTA] La directory non è visibile.
HKEY_USERS\S-1-5-21-204375980-3421326264-2344595092-1000\Software\Avira\AntiVir Desktop\profDataStr
[NOTA] L'inserimento della registrazione non è visibile.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'SearchFilterHost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'SearchProtocolHost.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'FlashPlayerPlugin_11_5_502_149.exe' - '59' modulo(i) scansionato(i)
Scansione processo 'FlashPlayerPlugin_11_5_502_149.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'plugin-container.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'firefox.exe' - '145' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '41' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '41' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '41' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '64' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '41' modulo(i) scansionato(i)
Scansione processo 'chrome.exe' - '94' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '111' modulo(i) scansionato(i)
Scansione processo 'wmpnetwk.exe' - '66' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '124' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '41' modulo(i) scansionato(i)
Scansione processo 'mscorsvw.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'Mobile Partner.exe' - '101' modulo(i) scansionato(i)
Scansione processo 'SearchIndexer.exe' - '62' modulo(i) scansionato(i)
Scansione processo 'igfxsrvc.exe' - '31' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '28' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '86' modulo(i) scansionato(i)
Scansione processo 'hkcmd.exe' - '31' modulo(i) scansionato(i)
Scansione processo 'ATKOSD2.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'HControlUser.exe' - '24' modulo(i) scansionato(i)
Scansione processo 'schedhlp.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'TrueImageMonitor.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'WUDFHost.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '39' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '177' modulo(i) scansionato(i)
Scansione processo 'Dwm.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'taskhost.exe' - '43' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'MemopalCrawler.exe' - '49' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'afcdpsrv.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'schedul2.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '83' modulo(i) scansionato(i)
Scansione processo 'GFNEXSrv.exe' - '17' modulo(i) scansionato(i)
Scansione processo 'ASLDRSrv.exe' - '22' modulo(i) scansionato(i)
Scansione processo 'ADSMSrv.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '82' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '63' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '31' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '154' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '113' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '75' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '90' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '56' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'lsm.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '68' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '17' modulo(i) scansionato(i)
Scansione processo 'wininit.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 1734 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:' <SevenOS>
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\1d38be4a-4063e294
[0] Tipo di archivio: ZIP
a/pwvxqwihavocmiyfai.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/JAVA.Graunt.Gen
[AVVISO] I file infetti negli archivi non possono essere riparati!
a/szfqinqaxnuihwwlsz.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/JAVA.Graunt.Gen
[AVVISO] I file infetti negli archivi non possono essere riparati!
a/igzckiqflaojuwabzcbxz.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/JAVA.Stiannu.Gen
[AVVISO] I file infetti negli archivi non possono essere riparati!

Avvio della disinfezione:
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\1d38be4a-4063e294
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/JAVA.Stiannu.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '577d51eb.qua'!


Fine della scansione: domenica 10 febbraio 2013 21:00
Tempo impiegato: 34:37 Minuto(i)

La scansione è stata completamente eseguita.

14528 Directory scansionate
146575 I file sono stati scansionati
3 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
146572 File non infetti
927 Archivi scansionati
3 Avvisi
23 Note
401906 Oggetti scansionati durante la scansione dei rootkit
22 Sono stati rilevati oggetti nascosti

[hashcat]

Si tratta di exploit per Java.
Domani risponderò per esteso.

[crazy.cat]

Vecchio articolo http://www.MegaLab.it/2467/strani-virus ... la-di-java ma che torna sempre utile.
Hai anche Java non aggiornato mi sembra.

[devicepenguin]

Adesso che ci penso.

Ieri (e sapendo che dovevo fare un ripristino partizione C) nel mentre stavo su un sito , mi era comparso l'avviso se eseguire uno pseudo Java classica finestra rettangolare ] e Windows mi avvisava che il certificato dell'autore non era al momento disponibile. adesso che ricordo ho cliccato per tre volte consecutive su altrettante finestre (sempre inerenti Java)

Insomma :3 click in cambio di 3 virus

Stasera o domani faccio il restore,e rilancio la scansione.

[hashcat]

Le prime due minacce rilevate (EXP/JAVA.Graunt.Gen) si riferiscono alla vulnerabilità CVE-2013-0422 che affligge tutte le versioni di Java 7 precedenti all'aggiornamento 11.
Questa vulnerabilità è sfruttata dal 9 gennaio 2013 circa, è comparsa per la prima volta nel "Cool Exploit Kit" ed è successivamente stata inclusa negli altri kit di exploit maggiori come "Blackhole Exploit Kit"e "Nuclear Exploit Kit".

L'altra vulnerabilità (EXP/JAVA.Stiannu.Gen) si riferisce alla vulnerabilità CVE-2012-1723 che affligge le versione di Java 7 precedenti all'aggiornamento 5, le versioni 6 precedenti all'aggiornamento 33, le versioni 5 precedenti all'aggiornamento 36 e quelle precedenti alla versione 1.4.2 (aggiornamento 38).
Questa vulnerabilità è sfruttata dall'inizio del Luglio 2012, è inclusa nel "Blackhole Exploit Kit" ed altri.


@devicepenguin Se al momento utilizzi ancora Online Armor, forse ti conviene sfruttare questo "trucchetto" che avevo messo in evidenza tempo fa:

[devicepenguin]

Grazie per gli interventi.

PS. Al momento ho ancora Comodo (ripristinato un immagine dove c'è CIS) ma sto valutando di passare a OA.

Vorrei capire però una cosa: se Avira durante la scansione è riuscito a rilevare i tre file,come mai non li ha visti in real time,mentre questi entravano nel sistema?

[hashcat]

Non saprei, forse la protezione in tempo reale di Avira non controlla i file .jar .jad e .class

[devicepenguin]

forse la protezione in tempo reale di Avira non controlla i file .jar .jad e .class

e che vuol controllare? Intanto nemmeno Mbam e Hitman battevano ciglio (per non parlare dell'HIPS che veramente mi delude a volte)

Mi convinco sempre più su OA

[sampei.nihira]

Grazie per gli interventi.

PS. Al momento ho ancora Comodo (ripristinato un immagine dove c'è CIS) ma sto valutando di passare a OA.

Vorrei capire però una cosa: se Avira durante la scansione è riuscito a rilevare i tre file,come mai non li ha visti in real time,mentre questi entravano nel sistema?

E' facile fare diverse ipotesi più probabili dalla prima in poi:

1) L'antivirus nel momento che i files "sono passati" non "sapeva" che erano maligni,ne ha "preso coscienza" dopo qualche aggiornamento firme.....e quindi poi li rileva.
(tutti gli antivirus cadono come pere cotte in questo senso nessuno escluso).
2) Setting dell'antivirus.
3) Eventuali interventi reciproci trà soft non meglio specificati che hanno determinato in un preciso istante un annullamento di intervento.

[hashcat]

1) L'antivirus nel momento che i files "sono passati" non "sapeva" che erano maligni,ne ha "preso coscienza" dopo qualche aggiornamento firme.....e quindi poi li rileva.

Questa mi sentirei di escluderla perché le firme per quelle due rilevazioni sono piuttosto vecchie.

[devicepenguin]

Boh..Io ho mosso poco nel settaggio di Avira (per esempio:controlla tutti i file,e ho pianificato gli aggiornamenti...)