Problema recente con Avira

[Synthropy Lab]

Ciao, non so se a qualcuno è capitato, ma da un po' di tempo con Avira - dopo averla disattivata - la protezione Real-Time (micidiale per il rallentamento che porta ad es. se si deve leggere la posta...) si riattiva da sola dopo un tot di minuti. Il mese scorso ad es. era ancora una mia scelta riattivarla o meno.
Nelle preferenze non trovo alcuna impostazione a riguardo e mi è venuto il dubbio che sia un escamotage (introdotto tra gli ultimi update automatici) per costringerti a comprare la versione Pro...
E' qualcosa di veramente fastidioso, perché trovo davvero superfluo appesantire la cpu nei momenti in cui lavoro offline o navigo in luoghi sicuri...

[franzphone]

Premesso che ognuno installa quello che vuole sul proprio Mac, perché utilizzare un antivirus? Rallenta solo il sistema...
Io lo eliminerei proprio, ma per rispondere alla tua domanda:
Da monitoraggio attività puoi chiudere il processo e quindi bloccare questa funzione (che dovrai ripetere ogni volta che riaccendi il Mac).

Aspetta la risposta di qualche utente più esperto, magari puoi eliminare la “funzione” eliminando il processo oppure con una stringa da terminale...

[Synthropy Lab]

Guarda...anch'io pensavo che il Mac fosse immune da virus e attacchi vari, ma purtroppo è successo che l'anno scorso sono riusciti comunque a bucarmi un account tramite cookies (tra parentesi entrando anche su Aruba, che non è che sia proprio il provider meno sicuro del mondo...praticamente non ti fa fare una mazza neanche a te che sei cliente...) e attivarmi generatori di bitcoin a mie spese. Alla fine sono stato rimborsato (era evidente il fatto che tutto fosse partito da un ip diverso), ma da allora preferisco avere un antivirus e mi trovo bene. Chiaramente attivandolo SOLO quando visito siti sospetti e poi lo disattivo per altre cose; altrimenti appunto mi rallenta il sistema. Solo che adesso non è più possibile. E certo una volta al giorno dover andare a bloccare il processo a mano...è sempre meglio che fare quel che faccio ogni 10 minuti, però...du' palle...

[franzphone]

Sicuramente avrai già visto questo link:
https://support.avira.com/hc/it/article ... figure-it-
Spiega come disattivare la funzione da un menù ma funziona solo con la versione a pagamento

[Alberto.G]

Ciao, non so se a qualcuno è capitato, ma da un po' di tempo con Avira - dopo averla disattivata - la protezione Real-Time (micidiale per il rallentamento che porta ad es. se si deve leggere la posta...) si riattiva da sola dopo un tot di minuti.
...

Ho letto i tuoi post e, da subito, concordo in tutto con quanto ti ha segnalato franzphone riguardo agli antivirus.
Vedo anche che sei stato duramente “scottato” l’anno scorso e credo, ormai, la tua ferma decisione di tenere un antivirus.
Cosa posso dirti in questi casi?
Io rimango sempre dell’idea di NON installare alcun antivirus sul Mac, confortato anche da un’esperienza, ancora breve (4 anni e 4 mesi), con il mio iMac nel corso della quale non ho mai subito “attacchi” di nessun genere.
Un suggerimento comunque te lo vorrei dare.
Non costa assolutamente nulla eseguire un controllo della tua macchina, non fosse altro che per verificare che non ci possano essere delle “presenze” assolutamente spiacevoli se non pericolose.

In questo forum si consiglia l’utilizzo di  DetectX Swift. 
Scarica l’app da qui :
https://sqwarq.com/detectx/


Per primo verifica il risultato della finestra di DetectX Swift (quella dove c’è scritto STATUS:); se appare la scritta: “Search complete. No threats or problems found.” sei a posto, tutto è OK.
Se invece sono indicate stringhe di file vuol dire che DetectX ha trovato la presenza di adware o malware.
Posta quindi il risultato di questa finestra STATUS, per favore, come Codice (</>).
Questo Codice lo trovi, insieme ad altri, nella barra presente appena sopra il quadro del messaggio da scrivere. 

