miniguida KAV6 *per inesperti*
 

L'obiettivo di questa miniguida è sia quello di AUTOMATIZZARE il processo di rimozione, sia quello di SFRUTTARE CORRETTAMENTE il nuovo modulo PDM, parte integrante e vero punto di forza della 6° revisione dell'engine Kaspersky.

Ipotizzando che in fase di set-up sia stata fatta l'installazione completa


e che sia stata scelta come protezione interattiva quella di base (default),


alla fine dei giochi ci troviamo in questa situazione che mostra lo STATUS CORRENTE del nostro sistema.



La schermata principale mostra infatti 3 elementi, precisamente
- se siano state rilevate infezioni
- a quando risale l'aggiornamento delle definizioni dei virus
- se funzionino o meno le protezioni, in particolare se ve ne sia qualcuna disabilitata o in pausa.


Spostandoci sulle schede FILE ANTIVIRUS, MAIL ANTIVIRUS, WEB ANTIVIRUS, è possibile ricavare facilmente come le voci relative al tipo di trattamento da riservare ai malwares quando questi siano rilevati nel sistema sono settate su "RICHIEDI AZIONE" (vedi i campi "azione" degli screen sotto...), in antitesi con quello che è il 1° obiettivo di questo lavoro, e cioè quello di semplificarne l'uso.



L'automazione del processo di rimozione richiede pertanto l'adozione di un semplice accorgimento, e cioè lo spostamento del segno di spunta da "richiedi azione" a come evidenziato in figura, avendo cura di ripetere la modifica per ciascuna delle 3 schede citate facendo peraltro seguire alle modifiche operate una pressione sul pulsante "APPLICA".




La rimanipolazione delle impostazioni prosegue ripetendo il discorso per la parte preposta alla scansione manuale, per cui:
impostazioni->scansione-> seguire i punti 1,2,3







Eccoci infine al PDM.

Ci appare come in figura (da impostazioni->difesa proattiva)

e vede i moduli "Registry Guard" e "Controllo dell'integrità dell'applicazione" disattivati.

Più nello specifico la parte "rilevamento attività applicazione" (impostazioni->difesa proattiva->nella scheda "rilevamento attività applicazione" cliccare su impostazioni) appare come segue:


da cui emerge chiaramente come solo 4 voci siano selezionate e impostate anche questa volta su "RICHIEDI AZIONE"

In questo caso si procede settando 3 voci come in figura (guardate attentamente le scritte blu piccoline in fondo ad ogni singola immagine!!!), lasciando pertanto l'impostazione di default per la 4 (ossia, "attività di sistema sospette" su "avviso").










NB:

per ridurre sensibilmente la velocità di scansione on-demand, accertatevi di avere settata questa voce:
http://www.hwupgrade.it/forum/showpo...postcount=1948
(volendo, ci arrivate anche da "impostazioni/servizi")...









A questo punto secondo me sarebbe opportuno mettere il segno di spunta anche alla voce "intrusione nel processo (intrusi)" che soprassiede al controllo delle DLL injection:
di default non è abilitato perchè, tra tutte le opzioni del PDM, è quello che più frequentemente blocca l'esecuzione di processi legittimi richiedendo conseguentemente di avvalersi anche della TRUSTED ZONE...
Se decidete per l'abilitazione di questa voce, settatela come in figura

Nell'ipotesi in cui allora riscontriate MALFUNZIONAMENTI in un qualche programma, è sufficiente inserirlo nella TRUSTED ZONE! (vedi il post successivo).


