Infezione URL:mal, processo svchost

system · 2015-06-27T23:15:55.000Z

Buonasera a tutti, all’avvio del computer avast mi segnala l’infezione URL:mal in uno dei processi svchost (purtroppo non so in quale).
Abbiamo provato a risolvere (senza risultati) in tutti i seguenti modi:

scansione all’avvio di avast
pulizia di ogni servizio all’avvio con ccleaner/msconfig
scansione con malwarebytes
scansione con hitman pro
scansione con adwcleaner
disabilitazione completa dei plugin ff, chrome e ie
scansione deep del sistema
lancio di lavandini sul processo svchost

Mi rimane come ultima chance sottoporre al vostro team il tutto per un eventuale fix personalizzato.
Grazie per il vostro lavorone e grazie ai malware analyst

Allego scansioni farbar.

giogio · 2015-06-28T07:57:48.000Z

Ciao,
ho chiesto ad Essexboy di controllare i tuoi log, spero che riceverai una risposta in giornata

gionatan.rmn · 2015-06-28T08:44:14.000Z

giogio post:2:

Ciao,
ho chiesto ad Essexboy di controllare i tuoi log, spero che riceverai una risposta in giornata

ma come mai tutte queste infezioni URL:mal svchost? a che cosa sono dovute esattamente?
il modo in cui avast le rileva è ottimale oppure dovrebbe essere più completo?

giogio · 2015-06-28T09:15:49.000Z

Anche a me sembra anomala questa cosa, il problema secondo me è che attualmente avast non ha una funzione di blocco di modifica delle chiavi del registro (come MBAM ad esempio) è li che si insidiano la maggior parte dei malware del URL:mal nel processo svchost come si può vedere in tutti questi post.
Avast comunque avvisa l’utente che c’è una connessione che sta avvenendo tra il suo pc è un indirizzo malevolo, blocca la connessione e mette in allarme l’utente.
Una svolta a mio avviso ci potrebbe essere con la nuova funzione HIPS presente nella nuova beta https://forum.avast.com/?topic=172334.0
L’ho testata e sembra che avast ora rilevi anche le modifiche non autorizzate al registro.

In questo caso specifico comunque le scansioni con avast , che mbam che hitman pro e adwcleaner non risolvono il problema, quindi forse è qualcosa che non si riesce a rilevare con facilità.

ciao

essexboy · 2015-06-28T10:16:18.000Z

CAUTION : This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:

CreateRestorePoint: FF SelectedSearchEngine: sweet-page FF NetworkProxy: "autoconfig_url", "data:text/javascript,function%20FindProxyForURL(url%2C%20host)%20%7B%20var%20lhost%2C%20localIpAddresses%2C%20localDomains%2C%20ipNotation%2C%20i%3B%20function%20isPlainHostNameEx()%20%7B%20return%20!(!!~lhost.indexOf('.')%20%7C%7C%20!!~lhost.indexOf('%3A'))%3B%20%7D%20lhost%20%3D%20host.toLowerCase()%3B%20ipNotation%20%3D%20%2F%5E%5Cd%2B%5C.%5Cd%2B%5C.%5Cd%2B%5C.%5Cd%2B%24%2Fg%3B%20localIpAddresses%20%3D%20%5B'127.0.0.1'%2C'10.*.*.*'%2C'172.1%5B6-9%5D.*.*'%2C'172.2%5B1-9%5D.*.*'%2C'172.3%5B0-1%5D.*.*'%2C'192.168.*.*'%5D%3B%20localDomains%20%3D%20%5B'zeus.pm'%2C'zenguard.biz'%2C'local'%2C'dev'%2C'ip'%2C'box'%2C'lvh.me'%2C'ripe'%2C'invalid'%2C'intra'%2C'intranet'%2C'onion'%2C'vcap.me'%2C'127.0.0.1.xip.io'%2C'smackaho.st'%2C'localtest.me'%2C'site'%5D%3B%20if%20(isPlainHostNameEx())%20%7B%20return%20'DIRECT'%3B%20%7D%20if%20(ipNotation.test(lhost))%20%7B%20for%20(i%20%3D%200%3B%20i%20%3C%20localIpAddresses.length%3B%20i%2B%2B)%20%7B%20if%20(shExpMatch(lhost%2C%20localIpAddresses%5Bi%5D))%20%7B%20return%20'DIRECT'%3B%20%7D%20%7D%20%7D%20for%20(i%20%3D%200%3B%20i%20%3C%20localDomains.length%3B%20i%2B%2B)%20%7B%20if%20(dnsDomainIs(lhost%2C%20localDomains%5Bi%5D))%20%7B%20return%20'DIRECT'%3B%20%7D%20%7D%20return%20'PROXY%20127.0.0.1%3A49511'%3B%20%7D%20%2F*ZenMate*%2F" FF NetworkProxy: "type", 2 Hosts: Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f RemoveProxy: EmptyTemp: CMD: bitsadmin /reset /allusers

Save this as fixlist.txt, in the same location as FRST.exe

https://dl.dropboxusercontent.com/u/73555776/FRSTfix.JPG

Run FRST and press Fix
On completion a log will be generated please post that

THEN

Please download AdwCleaner by Xplode onto your desktop.