Posta anche il contenuto della finestra PROFILE, sempre come Codice (</>).
Va postato dall’inizio del report fino al Paragrafo che appare con la scritta: "Running Processes”.
Tutto quello che viene dopo non serve per l’analisi.

Per postare correttamente il report PROFILE di DetectX, devi
- cliccare su finestra PROFILE
- cliccare su simbolo (quadratino con la freccetta verso alto), vedrai comparire "Sharing option..."
- cliccare su opzione Sanitized (per non far vedere su report i dati sensibili dell’utente)
- cliccare su Copy report to clipboard
- chiudere quindi DetectX cliccando su cerchietto rosso oppure cliccando prima su DetectX Swift (in alto barra menu) e poi su Quit /Esci)
- cliccare su simbolo [<>] che trovi nella barra menu appena sopra il riquadro del messaggio da scrivere
- poi cliccare su Modifica (barra del menu in alto) e poi su Incolla
- il report viene caricato
- poi scorri il report che è stato appena inserito e vai in fondo fino a trovare il Paragrafo "Running Processes”
- poi cancelli tutte le righe del report che vengono dopo il suddetto Paragrafo fino alla fine, perché non servono.

[Paolofast]

ma da allora preferisco avere un antivirus e mi trovo bene.

Ti trovi bene con un programma che non fa assolutamente nulla, salvo rallentarti inutilmente il Mac?
Contento te.

Sai che differenza ci sarebbe stata quando ti hanno bucato l'account, se tu avessi avuto Avira installato?
Che ti avrebbero bucato ugualmente il Mac, ma il Mac sarebbe stato più lento.

Perché "bucare" un account non è opera di virus, è opera di ingegneria sociale (cioè tu che abbocchi a messaggi fuorvianti) o a furti di password su server di cui non hai il controllo, tipo, per citare i più recenti, Mangadex e Facebook.
I cosiddetti antivirus, in questi casi, non possono far nulla.

sono riusciti comunque a bucarmi un account tramite cookies

E chi ti ha raccontato questa balla?
Avira o gli hacker?
In entrambi i casi, pensi davvero che chi sta truffandoti ti riveli il vero modo in cui c'è riuscito?

[paolinoweb]

E chi ti ha raccontato questa balla?
Avira o gli hacker?

https://www.securedhacks.com/
https://book.hacktricks.xyz/pentesting- ... th-cookies
https://www.thesslstore.com/blog/the-ul ... hijacking/

Non so come ma sono capitato sul primo link pochi giorni fa e leggendo ho visto degli exploit che utilizzano i cookies, il secondo e terzo link danno info.

Potrebbero aver scritto ca***te enormi, non ho la preparazione per capire e come utilizzare questi exploit e se funzionano davvero.

Potrebbe anche essere che il primo link, ti fregano dei soldi e basta.

Se metti su google "use cookies exploit" trovi tanti articoli comunque.

[Synthropy Lab]

Ciao e grazie innanzi tutto per la risposta dettagliata.
Possibile (?) che l'avessi già installato in passato...perché dentro la directory "LaunchAgents" ho trovato questo file: com.sqwarq.DetectX-Swift.observer.plist
Non trovo però nessuna app nella relativa cartella. A meno che non sia qualcosa che lavora in background senza un'interfaccia utente...non ricordo, sinceramente.
Per il resto rispondo dopo, insieme all'altro utente che gentilmente mi ha scritto; così non mi ripeto inutilmente.

Ciao, non so se a qualcuno è capitato, ma da un po' di tempo con Avira - dopo averla disattivata - la protezione Real-Time (micidiale per il rallentamento che porta ad es. se si deve leggere la posta...) si riattiva da sola dopo un tot di minuti.
...

