Author Topic: Infezione URL:Mal  (Read 30953 times)

0 Members and 1 Guest are viewing this topic.

Xemnas96

  • Guest
Infezione URL:Mal
« on: January 17, 2014, 04:24:41 PM »
Salve a tutti,
non sono pratico dei forum,non ho mai scritto in nessuno di essi. Avrei bisogno di un aiuto.
Mi appare di continuo la notifica di avast che dice "La Protezione Web di avast ha bloccato un sito o un file dannoso".
Il problema è che non capisco dove sia,nè come eliminarlo...
L'oggetto è "http://wpad.Home/wpad.dat" e non ho idea di cosa sia,so solo che appaiono notifiche di continuo,in un'ora ne sono arrivate 164,tutte uguali...
Ho provato a fare una scansione completa con avast ma non ha rilevato nulla,adesso sto attendendo la fine di Malwarebytes. Nel caso in cui neanche quest'ultimo rilevi qualcosa,come posso fare? E' pericoloso?

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Infezione URL:Mal
« Reply #1 on: January 17, 2014, 05:01:05 PM »
Ciao e benvenuto,
allega il log della scansione completa di MBAM quando è finito.
Hai già provato ad eseguire il browser cleanup di avast?
Hai giùà eseguito la scansione all'avvio con avast?
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

erin10

  • Guest
Re: Infezione URL:Mal
« Reply #2 on: January 17, 2014, 06:31:27 PM »
Salve!
Ho lo stesso problema perciò scrivo  qui.
Il problema è cominciato stamattina e continua ancora.
Ho eseguito la scansione all'avvio di avast e non ha rilevato niente.
Lo steso risultato con MBAM e HitmanPro.
L'avviso di avast scatta  non solo quado si sta navigando ma su ogni lancio di un software che cerca di collegarsi su internet, anche quando avast stesso cerca di aggiornare le definizioni dei virus al momento di avvio del pc.

1-Avast al avvio del pc.
2-Avvio di Skype.

erin10

  • Guest
Re: Infezione URL:Mal
« Reply #3 on: January 17, 2014, 06:34:12 PM »
Chiedo scusa per il doppio post.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Infezione URL:Mal
« Reply #4 on: January 17, 2014, 06:47:57 PM »
Ciao e benvenuto,
per favore la prossima volta apri un tuo topic senno non si capisce più nulla se Xemnas96 risponde

scarica OTL sul tuo desktop
http://oldtimer.geekstogo.com/OTL.exe
apri il programma ma assicurati di avere chiuso tutte le finestre e lascialo lavorare senza interruzioni, poi seleziona


Seleziona All User, LOP e Purity , sotto Custom scan incolla questo:

netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
c:\program files (x86)\Google\Desktop
c:\program files\Google\Desktop
dir "%systemdrive%\*" /S /A:L /C
/md5start
rpcss.dll
/md5stop
CREATERESTOREPOINT


Quindi clicca Run scan, e non cambiare altre impostazioni.
Quando finirà la scansione aprirà in automatico 2 file OTL.Txt e Extras.Txt si trovano dove si trova il programma OTL, quindi posta i 2 log

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

erin10

  • Guest
Re: Infezione URL:Mal
« Reply #5 on: January 17, 2014, 07:15:47 PM »
I due log.

Xemnas96

  • Guest
Re: Infezione URL:Mal
« Reply #6 on: January 17, 2014, 07:22:16 PM »
Esatto,erin10,ho lo stesso identico problema.
Giogio ho provato il browser cleanup e anche la scansione all'avvio,ma niente da fare... allego il log di Malwarebytes dopo aver eliminato tre minacce trovate (che non hanno risolto il problema).
Allego anche i log di OTL.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Infezione URL:Mal
« Reply #7 on: January 17, 2014, 07:33:00 PM »
I due log.
Ciao erin10,
hai ancora problemi?
Prova a riavviare il pc e controlla.
Se hai ancora problemi scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ sul desktop.

