Non è detto che sia un problema... Molti dischi hanno di fabbrica un file autorun.inf, per i più disparati motivi... Ad esempio, tutti i miei Western Digital hanno l'autorun.inf semplicemente per caricare l'icona personalizzata del disco (WD) :)
Personalmente ho disabilitato la protezione da autorun.inf, la reputo inutile. Posso esserci 2 scenari:
1. l'autorun.inf è lecito, e quindi è corretto lasciarlo fare
2. autorun.inf è illecito e carica un virus, ed in tal caso il modulo realtime provvede comunque a rilevare e bloccare (nonchè eliminare) il virus non appena questo tenta di essere caricato

Quindi, la conclusione è che la funziona che blocca autorun.inf è inutile, ed anzi in certi casi è pure scocciante :)

adesso non mi ricordo bene cosa conteneva l'avevo aperto con il blocco note, visto che i file .ini e .inf si possono leggere con il blocco note e non mi pareva che ci fosse niente di particolare.
forse come dice Tennic caricava l'iconcina ma non ne sono sicuro
ah sto scherzetto me lo ha fatto anche su una chiavetta USB anche li sempre sul file autorun

3. autorun.inf è illecito e carica un virus. Avira non lo riconosce perché non ancora inserito nel suo database e perché l'euristica non lo ritiene tale e ti ritrovi il PC infetto. :muro: :muro: :muro:



Conclusione errata, mi spiace.


Saluti.

Guarda, non vorrei smontare i tuoi buoni propositi (che in teoria sono validi), ma in pratica i virus che utilizzano autorun.inf quale attivatore di infezione sono tra i più stupidi, e si possono rimuovere anche senza antivirus, da parte ovviamente di un utente esperto (già fatto in 3 occasioni, la prima nel 2006 e l'ultima pochi mesi fa) :)
A parte l'utente pratico, il caso da te descritto è decisamente improbabile, e per un semplice motivo... In pratica, i virus da autorun.inf, gira e rigira sono sempre quelli, quindi vengono rilevati anche dal più scafesso degli antivirus, ossia trendmicro (che è quello che utilizza l'azienda dove lavoro, in versione corporate, e non trova niente neanche a pagarlo). L'ipotesi di beccare un virus da autorun.inf, che non sia già presente nel database di un buon antivirus, ed addirittura non abbia niente in comune con nessuno dei precedenti virus (ergo, scansione euristica) è decisamente remota ;)

Pertanto, tra un'ipotesi remota di prendere un virus che deve soddisfare TUTTE le predette ipotesi (non presente nel database e completamente diverso da tutti i virus sinora creati), e la concretezza di bloccare autorun.inf a prescindere, il che a castrante per molte lecite applicazioni, preferisco avere un autorun.inf libero, e fidarmi di quello che arriva sempre tra i primi come capacità di rilevazione ;)

Poi, ovviamente, siccome è una cosa decisamente soggettiva (a parte le oggettive mie osservazioni di prima), ognuno può fare come crede :)

P.S. Ho preso anche volontariamente un bel virus, un paio di anni fa, ma non certo con autorun.inf, ma facendo partire manualmente quella che doveva essere una patch di un applicativo di rete che usiamo in azienda... Evidentemnte qualche buontempone aveva sostituito l'eseguibile :rolleyes:
Al tempo usavo NOD32 v4.0, e non l'ha rilevato... Ebbene, è stato rilevato e rimosso senza problemi con una semplice scansione da parte di MalwareBytes, quindi, anche in caso di infezione, non mi fascio la testa, ma semplicemente ripulisco :) Sarà che ci portano computer infetti ogni giorno, ma ormai avere a che fare coi virus è normale, ci conviviamo :D Per la cronaca, conservai quell'eseguibile, e NOD32 lo vide come virus dopo gli aggiornamenti della sera di quello stesso giorno, il che è un pessimo risultato, in quanto quando io presi il virus, sicuramente non era stato creato 10 minuti prima, quindi arrivai alla conclusione che NOD32 aggiunge i nuovi virus molto tempo dopo la loro creazione, esponendo gli utenti a infezioni. Benchè loro cliente da circa 5 anni, quello è stato uno dei motivi (insieme al fatto che ormai non primeggia nei test) che mi ha convinto a passare ad altro :)