Ho letto i tuoi post e, da subito, concordo in tutto con quanto ti ha segnalato franzphone riguardo agli antivirus.
Vedo anche che sei stato duramente “scottato” l’anno scorso e credo, ormai, la tua ferma decisione di tenere un antivirus.
Cosa posso dirti in questi casi?
Io rimango sempre dell’idea di NON installare alcun antivirus sul Mac, confortato anche da un’esperienza, ancora breve (4 anni e 4 mesi), con il mio iMac nel corso della quale non ho mai subito “attacchi” di nessun genere.
Un suggerimento comunque te lo vorrei dare.
Non costa assolutamente nulla eseguire un controllo della tua macchina, non fosse altro che per verificare che non ci possano essere delle “presenze” assolutamente spiacevoli se non pericolose.

In questo forum si consiglia l’utilizzo di  DetectX Swift. 
Scarica l’app da qui :
https://sqwarq.com/detectx/


Per primo verifica il risultato della finestra di DetectX Swift (quella dove c’è scritto STATUS:); se appare la scritta: “Search complete. No threats or problems found.” sei a posto, tutto è OK.
Se invece sono indicate stringhe di file vuol dire che DetectX ha trovato la presenza di adware o malware.
Posta quindi il risultato di questa finestra STATUS, per favore, come Codice (</>).
Questo Codice lo trovi, insieme ad altri, nella barra presente appena sopra il quadro del messaggio da scrivere. 

Posta anche il contenuto della finestra PROFILE, sempre come Codice (</>).
Va postato dall’inizio del report fino al Paragrafo che appare con la scritta: "Running Processes”.
Tutto quello che viene dopo non serve per l’analisi.

Per postare correttamente il report PROFILE di DetectX, devi
- cliccare su finestra PROFILE
- cliccare su simbolo (quadratino con la freccetta verso alto), vedrai comparire "Sharing option..."
- cliccare su opzione Sanitized (per non far vedere su report i dati sensibili dell’utente)
- cliccare su Copy report to clipboard
- chiudere quindi DetectX cliccando su cerchietto rosso oppure cliccando prima su DetectX Swift (in alto barra menu) e poi su Quit /Esci)
- cliccare su simbolo [<>] che trovi nella barra menu appena sopra il riquadro del messaggio da scrivere
- poi cliccare su Modifica (barra del menu in alto) e poi su Incolla
- il report viene caricato
- poi scorri il report che è stato appena inserito e vai in fondo fino a trovare il Paragrafo "Running Processes”
- poi cancelli tutte le righe del report che vengono dopo il suddetto Paragrafo fino alla fine, perché non servono.

[Synthropy Lab]

ma da allora preferisco avere un antivirus e mi trovo bene.

Ti trovi bene con un programma che non fa assolutamente nulla, salvo rallentarti inutilmente il Mac?
Contento te.

Sai che differenza ci sarebbe stata quando ti hanno bucato l'account, se tu avessi avuto Avira installato?
Che ti avrebbero bucato ugualmente il Mac, ma il Mac sarebbe stato più lento.

Perché "bucare" un account non è opera di virus, è opera di ingegneria sociale (cioè tu che abbocchi a messaggi fuorvianti) o a furti di password su server di cui non hai il controllo, tipo, per citare i più recenti, Mangadex e Facebook.
I cosiddetti antivirus, in questi casi, non possono far nulla.

sono riusciti comunque a bucarmi un account tramite cookies

E chi ti ha raccontato questa balla?
Avira o gli hacker?
In entrambi i casi, pensi davvero che chi sta truffandoti ti riveli il vero modo in cui c'è riuscito?