    chiudi tutti i browser e progammi aperti
    apri   AdwCleaner e fai scan
    Dopo la scansione clicca su clean
    Conferma ogni volta con OK
    Il pc verrà riavviato da solo e aprira un file di testo in automatico, posta il file lo puoi trovare anche sotto C:\AdwCleaner[S1].txt
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Infezione URL:Mal
« Reply #8 on: January 17, 2014, 07:43:22 PM »
Esatto,erin10,ho lo stesso identico problema.
Giogio ho provato il browser cleanup e anche la scansione all'avvio,ma niente da fare... allego il log di Malwarebytes dopo aver eliminato tre minacce trovate (che non hanno risolto il problema).
Allego anche i log di OTL.

Ciao Xemnas96,

questo fix è solo  per il tuo sistema


riapri OTL

sotto custom scans/fixes
incolla questo
Code: [Select]
:Commands
[CREATERESTOREPOINT]

:OTL
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm060YYit&ptnrS=HJxdm060YYit&ptb=C07455EB-1834-4759-9380-D7ED4E5FEFA0&ind=2012052908&n=77ed7dac&psa=&st=sb&searchfor={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000.10039&st=12&q={searchTerms}&barid={62AC5A4E-586C-4338-A367-0C73F74FDF8A}
http://search.babylon.com/?q={searchTerms}&affID=110000&tt=050412_30b&babsrc=SP_ss&mntrId=4ec4a829000000000000029608986e68
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={B40F20C0-46B7-4D4F-8D69-550D5DCC5EDB}&mid=b65795f0cf6047d18c25252442580902-dca293f974ed4bd29e623f22bd5cbd1ed5699129&lang=it&ds=AVG&pr=sa&d=2012-11-26 14:23:55&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{BBE45B0B-291A-497E-BE73-A68A343E7A19}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851640&CUI=UN38930283672616957&UM=1
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm060YYit&ptnrS=HJxdm060YYit&ptb=C07455EB-1834-4759-9380-D7ED4E5FEFA0&ind=2012052908&n=77ed7dac&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000.10039&st=12&q={searchTerms}&barid={62AC5A4E-586C-4338-A367-0C73F74FDF8A}
O3 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\Toolbar\WebBrowser: (no name) - {4AE0C3D6-F713-4EED-BC65-25DC3FFDAAC1} - No CLSID value found.
O3 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000..\Run: [Facebook Update] C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)

:Commands
[resethosts]
[emptytemp]
[Reboot]
Poi clicca su RUN FIX
il pc verrà riavviato da solo, se non viene riavviato fallo tu quando ha finito.
Al sucessivo riavvio controlla se hai ancora gli avvisi.
Se li hai riapri OTL e fai Quick scan, quindi posta ancora il nuovo Log inoltre
scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ sul desktop.

    chiudi tutti i browser e progammi aperti
    apri   AdwCleaner e fai scan
    Dopo la scansione clicca su clean
    Conferma ogni volta con OK
    Il pc verrà riavviato da solo e aprira un file di testo in automatico, posta il file lo puoi trovare anche sotto C:\AdwCleaner[S1].txt
« Last Edit: January 17, 2014, 07:46:38 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

erin10

  • Guest
Re: Infezione URL:Mal
« Reply #9 on: January 17, 2014, 08:03:34 PM »
Il log di AdwCleaner. Il problema esiste ancora.
Trovo due file di log.