A me il virus o quello che era me lo segnava proprio su autorun.inf e non su altri files contenuti sull'hard disk e bloccava l'esecuzione del file. Pure per poterlo aprire con il blocco note se non ricordo male ho dovuto disattivare Avira guard perchè non me lo faceva aprire nemmeno col blocco note.
Su altri autorun.inf tipo quelli sui dischi autopartenti dei giochi non mi hai mai segnalato una roba del genere, solo sull'hard disk e sulle chiavette USB del mio amico mi ha fatto sto scherzetto.

No, serve per impedire l'esecuzione del file autorun.inf, infatti si chiama "blocco esecuzione automatica"... Quindi vuol dire che se metti un CD-DVD, non partirà l'autoplay (a meno di abilitare l'apposita opzione), se colleghi un disco esterno con un'utility che parte in automatico, questa non partirà, idem per l'icona personalizzata del disco, non comparirà :)
Non sono le mie ragioni, sto cercando di analizzare oggettivamente e chiaramente tutte le ipotesi, affinche siano commentabili da tutti... E sinceramente non mi pare opportuno rinunciare a questa feature del S.O. per bloccare a prescindere OGNI esecuzione automatica. Allora, il modulo realtime che sta a fare, se comunque si blocca tutto a monte? Per un ipotetico virus nuovo che non c'è nel database? Beh, dovrei essere così fortunato da prendere il virus poche ore dopo che il creatore l'ha messo in circolo, e tale virus non deve avere niente in comune (neanche piccole porzioni di codice) con precedenti virus (e sappiamo bene che i virus vengono sempre creati su basi di altri virus). In tal modo, non viene riconosciuto. Vi pare uno scenario probabile? ;)
Ripeto, ognuno fa come crede, ma sino ad ora uso il mio computer per ripulire pendrive altrui, ed appena l'autorun.inf tenta di caricare il virus, questo viene rilevato al volo... In ormai 7-8 anni che tali virus esistono, non ho mai preso un virus in tale modo, e non ho mai bloccato autorun.inf :) Ed in tali anni, mi sono goduto le funzioni del S.O. senza applicare stupidi blocchi a tappeto :)
Se un ipotetico giorno dovessi prendere un virus grazie a tale vettore di propagazione, lo rimuoverò come ho sempre fatto con gli altri computer a lavoro, ed in 20 minuti (riavvii e scansione finale comprese) torno pulito come prima :) E sarebbe il primo virus in tantissimi anni :)
Se i blocchi sembrano giusti, il prossimo step qual è, rendere il disco C di sola lettura, perchè potrebbe capitare un virus nuovissimo creato 5 minuti prima, che il modulo realtime non riconosce? :D

Questo è perchè tale blocco impedisce a prescindere l'esecuzione di autorun.inf, trattandolo come un virus a prescindere da tutto, anche se carica una stupida icona :rolleyes: Quindi ne impedisce l'esecuzione, l'accesso, e tutto il resto :rolleyes:
Il trendmicro aziendale lo elimina senza conferme, infatti non collego più i miei HD esterni al computer in ufficio, altrimenti mi elimina gli autorun.inf "di fabbrica", cioè che servono semplicemente a far comparire l'icona personalizzata :rolleyes:
Questa caccia alle streghe mi pare eccessiva... o meglio... "non sono sicuro di trovare un virus? Beh, impediamo un modo di infezione a prescindere" :rolleyes:
E se quel medesimo virus invece fosse un semplice eseguibile travestito da altro? Ecco perchè credo e spero nell'affidabilità del modulo realtime... Bloccare UN SOLO metodo di infezione, tra l'altro quello che nel 99% dei casi è lecito (e parlo di autorun.inf), lasciando aperti tanti altri metodi di infezione è decisamente inutile, secondo me :) L'antivirus deve fare il suo lavoro, senza richiedere blocchi a prescindere... Prendereste un antivirus che vi promette di impedire l'infezione purchè utilizziate dischi protetti da scrittura? E' come dire "sono inutile" :D

