Infezione URL:mal, processo svchost

Buonasera a tutti, all’avvio del computer avast mi segnala l’infezione URL:mal in uno dei processi svchost (purtroppo non so in quale).
Abbiamo provato a risolvere (senza risultati) in tutti i seguenti modi:

  • scansione all’avvio di avast
  • pulizia di ogni servizio all’avvio con ccleaner/msconfig
  • scansione con malwarebytes
  • scansione con hitman pro
  • scansione con adwcleaner
  • disabilitazione completa dei plugin ff, chrome e ie
  • scansione deep del sistema
  • lancio di lavandini sul processo svchost

Mi rimane come ultima chance sottoporre al vostro team il tutto per un eventuale fix personalizzato.
Grazie per il vostro lavorone e grazie ai malware analyst :slight_smile:

Allego scansioni farbar.

Ciao,
ho chiesto ad Essexboy di controllare i tuoi log, spero che riceverai una risposta in giornata

ma come mai tutte queste infezioni URL:mal svchost? a che cosa sono dovute esattamente?
il modo in cui avast le rileva è ottimale oppure dovrebbe essere più completo?

Anche a me sembra anomala questa cosa, il problema secondo me è che attualmente avast non ha una funzione di blocco di modifica delle chiavi del registro (come MBAM ad esempio) è li che si insidiano la maggior parte dei malware del URL:mal nel processo svchost come si può vedere in tutti questi post.
Avast comunque avvisa l’utente che c’è una connessione che sta avvenendo tra il suo pc è un indirizzo malevolo, blocca la connessione e mette in allarme l’utente.
Una svolta a mio avviso ci potrebbe essere con la nuova funzione HIPS presente nella nuova beta https://forum.avast.com/?topic=172334.0
L’ho testata e sembra che avast ora rilevi anche le modifiche non autorizzate al registro.

In questo caso specifico comunque le scansioni con avast , che mbam che hitman pro e adwcleaner non risolvono il problema, quindi forse è qualcosa che non si riesce a rilevare con facilità.

ciao

CAUTION : This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:

CreateRestorePoint: FF SelectedSearchEngine: sweet-page FF NetworkProxy: "autoconfig_url", "data:text/javascript,function%20FindProxyForURL(url%2C%20host)%20%7B%20var%20lhost%2C%20localIpAddresses%2C%20localDomains%2C%20ipNotation%2C%20i%3B%20function%20isPlainHostNameEx()%20%7B%20return%20!(!!~lhost.indexOf('.')%20%7C%7C%20!!~lhost.indexOf('%3A'))%3B%20%7D%20lhost%20%3D%20host.toLowerCase()%3B%20ipNotation%20%3D%20%2F%5E%5Cd%2B%5C.%5Cd%2B%5C.%5Cd%2B%5C.%5Cd%2B%24%2Fg%3B%20localIpAddresses%20%3D%20%5B'127.0.0.1'%2C'10.*.*.*'%2C'172.1%5B6-9%5D.*.*'%2C'172.2%5B1-9%5D.*.*'%2C'172.3%5B0-1%5D.*.*'%2C'192.168.*.*'%5D%3B%20localDomains%20%3D%20%5B'zeus.pm'%2C'zenguard.biz'%2C'local'%2C'dev'%2C'ip'%2C'box'%2C'lvh.me'%2C'ripe'%2C'invalid'%2C'intra'%2C'intranet'%2C'onion'%2C'vcap.me'%2C'127.0.0.1.xip.io'%2C'smackaho.st'%2C'localtest.me'%2C'site'%5D%3B%20if%20(isPlainHostNameEx())%20%7B%20return%20'DIRECT'%3B%20%7D%20if%20(ipNotation.test(lhost))%20%7B%20for%20(i%20%3D%200%3B%20i%20%3C%20localIpAddresses.length%3B%20i%2B%2B)%20%7B%20if%20(shExpMatch(lhost%2C%20localIpAddresses%5Bi%5D))%20%7B%20return%20'DIRECT'%3B%20%7D%20%7D%20%7D%20for%20(i%20%3D%200%3B%20i%20%3C%20localDomains.length%3B%20i%2B%2B)%20%7B%20if%20(dnsDomainIs(lhost%2C%20localDomains%5Bi%5D))%20%7B%20return%20'DIRECT'%3B%20%7D%20%7D%20return%20'PROXY%20127.0.0.1%3A49511'%3B%20%7D%20%2F*ZenMate*%2F" FF NetworkProxy: "type", 2 Hosts: Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f RemoveProxy: EmptyTemp: CMD: bitsadmin /reset /allusers

Save this as fixlist.txt, in the same location as FRST.exe

https://dl.dropboxusercontent.com/u/73555776/FRSTfix.JPG

Run FRST and press Fix
On completion a log will be generated please post that

THEN

Please download AdwCleaner by Xplode onto your desktop.

[*]Close all open programs and internet browsers.
[*]Double click on AdwCleaner.exe to run the tool.
[*]Click on Scan.
[*]After the scan is complete click on “Clean”
[*]Confirm each time with Ok.
[*]Your computer will be rebooted automatically. A text file will open after the restart.
[*]Please post the content of that logfile with your next answer.
[*]You can find the logfile at C:\AdwCleaner[S0].txt as well.

ottima la nuova introduzione del controllo in tempo reale delle modifiche al registro di sistema. Ci sono altre novità nella Beta? qualcosa di più specifico per il Cloud?
a che punto siamo con la protezione contro gli screenlock?
La Beta potrebbe essere installata è stabile?
si possono dare suggerimenti eventualmente che potrebbero essere introdotte?

ottima la nuova introduzione del controllo in tempo reale delle modifiche al registro di sistema. Ci sono altre novità nella Beta? qualcosa di più specifico per il Cloud?
tutte le novità le vedi nel link che ti ho girato.
La Beta potrebbe essere installata è stabile?
non è stabile se no non si chiamerebbe beta, io però non sto trovando problemi che impediscano il normale utilizzo E' consigliabile ad utenti esperti di installarla per verificare che non si siano problemi previo backup dei propri dati.
si possono dare suggerimenti eventualmente che potrebbero essere introdotte?
https://support.avast.com/Tickets/Submit/&cls01&ptf01&lic02&scr06 sotto domande e commenti

ciao

ok grazie.
ciao

Viene automaticamente installata la nuova versione 2015.10.3.2223