Se decidete inoltre di abilitare la voce "LANCIA IL BROWSER INTERNET CON PARAMETRI", leggete questo POST di Wip3out (LINK1 ) visto che quello che vi potrebbe accadere è riassunto qui: Link 2



Utilissima sarebbe anche l'attivazione del modulo Registry Guard che previene l'alterazione delle chiavi di registro bollate come critiche da Kasperky.
Anche qui se non ve la sentite di imbattervi in avvisi "criptici", lasciate stare.
Là dove invece decideste di procedere, è sufficiente mettere il segno di spunta nell'apposita casellina:




---------------------------------------------------------------------------------





Come il PDM *dovrebbe* parare il cul@ nella vita reale:
-> LINK! <-

La "Trusted Zone" identifica sostanzialmente una lista di oggetti (o insieme di programmi) che non devono essere controllati e che, pertanto, decidiamo di escludere dalla protezione.
Di fatto, la necessità di ricorrere a questa "zona speciale" (sicura) nasce dal fatto che il PDM del Kav6, indipendentemente dalle impostazioni che gli attribuiamo, va talvolta a *bloccare* erroneamente anche l'esecuzione di alcuni programmi LEGITTIMI e questo perchè il loro funzionamento "richiama comportamenti che sono tra quelli classificati come pericolosi" in quanto solitamente utilizzati da malwares.

E' chiara allora l'importanza legata al fatto di saper utilizzare correttamente questa funzionalità specie nel caso si impieghino i settaggi suggeriti che sono *preventivi* (e cioè, bloccano a priori/avvisano del blocco).

Vi faccio vedere quindi brevemente il tipo di avviso che potreste ricevere quando il PDM è abilitato.

ipotesi:
a) intrusione nel processo (intrusi) ABILITATO e settato a default su "richiedi azione"
b) NOTEPAD esegue dll injection (per questo test in realtà vado ad utilizzare thermite, un noto LeakTest per Firewall...)


Cosa accade se un eseguibile *sicuro*, per es. il nostro NOTEPAD, ha comportamenti tipici di questa classe comportamentale(dll injection)?.

Lo eseguo e....borda, ecco l'allarme!


In questo caso, ovviamente, dovrei cliccare su ignora per permettere al nostro file di potersi eseguire ugualmente (anzi, meglio, dovrei aggiungerlo alla Zona Attendibile cliccando sulla scritta blu in basso a destra dell'avviso)...


Se si clicca invece su termina/nega (lo screen si riferisce per praticità al solo TERMINA...),

il processo di fatto non parte.



Insomma:
SE SI ATTIVA IL PDM E SI LASCIA @ DEFAULT su "richiedi azione", l'utente prima o poi è messo di fronte a delle scelte a cui, probabilmente, non sempre saprà come rispondere.
In questo senso allora può essere sensato TUTELARSI A PRIORI con settaggi restrittivi quali quelli proposti.


OK:
ho il PDM settato in modo restrittivo e mi ritrovo con il Notepad del nostro es. bloccato! ( oltre a "comportamento pericoloso", "processi nascosti(rootkit)" e "valori sospetti nel registro", uso infatti anche questa impostazione per le DLL injection!)
E ora che faccio?


Sblocchiamolo!


Il sintomo ovviamente è quello dell'avviso del KAV (la mia misura preventiva, infatti, oltre a bloccare, AVVERTE!)

per cui è sufficiente andare su "DETTAGLI", viene automaticamente aperta la scheda di Log, ci si sposta su "RILEVATI"



tasto destro del mouse sull'invader->aggiungi a zona attendibile (abbiamo quindi tutto il tempo di ricercare eventualmente su google info sul file bloccato...) e semplicemente CLICCARE SU OK (3)

1 e 2 esprimono le proprietà del file.
Agendo sull'ultima linea del riquadro rosa dove c'è scritto "operazione di controllo" (seguire la freccia 2 ) o "maschera di verdetto" si può ulteriormente ampliare il ventaglio di comportamenti non monitorabili dal PDM per quell'eseguibile.