Questione personale? :D Forse allora non ho spiegato bene il senso del mio intervento... Il punto è che non trovo corretto bloccare le normali funzioni del sistema operativo per sopperire alle mancanze dell'antivirus, o nel caso di antivirus buoni (come il nostro) per temere improbabili congiunzioni astrali, come il fantomatico virus creato poco prima e completamente diverso da tutti gli altri virus :D
Quindi, visto che le motivazioni da me oggettivamente spiegate sono una questione personale, mi spiegate gentilmente a cosa serve in un caso realistico e non ipotetico tale funzione? Magari qualche cosa mi sfugge, così sono ben lieto di abilitare questa funzione, anche se in tanti anni non mi è mai servita :) Ma non si finisce mai di imparare, quindi sono aperto ad apprendere cose nuove, mica pretendo di sapere tutto :)
Salvo che ovviamente non siano questioni personali e poco difendibili oggettivamente (le cosiddette "fissazioni") quelle di chi ritiene che la funzione sia utile ;)
Le ragioni per disabilitare la feature le ho dette più volte, e reali... Ossia, ho molti dischi e pendrive che hanno la necessità di eseguire un autoplay perfettamente lecito, e non vedo perchè devo rinunciarci, ed allungarmi il lavoro con un play manuale, per temere chissà cosa ;)
E ripeto, a chi teme che autoplay sia un vettore col quale si prendono sicuramente virus che il modulo realtime non trova, allora ricordo che è uno dei tantissimi veicoli di infezione, e l'unica soluzione a tutti è avere un disco in sola lettura... Quindi, per lo stesso ragionamento, utilizziamo solo dischi in sola lettura? ;)
Per l'euristica, la tengo al livello massimo, idem le categorie di minacce, le ho abilitate tutte, perchè oggettivamente lo ritengo utile, non tanto per i virus (che verrebbero rilevati comunque) quanto per programmini scherzo e simili, che potrebbero essere fastidiosi (ma non dannosi) :)

Ormai seguo i virus da circa 20 anni, e nei primi anni 90 mi dilettavo a riscrivere manualmente l'MBR ed il BR in caso di infezioni... Rispetto ai virus che esistevano al tempo (stealth, poliformici, extratraccia) quelli di ora sono ridicoli e certi si rimuovono senza neanche scomodare l'antivirus (es quelli che si prendono con autorun.inf)... Ecco perchè sorrido a tali funzioni "simpatiche" degli antivirus :D

Credetemi, non è una questione personale, ma solo valutare pro e contro (realtà alla mano) di una impostazione :)

Non ho nessun buon proprosito. Quelle che hai scritto sono tue opinioni che non condivido assolutamente e trovo siano in un certo senso... fuori luogo in una sezione del forum dove si discute di sicurezza. Nel dettaglio ho semplicemente ritenuto fosse corretto correggere alcune tue frasi evidentemente sbagliate, i virus tramite autorun.inf hanno fatto sfacelli inenarrabili e conficker è solo uno dei tanti esempi di malware iniettato anche tramite autorun.inf e che ha inchiodato intere reti informatiche evidentemente gestite da responsabili che la pensano come te.


Saluti e baci, scusandomi se non ritorno più sull'argomento visto che non c'è proprio nulla da discutere su cose assodate da tutti i responsabili di sicurezza informatica.