Allora...ovviamente non sono un masochista L'unico rallentamento che ho percepito è stato con il client di posta, anche solo per scorrere le mail senza aprirle. Tant'è che ogni volta dovevo disattivarlo.
Ovviamente non sono l'allocco che casca nei vari tranelli in giro in rete o arrivano via posta; così come per una vita ho pensato che fosse assurdo prendersi un virus con i sistemi Unix in genere, perché ti chiedono quasi: "ciao, beota, vuoi installare questa cosa che ti fa questo o quest'altro?" (...) "...ma sei proprio sicuro, beota?"
Fatto sta che è successo quel che successo (aggiungo che hanno clonato anche la carta alla mia donna, che condivide l'IP) mentre dopo - sarà un caso o forse anche la tecnologia per rompere le balle alla gente ha fatto passi da giganti? - allora non ho riscontrato neanche il pur minimo cenno di attività sospetta (più per la parte di controllo real time, firewall, etc che per l'antivirus di per sé, su cui sono d'accordo con te e anche a me sembra quasi una soluzione omeopatica).
Chi me l'ha detto? Ovviamente nessuno dei due citati. Sono stati quelli di Aruba. E mi torna anche. Evidentemente dopo una vita attento a non farlo mi sono dimenticato di NON salvare i dati di login sul browser e qualcuno ne ha approfittato per accedere al mio account presso di loro etc. Il punto è: come ci è riuscito? E - soprattutto - come posso evitare che accada nuovamente?

[Synthropy Lab]

E chi ti ha raccontato questa balla?
Avira o gli hacker?

https://www.securedhacks.com/
https://book.hacktricks.xyz/pentesting- ... th-cookies
https://www.thesslstore.com/blog/the-ul ... hijacking/

Non so come ma sono capitato sul primo link pochi giorni fa e leggendo ho visto degli exploit che utilizzano i cookies, il secondo e terzo link danno info.

Potrebbero aver scritto ca***te enormi, non ho la preparazione per capire e come utilizzare questi exploit e se funzionano davvero.

Potrebbe anche essere che il primo link, ti fregano dei soldi e basta.

Se metti su google "use cookies exploit" trovi tanti articoli comunque.

Ecco... comunque lascio la risposta finale a utenti più esperti di me. Grazie.

[Paolofast]

Sono stati quelli di Aruba.

Perché quel tipo di attacco esiste, ma solo se il server collabora.
In soldoni, l'attacco passa, e non sempre, solo se il server a cui ti sei collegato è stato hackerato ed è NON https.
Grazie a questo, l'hacker si è impossessato dei tuoi dati (dal server compromesso), mentre i cookies "malevoli", vengono bloccati da MacOs fin dal 2015:

https://threatpost.com/apple-fixes-cook ... es/112246/

Però fa comodo dare la colpa ai cookies, quando invece è loro.

Concludendo, Avira e altra robaccia non ti bloccherebbe un accesso fatto con i tuoi dati corretti (e rubati).
Ne ti bloccherebbe il malware: quello lo blocca il sistema operativo automaticamente, mentre Avira si prende il merito e ti spilla soldi.

[Synthropy Lab]

Sono stati quelli di Aruba.

Perché quel tipo di attacco esiste, ma solo se il server collabora.
In soldoni, l'attacco passa, e non sempre, solo se il server a cui ti sei collegato è stato hackerato ed è NON https.
Grazie a questo, l'hacker si è impossessato dei tuoi dati (dal server compromesso), mentre i cookies "malevoli", vengono bloccati da MacOs fin dal 2015:

https://threatpost.com/apple-fixes-cook ... es/112246/

Però fa comodo dare la colpa ai cookies, quando invece è loro.

Concludendo, Avira e altra robaccia non ti bloccherebbe un accesso fatto con i tuoi dati corretti (e rubati).
Ne ti bloccherebbe il malware: quello lo blocca il sistema operativo automaticamente, mentre Avira si prende il merito e ti spilla soldi.

Ah, vedi...buono a sapersi: biscottini accusati ingustamente A parte la cosa dello "scaricabarile", sto diventando matto con questo fatto dei certificati SSL...
Praticamente con il discorso che i browser "più moderni" (come mi ha detto uno) spiattellino questi minacciosi avvisi sui rischi del proseguimento della navigazione (dubito che qualsiasi visitatore abbia voglia di andare avanti...), mi sta costringendo ad aggiungere anche questa spesa ogni anno per ogni singolo dominio che ho. E questo al di là della sicurezza (fermo restando che in molti casi si tratta di semplici domini comprati per pagine informative o addirittura redirect.

A parte questo, mi hai convinto (anche perché non ho nessuna intenzione di pagare Avira - sto usando la versione free): lo disinstallo.
"Ovviamente" non c'è l'app per farlo. E dubito che basti trascinarla nel cestino e svuotarlo, giusto? Qualche file a giro già l'ho trovato.