[*]Close all open programs and internet browsers.
[*]Double click on AdwCleaner.exe to run the tool.
[*]Click on Scan.
[*]After the scan is complete click on “Clean”
[*]Confirm each time with Ok.
[*]Your computer will be rebooted automatically. A text file will open after the restart.
[*]Please post the content of that logfile with your next answer.
[*]You can find the logfile at C:\AdwCleaner[S0].txt as well.

gionatan.rmn · 2015-06-28T10:37:04.000Z

giogio post:4:

Anche a me sembra anomala questa cosa, il problema secondo me è che attualmente avast non ha una funzione di blocco di modifica delle chiavi del registro (come MBAM ad esempio) è li che si insidiano la maggior parte dei malware del URL:mal nel processo svchost come si può vedere in tutti questi post.
Avast comunque avvisa l’utente che c’è una connessione che sta avvenendo tra il suo pc è un indirizzo malevolo, blocca la connessione e mette in allarme l’utente.
Una svolta a mio avviso ci potrebbe essere con la nuova funzione HIPS presente nella nuova beta https://forum.avast.com/?topic=172334.0
L’ho testata e sembra che avast ora rilevi anche le modifiche non autorizzate al registro.

In questo caso specifico comunque le scansioni con avast , che mbam che hitman pro e adwcleaner non risolvono il problema, quindi forse è qualcosa che non si riesce a rilevare con facilità.

ciao

ottima la nuova introduzione del controllo in tempo reale delle modifiche al registro di sistema. Ci sono altre novità nella Beta? qualcosa di più specifico per il Cloud?
a che punto siamo con la protezione contro gli screenlock?
La Beta potrebbe essere installata è stabile?
si possono dare suggerimenti eventualmente che potrebbero essere introdotte?

giogio · 2015-06-28T10:57:00.000Z

ottima la nuova introduzione del controllo in tempo reale delle modifiche al registro di sistema. Ci sono altre novità nella Beta? qualcosa di più specifico per il Cloud?

tutte le novità le vedi nel link che ti ho girato.

La Beta potrebbe essere installata è stabile?

non è stabile se no non si chiamerebbe beta, io però non sto trovando problemi che impediscano il normale utilizzo E' consigliabile ad utenti esperti di installarla per verificare che non si siano problemi previo backup dei propri dati.

si possono dare suggerimenti eventualmente che potrebbero essere introdotte?

https://support.avast.com/Tickets/Submit/&cls01&ptf01&lic02&scr06 sotto domande e commenti

ciao

gionatan.rmn · 2015-06-28T11:11:44.000Z

giogio post:7:

ottima la nuova introduzione del controllo in tempo reale delle modifiche al registro di sistema. Ci sono altre novità nella Beta? qualcosa di più specifico per il Cloud?
tutte le novità le vedi nel link che ti ho girato.
La Beta potrebbe essere installata è stabile?
non è stabile se no non si chiamerebbe beta, io però non sto trovando problemi che impediscano il normale utilizzo E' consigliabile ad utenti esperti di installarla per verificare che non si siano problemi previo backup dei propri dati.
si possono dare suggerimenti eventualmente che potrebbero essere introdotte?
https://support.avast.com/Tickets/Submit/&cls01&ptf01&lic02&scr06 sotto domande e commenti
ciao

ok grazie.
ciao

gionatan.rmn · 2015-07-13T13:21:08.000Z

giogio post:4:

Anche a me sembra anomala questa cosa, il problema secondo me è che attualmente avast non ha una funzione di blocco di modifica delle chiavi del registro (come MBAM ad esempio) è li che si insidiano la maggior parte dei malware del URL:mal nel processo svchost come si può vedere in tutti questi post.
Avast comunque avvisa l’utente che c’è una connessione che sta avvenendo tra il suo pc è un indirizzo malevolo, blocca la connessione e mette in allarme l’utente.

Una svolta a mio avviso ci potrebbe essere con la nuova funzione HIPS presente nella nuova beta https://forum.avast.com/?topic=172334.0
L’ho testata e sembra che avast ora rilevi anche le modifiche non autorizzate al registro.

In questo caso specifico comunque le scansioni con avast , che mbam che hitman pro e adwcleaner non risolvono il problema, quindi forse è qualcosa che non si riesce a rilevare con facilità.

ciao

Viene automaticamente installata la nuova versione 2015.10.3.2223

Announcements