Io frequento i forum di sicurezza per imparare ad ottimizzare le protezioni, non certo per convincere gli altri di mie fissazioni, tant'è che motivo sempre quello che dico ;)

Per la cronaca, io gestisco veramente una rete informatica, una MAN, per la precisione, ma senza scendere nei dettagli (non posso per lavoro) la mia rete (un'intera città) è l'unica che 3-4 anni fa non è stata infettata in tutta italia, rispetto alle altre analoghe ;) Se vuoi, in pm, posso essere più preciso, così non pensi che sto sparando vaneggiamenti ;)

Comunque, chiudo qui, il mio parere l'ho detto e motivato più volte... Basato su 2 punti:
1. autorun.inf viene utilizzato per lo più per funzioni lecite
2. un buon antivirus frequentemente aggiornato ha un modulo realtime che DEVE rilevare le infezioni anche se non sono attivi blocchi a monte. Questo è agevolato dal fatto che un virus riprende sempre porzioni di codice da virus preesistenti, e la funzione euristica consente di rilevare la nuova minaccia. E questo è basato, ripeto, su un buon antivirus, che in test OGGETTIVI ha dimostrato un tasso di rilevamento altissimo, come Avira.

Per contro ho sentito solo che potrebbe esistere un nuovo virus che è uscito poco prima (e mi è già arrivato su pendrive) ed è nuovo al 100%, completamente diverso da ogni altro virus (correggimi se ho capito male), quindi non rilevabile neanche da euristica.

...e secondo me questo è corretto al 100% se pensiamo a computer che aggiornano l'antivirus una volta ogni 3 mesi (e purtroppo ce ne sono, sembra che si paga per aggiornare :rolleyes: )... Invece il mio discorso è basato su AV aggiornati quando disponibili aggiornamenti quindi anche 3.4 volte al giorno.

Se poi i canoni di sicurezza e gli esperti impongono di bloccare tutto a prescindere, beh, mi congratulo per loro e per la loro lungimiranza :D ... Se tali esperti gestissero una rete, allora, per evitare gli attacchi non configurerebbero il firewall, staccherebbero i cavi di rete, così sarebbero sicuri di non essere attaccati :D

Qualcuno diceva che un computer sicuro è un computer spento... Beh, a forza di disabilitare funzioni normali (e non ottimizzandole) per temere eventi remoti ci stiamo arrivando :)

Ora chi legge ha gli strumenti per poter decidere se utilizzare autorun (questo dipende anche se alla persona in questione serve o meno), oppure disabilitarlo per temere l'ipotetica minaccia del virus nuovo al 100% ed appena uscito.

Pertanto, come ho sempre detto, ognuno fa come crede in base alle personale considerazioni... Quello che ho sempre fatto è stato di mettere le carte in tavola, se poi questo è fuori luogo nel forum, e si preferisce agire senza pensare, anche qui ognuno può fare come crede :) Mi spiace solo che magari è stata vista come una "questione personale" ma non è semplice far trasparire l'intento di un post da dietro uno schermo :)
Almeno credo di aver sempre spiegato oggettivamente il mio parere, rimanendo nel tecnico, e senza mai attaccare o riferirmi allo scrivente ;)

Per ulteriori scambi, posso continuare in PM, meglio non inquinare il topic :)

Un esempio che comprende tutti i punti anche quelli citati nei post precedenti è Stuxnet.

Grazie

Per ritornare in tema "avvisi strani" di Avira...
Assodato che è scomparso (dopo mesi) il "problema" dei 64 oggetti nascosti, che costringeva a presidiare il computer per dire "continua la scansione" quando richiesto, ora pare ci sia un problema di un numero ritenuto eccessivo di avvisi.
Ho eseguito una scansione completa, ed ho avuto ben 70 avvisi (come l'altro giorno). Ma a differenza dell'altro giorno, li ho letti uno ad uno, per vedere se è il caso di preoccuparsi (molti quando leggono "avvisi" si preoccupano a prescindere) oppure se sono semplici note informative. Del resto Avira non fa niente per preoccuparci, infatti vengono segnalati solo nel report della scansione, un asettico numero.