[Paolofast]

sto diventando matto con questo fatto dei certificati SSL...

In soldoni: http non è sicuro, quindi volenti o nolenti tutti i siti devono, giustamente, passare a https, con relativi certificati.
Giustamente perché chi crea un sito deve, ripeto, deve fare in modo che sia sicuro per chi lo consulta, non solo, ma anche con https.
E questo non è solo un imperativo morale, ma anche di responsabilità civile.
Per farla breve, se non garantisci la sicurezza, possono farti causa.
Se poi hai dati sensibili, rischi di andare nel penale.

Insomma, la fase ingenua e pionieristica è finita, oggi se vuoi fare un sito web devi seguire le regole.

[Alberto.G]

...
A parte questo, mi hai convinto (anche perché non ho nessuna intenzione di pagare Avira - sto usando la versione free): lo disinstallo.
"Ovviamente" non c'è l'app per farlo. E dubito che basti trascinarla nel cestino e svuotarlo, giusto? Qualche file a giro già l'ho trovato.

Prova comunque a vedere se il produttore di Avira (alcuni lo fanno) ha predisposto il programma specifico per la disinstallazione completa dell’antivirus Avira.
Altrimenti… tutto a “manina”.
Cioè con l’aiuto di EasyFind (è un cercatore booleano) puoi trovare tutti gli elementi che contengono al loro interno la parola cercata (in questo caso “Avira”).
La scarichi da questo link
https://www.devontechnologies.com/apps/freeware

Da personalizzare così

Schermata 2021-04-09 alle 20.11.30.png (93.92 KiB) Visto 431 volte

e poi anche così (premi su Impostazioni per vedere questo pannello) tasto indicato da freccia

Schermata 2021-04-09 alle 20.08.06.png (105.34 KiB) Visto 431 volte

Per l’uso di EasyFind si fa così.
Verifica che in finestra [Location:], in alto a sinistra, sia specificato il nome del disco di sistema (di norma è Macintosh HD).
Digita nella barra di ricerca —> Avira oppure anche avira (tutto minuscolo)
e vedi cosa EasyFind ti trova, probabilmente parecchie stringhe di file.
Poi, uno ad uno, clicchi sopra il file, così lo evidenzi, e poi clicchi su [Rivela nel Finder].
A questo punto, quando il file ti viene evidenziato nel Finder, clicchi su ’Sposta nel cestino’.
Se per alcuni file ti viene chiesta la password del Mac, digitala per poterli trasferire nel cestino.
Nota: questa operazione che dovrai fare è piuttosto delicata e lunga e, prima di cliccare su ’Sposta nel cestino’, controlla sempre che il file da eliminare faccia parte dell’app “Avira” che ho preso come esempio.
Non nego che è una operazione molto lunga quando si hanno parecchie applicazioni o file da eliminare, per cui sempre massima attenzione.
Dopo tutto questo lavoro di “pulizia”, per un controllo definitivo, devi svuotare il cestino, esegui di nuovo EasyFind digitando in barra di ricerca Avira (e non devi trovare più nulla).
Alla fine, riavvia il Mac, ed esegui DetectX Swift come già ti ho illustrato.

[Alberto.G]

Possibile (?) che l'avessi già installato in passato...perché dentro la directory "LaunchAgents" ho trovato questo file: com.sqwarq.DetectX-Swift.observer.plist
Non trovo però nessuna app nella relativa cartella.
...

Per toglierti qualsiasi dubbio, fai così.
Con EasyFind cerca “DetectX” o “DetectX-Swift” e vedi così se ci sono ancora in piedi dei residui.
Se ci sono, li elimini come già ti ho spiegato.
Se hai visto che c’è quel file [.plist] sicuramente in passato l’avrai installata e poi, non ritenendola più utile, l’avrai eliminata.
Fatta questa verifica ed eliminati gli eventuali “residui” ancora presenti, puoi installare di nuovo DetectX Swift dal link che ti ho segnalato.