Alla fine, si controlla "il lavoro":
a, b, c






-----------------------------------------------------------------------------------------

Un'idea invece su come configurare il KIS la potete ricavare leggendo questo post:


-----------------------------------------------------------------------------------------

Le REGOLE per eMule sono scaricabili da questo Link (leggere bene il post):

http://www.hwupgrade.it/forum/showpo...postcount=3111 :read:

Ocio per l'aggiornamento.
Avevo letto sul forum ufficiale di uno strano comportamento. Se lasciato su auto è vero che tenta di aggiornarsi ogni 2 ore, ma se dopo qualche tentativo non riesce ad aggiornarsi i successivi avvengono ogni 5 minuti, permettendo in pratica di aggiornarsi non appena ci si connette ad internet dopo qualche tempo. Mentre se si impostava un intervallo di aggiornamento manuale il tempo rimaneva quello fisso (1 ora per esempio) e quindi se il tentativo è appena avvenuto e noi ci colleghiamo ad internet subito dopo il sw si aggiornerà solo dopo 1 ora, anche se erano tre giorni che eravamo disconessi.

Wip

ecco, bene....ne ero all'oscuro....pensa cmq che il mio è settato su una cadenza di 5 minuti! :D

Sei un pazzo scatenato :D

Accidenti che lavorone! :eek: Da ammirare e mettere nella sezione guide... ;)

IMHO è meglio automatico perchè appena ti connetti rileva la connessione e si aggiorna. Se lo fai pianificato, tenta sempre anche se è offline ed è inutile. :sofico:

visto che sull'update siamo già alla 2° rimostranza, rimuovo qualsiasi riferimento all'update.... ;)
Txs per la segnalazione.

hihihi... :D

Le sorprese non finiscono:
inserito 1 filmatino (3.30Mb) alla fine del 1° Post..... :D

Edit: in upload anche il 2°.......
Fatto (2.5Mb)

:sofico:

edit

Lavoro eccellente, complimenti! :)

grazie!

Comincio a pensare che tu sia un pazzo maniaco :ciapet:

Nv25, temo di aver combinato qualcosa testando Jumper...

Dunque, io ho scaricato il file, l'ho aperto e gli ho dato "Send". Appena arrivato al secondo passaggio, il Registry Guard mi ha avvisato e gli ho detto nega quindi il secondo passaggio è stato fermato. Poi per curiosità ho riprovato a rifarlo e stavolta gli ho dato "Autorizza" con il risultato che nei test successivi, non mi chiede più conferma alla seconda fase che ora viene completata ma me lo chiede solo alla quarta, come vedi qui e quindi riesce anche a riavviare Explorer.exe prima che KIS mi avvisi alla fase 4.



Da notare che non gli ho dato "ricorda azione" quando ho selezionato "Autorizza". Il mio dubbio è: perchè adesso non mi chiede più conferma prima di completare la seconda fase? :help:

Nv25, hai PVT. ;)

letto...

*EDITATO*


la risposta al post N°28




Ormai questo filamto lo lascio (con quello che mi è costato di tempo ad upparlo... :D )
Jumper Ripetuto.avi 5.18Mb

Se rintracci qualche info mi faresti un grande favore...sono molto impegnato in queste ore. :mc:

Ho fatto tutto dopo aver reimpostato ma riesce sempre a killare explorer.exe. Appena riparte, dopo la fase 4, mi appare questo avviso:

Il processo sta cercando di modifica il valore nella chiave di registro di sistema appartenente al gruppo System Startup. Queste chiavi controllano l'elenco di moduli eseguiti durante l'avvio di Windows.

Permettere l'accesso a queste impostazioni solo se si desidera impostare l'esecuzione automatica di questo programma all'avvio del computer. In altri casi negare l'accesso.

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Value: AppInit_DLLs

Data(Stringa Unicode null-terminated):
c:\jumperleaktest_dll.dll

Nuovi dati(Stringa Unicode null-terminated):

A cui do "nega". Nel frattempo però è riuscito a killare explorer e alla fase due non compare più l'avviso. :mc:

EDITATO

Il video non riesco proprio ad aprirlo...riesci a farlo in wmv? Comunque stavo pensando di disinstallare, pulire tutto e rimetterlo. :mc: