Author Topic: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno  (Read 10691 times)

0 Members and 1 Guest are viewing this topic.

Roby78

  • Guest
Ho un problema, ogni volta che avvio il pc, Avast mi manda questo doppio avviso




Ho provato tutto per liberamene, ho usato le scansioni complete di Avast, Spybot - Search & Destroy 2, Malwarebytes' Anti-Malware, Malwarebytes' Anti-Rootkit, ComboFix e gmer (anche da modalità provvisoria) ma niente di niente. Ho provato anche a usare il ripristino di Window 7 tornando fino al 29 ottobre (quando ancora non avevo il malware) ma nessun risultato lo stesso.

h**p://m.2ba172b54d712e2adb66ba04b4018bcc.com/?id=2ba172b54d712e2adb66ba04b4018bcc.com&key=update.vbe
h**p://m.0839f88ae61efaa3e91fdf5b732b242f.com/?id=0839f88ae61efaa3e91fdf5b732b242f.com&key=update.vbe

Questi sono i due indirizzi a cui Avast blocca l'accesso all'avvio di Windows e ne fa ricadere la responsabilità su wscript.exe

Avrei voluto provare a mettere questo file nel cestino ed avviare per vedere se non trovandolo questo malware come si comporta, purtroppo il file wscript.exe non si può ne spostare ne cancellare ne rinominare nemmeno facendolo da amministratore, perchè l'unico che ha l'autorizzazione completa a farlo è tale TrustedInstaller che non so cosa sia.

Allego alcuni logs:

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #1 on: November 09, 2013, 11:54:28 AM »
Ciao e benvenuto,
1.hai già provato a programmare una scansione all'avvio con avast?
2.hai già provato ad eseguire il browser cleanup di avast (avast->strumenti->browser cleanup)?

i log postati sembrano ok, ti suggerisco di rimuovere sby bot per ora.

se il problema persiste prova a rimuovere manualmente le estensioni dei browser (firefox, chrome)..
inoltre per favore esegui una pulitura del disco con ccleaner
http://www.piriform.com/ccleaner/download/standard

se hai ancora pop-up, salva questo programma (con tasto dx sul link e salva destinazione, mettilo sul desktop) ed eseguilo
http://www.silentrunners.org/Silent%20Runners.vbs
quando lo apri ti uscira il seguente messaggio
Do you want to skip supplementary searches?
clicca su NO

se ricevi un errore clicca clicca su OK e fallo ripartire.
Quando esce ALL DONE! Posta il file di testo generato sul desktop.

Quote
Avrei voluto provare a mettere questo file nel cestino ed avviare per vedere se non trovandolo questo malware come si comporta, purtroppo il file wscript.exe non si può ne spostare ne cancellare ne rinominare nemmeno facendolo da amministratore, perchè l'unico che ha l'autorizzazione completa a farlo è tale TrustedInstaller che non so cosa sia.
non devi eliminarlo , il problema risiede altrove.
« Last Edit: November 09, 2013, 12:00:21 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Roby78

  • Guest
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #2 on: November 09, 2013, 12:51:01 PM »


Stamattina Avast ha accusato Avast stesso di essere un malware  :o

E' normale che Gmer veda i files di Avast come rootkit pericolosi?



Comunque Avast a ogni fine scansione mi dava questo messaggio:



Questo file l'ho eleminato e ora la scansione la fa pulita, ho fatto qualche danno eliminandolo?

La scansione all'avvio fatta senza risultati, fatto anche browser cleanup (mi dice che non ci sono addon con cattiva reputazione e comunque su firefox di addon ho solo lo stesso Avast e Ad-Block Plus) e ccleaner la faccio tutti i giorni in pratica.

Ecco il log comunque, quando ha detto "Do you want to skip supplementary searches?" ho detto no, e dopo ha detto anche "Are you sure you want to run the supplementary search?" e detto yes, ho fatto bene?
« Last Edit: November 09, 2013, 01:16:08 PM by Roby78 »

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #3 on: November 09, 2013, 01:45:51 PM »
Quote
Stamattina Avast ha accusato Avast stesso di essere un malware  :o

E' normale che Gmer veda i files di Avast come rootkit pericolosi?
si può essere

Quote
Questo file l'ho eleminato e ora la scansione la fa pulita, ho fatto qualche danno eliminandolo?
io non ce l'ho quindi non è un file di sistema, credo che hai fatto bene

Il log tuttavia non evidenzia nulla, prova con questo

scarica OTL sul tuo desktop
http://oldtimer.geekstogo.com/OTL.exe
apri il programma ma assicurati di avere chiuso tutte le finestre e lascialo lavorare senza interruzioni, poi seleziona


Seleziona All User, LOP e Purity , sotto Custom scan incolla questo:

netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
c:\program files (x86)\Google\Desktop
c:\program files\Google\Desktop
dir "%systemdrive%\*" /S /A:L /C
CREATERESTOREPOINT


Quindi clicca Run scan, e non cambiare altre impostazioni.
Quando finirà la scansione aprirà in automatico 2 file OTL.Txt e Extras.Txt si trovano dove si trova il programma OTL, quindi posta i 2 log

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Roby78

  • Guest
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #4 on: November 09, 2013, 02:42:02 PM »
Ecco i due log
« Last Edit: November 09, 2013, 04:57:51 PM by Roby78 »

Roby78

  • Guest
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #5 on: November 10, 2013, 02:33:43 PM »
http://corporateflash.blogspot.it/2013/06/kill-trojanvirus-in-wscriptexe.html

Ho trovato questa guida può fare al caso mio?