Xemnas96

  • Guest
Re: Infezione URL:Mal
« Reply #10 on: January 17, 2014, 08:22:46 PM »
Neanche il mio problema è stato risolto...allego il log del "Run Fix",del "Quick Scan",dell'AdwCleaner effettuato prima di "Run Fix" e dopo il "Quick Scan".
Chiedo scusa per la confusione,sono quattro log.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Infezione URL:Mal
« Reply #11 on: January 17, 2014, 08:30:42 PM »
Ciao,
ho chiesto ad un malware remover specialist di unirsi a questo topic

EDIT

Xemnas96

magna86 (malware remover specialist) mi ha chiesto di farti fare il fix con OTL anche del seguente codice:

Code: [Select]
:OTL
CHR - plugin: MindSpark Toolbar Platform Plugin Stub (Enabled) = C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2013/04/29 15:39:52 | 000,000,000 | ---D | M]
FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll File not found
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110000&tt=050412_30b&babsrc=SP_ss&mntrId=4ec4a829000000000000029608986e68
O2 - BHO: (no name) - {312f84fb-8970-4fd3-bddb-7012eac4afc9} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O33 - MountPoints2\{184562b1-175a-11e2-bf73-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{184562b1-175a-11e2-bf73-f46d04bce0f1}\Shell\AutoRun\command - "" = H:\LGAutoRun.exe
O33 - MountPoints2\{2573c85f-1757-11e1-b3a4-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{2573c85f-1757-11e1-b3a4-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{61da55a3-bef1-11e1-bda7-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{61da55a3-bef1-11e1-bda7-806e6f6e6963}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{625f9422-c8bd-11e0-942d-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{625f9422-c8bd-11e0-942d-806e6f6e6963}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{7b85f462-b548-11e0-b49f-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{7b85f462-b548-11e0-b49f-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{9b818860-9cfc-11e0-b8fa-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{9b818860-9cfc-11e0-b8fa-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{9b818872-9cfc-11e0-b8fa-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{9b818872-9cfc-11e0-b8fa-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence

:FILES
ipconfig /flushdns /c
C:\Windows\*.tmp

:COMMANDS
[CREATERESTOREPOINT]
[EMPTYTEMP]

Poi fai la scansiona anche con Junkware Removal Tool http://thisisudax.org/downloads/JRT.exe salvalo sul desktop.
poi fai click con il tasto destro del mouse e seleziona esegui come amministratore, si apre una finestra di DOS che devi schiaacciare invio per fare la scansione (impiega un po di tempo)
Al termine posta il log JRT.txt salvato sul desktop

Inoltre scarica questo programma
http://www.malwarebytes.org/antirootkit/
estrailo sul desktop, esegui l'update,quindi scansiona il sistema ed esegui l'eventuale cleanup.
ed esegui la scansione

erin10

esegui anche tu il Junkware Removal Tool e MBAM antirootkit
e posta il log
« Last Edit: January 17, 2014, 08:54:03 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Infezione URL:Mal
« Reply #12 on: January 17, 2014, 09:21:32 PM »
... c'è la possibilità che si tratti di un falso positivo comunque.

Nel senso che c'è qualche server che i vostri pc contattano (qualche programma che si collega per aggiornarsi) e che può darsi che sia finito in una black list di avast.
Ci sono molti altri utenti che hanno il vs problema (io però non ho problemi), per questo è stato aperto un ticket al viruslab.
Se cosi fosse verrà risolto da un aggiornamento delle definizioni dei virus.

ciao
« Last Edit: January 17, 2014, 09:29:49 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Xemnas96

  • Guest
Re: Infezione URL:Mal
« Reply #13 on: January 17, 2014, 09:34:50 PM »
Allego gli ultimi due log,non ha funzionato nulla. A questo punto credo anche io che si tratti di un falso positivo,poichè nulla è servito a trovare questo "virus".

erin10

  • Guest
Re: Infezione URL:Mal
« Reply #14 on: January 17, 2014, 09:38:40 PM »
Log di JRT  (mbar non ha  generato il log,risulta pulito)


... c'è la possibilità che si tratti di un falso positivo comunque.


I avvisi hanno cominciato dopo l'aggiornamento versione di avast.
Prima di postare il mio problema ho provato un ripristino di sistema pero il problema persiste.