Allora... ben 34 file zip non controllabili in quanto protetti da password... Ho verificato, e tali zip non erano apribili neanche con winzip, appunto protetti a password, quindi segnalazione coerente, Avira ci ha solamente detto che non è riuscito a guardarci dentro. Per la cronaca, sono ZIP di backup di Spybot search & destroy, che tengo giusto per le immunizzazioni del browser, come scansione è ampiamente superato dalla concorrenza.
Poi, un'altra decina di archivi vari (es. 7z) protetti da password e quindi non consultabili. Si tratta di archivi creati automaticamente da programmi leciti, che vengono evidentemente protetti per evitare che qualcuno ci guardi dentro o estragga il contenuto.
Su 15 file TMP, l'errore era "L'intestazione dell'archivio è danneggiata". Si tratta di vari temporanei in varie cartelle, evidentemente Avira crede che siano archivi, ma invece non lo sono, e dice che non ha potuto guardarci dentro.
Infine, su una decina di file "Uninstal.exe" di varie applicazioni (perfettamente lecite) c'era la segnalazione "Chiusura inaspettata del file", che non so che c'entri. Analizzandone uno (di questi eseguibili), questa è la sua ripartizione del codice:

64,6% EXE Win32 Executable MS Visual C++ (generic) 31206/45/13
13,6% DLL Win32 Dynamic Link Library (generic) 6581/28/2
13,5% EXE Win32 Executable Generic 6514/8/2
4,1% EXE Generic Win/DOS Executable 2002/3
4,1% EXE DOS Executable Generic 2000/1

Evidentemente qualcuna di queste porzioni di codice non sono state ispezionabili da Avira.

Il mio personale parere è che si tratta quindi di avvisi perfettamente leciti e normali, che vengono resi disponibili solo come numerello asettico, e consultabili on-demand se si apre il report dettagliato, segno che lo stesso Avira non vi pone il minimo peso.
Non è pertanto il caso di preoccuparsi per un numero "elevato" di questi avvisi IMHO :) ... E' il caso di preoccuparsi solo dei numerini nella casella "infezioni" :D

da quando hanno fixato quel bug avira mi ha trovato virus nascosti
ottima avira

Virus, o altri generi di oggetti? Anche prima del fix i virus venivano comunque trovati... Quindi potrebbe essere utile sapere cosa trova in più :)

esatto, per mia personale esperienza gli avvisi vanno trattati come tali ovvero note informative e al massimo consigli ma nulla che sia di importanza rilevante perchè altrimenti non sarebbe un avviso (è bene guardarci e capirne il messaggio ma non impedisce le normali funzioni del sistema) :) :p

Ho ritenuto postare la mia esperienza e le mie analisi (rendendole trasparenti a tutti, in modo che tutti possano vedere che deduzioni ho fatto e perchè) semplicemente perchè leggevo di molti utenti che si lamentavano di tali avvisi, con aria "preoccupata" (magari si aspettano di avere 0 infezioni e 0 avvisi, tutto il resto è preoccupante), quindi ho voluto vederci più chiaro :)

proprio virus tipo trojan,adware

In file che non pensavi di avere, oppure in file particolari (keygen e similari) che sapevi di avere? Giusto per capire se aumenta la capacità di rilevazione di VERI virus, quindi nascosti, oppure di file "particolari" quali crack, keygen e similari, che vengono visti comunque come malware dagli antivirus, quindi una segnalazione su questi file era comunque prevedibile :)

allora prima quando mi diceva che c'erano 64 oggetti nascosti
adesso ha trovato dei virus adware,trojan

Scusate… Avira Free 12 è già compatibile con Windows 8?

Grazie