Edit:

Ci ho provato ma non funziona, speriamo che in quei log si legga qualcosa di indacativo, non so più dove sbattere la testa
« Last Edit: November 10, 2013, 05:28:05 PM by Roby78 »

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #6 on: November 10, 2013, 09:44:30 PM »
Ciao,
riapri OTL, sotto Custom Scans/Fixes

incolla questo
Code: [Select]
Commands
[CREATERESTOREPOINT]

:OTL
FF - prefs.js..extensions.enabledAddons: tineye%40ideeinc.com:1.1
[2013/08/28 16:10:01 | 000,008,001 | ---- | M] () (No name found) -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\bnmmay9x.default\extensions\tineye@ideeinc.com.xpi
@Alternate Data Stream - 171 bytes -> C:\ProgramData\TEMP:1CE11B51


ipconfig /flushdns /c
ipconfig /release /c
ipconfig /renew /c
netsh winsock reset /c
netsh advfirewall reset /c

:Commands
[resethosts]
[emptytemp]
[Reboot]

quindi clicca su RUN FIX, al termine il pc si riavvia, dimmi se hai ancora i pop-up.

Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Roby78

  • Guest
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #7 on: November 10, 2013, 09:55:36 PM »
Nel riavvio non mi aveva dato il pop-up, ho provato poi a fare un ulteriore riavvio per fare la prova del 9 ed è ritornato purtroppo :(

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #8 on: November 10, 2013, 09:58:17 PM »
Ciao,
ok. puoi riprovare a con OTL a fare un quick scan e postare il log?
Grazie

edit
prova anche a postare il log prodotto con questo
http://files.avast.com/files/rootkit-scanner/aswmbr.exe
clicchi su scan e poi save log

edit2
Ho appena chiesto una consulenza ad un malaware remover specialist, appena ho notizie ti faccio sapere come procedere oppure si unisce al topic, ciao

« Last Edit: November 10, 2013, 10:13:25 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Roby78

  • Guest
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #9 on: November 10, 2013, 10:24:38 PM »
Ecco i due log. Comunque è strano questo malware perchè forse i vari programmi non lo trovano perchè Avast ad ogni avvio riesce a bloccarlo, in pratica ci deve essere da qualche parte un programma che appena arriva la connessione tenta di connettersi a due link ma viene bloccato da Avast. La cosa strana è che nemmeno i programmi anti-rootkit lo rilevano. Il PC comunque funziona perfettamente, non ho alcun problema ho solo questo doppio pop-up che mi da Avast a ogni avvio, quel procedimento con OTL sembra risolvere il problema, solo che ad un successivo riavvio si ripresenta. Quindi deduco che OTL lo rimuove ma al riavvio successivo viene ricreato in qualche modo. Ho provato anche a creare un punto di ripristino dopo il primo riavvio che ti fa fare OTL ed infatti selezionando quel punto di ripristino non ti da il pop-up, tuttavia se provi a riavviare il PC di nuovo appena torna online si ripresenta il pop-up. Da notare che il pop-up si presenta solo se c'è la connessione, in modalità provvisoria ad esempio non si presenta
« Last Edit: November 11, 2013, 12:24:00 AM by Roby78 »

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
« Reply #10 on: November 11, 2013, 03:25:02 PM »
This may be related to the Origin updater

Ciò può essere collegata con l'updater di origine


Please RIGHT-CLICK HERE and Save As (in IE it's "Save Target As", in FF it's "Save Link As") to download Silent Runners.
  • Save it to the desktop.
  • Run Silent Runner's by doubleclicking the "Silent Runners" icon on your desktop.
  • You will receive a prompt:
    Do you want to skip supplementary searches?
    click NO
    [/list]
    • If you receive an error just click OK and double-click it to run it again - sometimes it won't run as it's supposed to the first time but will in subsequent runs.
    • You will see a text file appear on the desktop - it's not done, let it run (it won't appear to be doing anything!)
    • Once you receive the prompt All Done!, open the text file on the desktop, copy that entire log, and paste it here.
    *NOTE* If you receive any warning message about scripts, please choose to allow the script to run.

    Offline giogio

    • Avast Evangelist
    • Massive Poster
    • ***
    • Posts: 4088
    Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
    « Reply #11 on: November 11, 2013, 03:37:07 PM »
    Dear Essexboy,
    you can find the silent runner log here
    http://forum.avast.com/index.php?action=dlattach;topic=139416.0;attach=121508
    Thanks to join here!
    Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
    Non inviatemi MP per supporto,grazie-No support PM please
    Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
    Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
    Cloud Console 2.18
    -FF52-TB52

    Roby78

    • Guest
    Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
    « Reply #12 on: November 11, 2013, 04:09:25 PM »
    Ecco il log

    Offline essexboy

    • Malware removal instructor
    • Avast Überevangelist
    • Probably Bot
    • *****
    • Posts: 40589
    • Dragons by Sasha
      • Malware fixes
    Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
    « Reply #13 on: November 11, 2013, 04:14:40 PM »
    Quote
    Origin ->  launches: C:\Users\User\AppData\Roaming\Origin\update.vbe [null data]
    This is what I believe the culprit to be, we can disable this but it means that you will not get auto updates for the game

    Offline giogio

    • Avast Evangelist
    • Massive Poster
    • ***
    • Posts: 4088
    Re: Ad ogni avvio di Windows, Avast mi manda un doppio avviso di url maligno
    « Reply #14 on: November 11, 2013, 04:25:18 PM »
    Thank Essexboy!

    @Roby78, non ho capito come mai nel primo log non compare tale voce..comunque io la eliminerei sia dai task che il file (da quello che ho capito è legata a un updater di un gioco)

    ciao
    Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
    Non inviatemi MP per supporto,grazie-No support PM please
    Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
    Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
    Cloud Console 2.18
    -FF52-TB52