Infezione URL:Mal

Salve a tutti,
non sono pratico dei forum,non ho mai scritto in nessuno di essi. Avrei bisogno di un aiuto.
Mi appare di continuo la notifica di avast che dice “La Protezione Web di avast ha bloccato un sito o un file dannoso”.
Il problema è che non capisco dove sia,nè come eliminarlo…
L’oggetto è “http://wpad.Home/wpad.dat” e non ho idea di cosa sia,so solo che appaiono notifiche di continuo,in un’ora ne sono arrivate 164,tutte uguali…
Ho provato a fare una scansione completa con avast ma non ha rilevato nulla,adesso sto attendendo la fine di Malwarebytes. Nel caso in cui neanche quest’ultimo rilevi qualcosa,come posso fare? E’ pericoloso?

Ciao e benvenuto,
allega il log della scansione completa di MBAM quando è finito.
Hai già provato ad eseguire il browser cleanup di avast?
Hai giùà eseguito la scansione all’avvio con avast?

Salve!
Ho lo stesso problema perciò scrivo qui.
Il problema è cominciato stamattina e continua ancora.
Ho eseguito la scansione all’avvio di avast e non ha rilevato niente.
Lo steso risultato con MBAM e HitmanPro.
L’avviso di avast scatta non solo quado si sta navigando ma su ogni lancio di un software che cerca di collegarsi su internet, anche quando avast stesso cerca di aggiornare le definizioni dei virus al momento di avvio del pc.

1-Avast al avvio del pc.
2-Avvio di Skype.

Chiedo scusa per il doppio post.

Ciao e benvenuto,
per favore la prossima volta apri un tuo topic senno non si capisce più nulla se Xemnas96 risponde

scarica OTL sul tuo desktop
http://oldtimer.geekstogo.com/OTL.exe
apri il programma ma assicurati di avere chiuso tutte le finestre e lascialo lavorare senza interruzioni, poi seleziona

https://dl.dropboxusercontent.com/u/73555776/OTL_Main_Tutorial.gif

Seleziona All User, LOP e Purity , sotto Custom scan incolla questo:

netsvcs
BASESERVICES
%SYSTEMDRIVE%*.exe
c:\program files (x86)\Google\Desktop
c:\program files\Google\Desktop
dir “%systemdrive%*” /S /A:L /C
/md5start
rpcss.dll
/md5stop
CREATERESTOREPOINT

Quindi clicca Run scan, e non cambiare altre impostazioni.
Quando finirà la scansione aprirà in automatico 2 file OTL.Txt e Extras.Txt si trovano dove si trova il programma OTL, quindi posta i 2 log

ciao

I due log.

Esatto,erin10,ho lo stesso identico problema.
Giogio ho provato il browser cleanup e anche la scansione all’avvio,ma niente da fare… allego il log di Malwarebytes dopo aver eliminato tre minacce trovate (che non hanno risolto il problema).
Allego anche i log di OTL.

Ciao erin10,
hai ancora problemi?
Prova a riavviare il pc e controlla.
Se hai ancora problemi scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ sul desktop.

chiudi tutti i browser e progammi aperti
apri   AdwCleaner e fai [b]scan[/b]
Dopo la scansione clicca su [b]clean[/b]
Conferma ogni volta con OK
Il pc verrà riavviato da solo e aprira un file di testo in automatico, posta il file lo puoi trovare anche sotto C:\AdwCleaner[S1].txt

Ciao Xemnas96,

questo fix è solo per il tuo sistema

riapri OTL

https://dl.dropbox.com/u/73555776/OTL_Fix.GIF

sotto custom scans/fixes
incolla questo


:Commands
[CREATERESTOREPOINT]

:OTL
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm060YYit&ptnrS=HJxdm060YYit&ptb=C07455EB-1834-4759-9380-D7ED4E5FEFA0&ind=2012052908&n=77ed7dac&psa=&st=sb&searchfor={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000.10039&st=12&q={searchTerms}&barid={62AC5A4E-586C-4338-A367-0C73F74FDF8A}
http://search.babylon.com/?q={searchTerms}&affID=110000&tt=050412_30b&babsrc=SP_ss&mntrId=4ec4a829000000000000029608986e68
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={B40F20C0-46B7-4D4F-8D69-550D5DCC5EDB}&mid=b65795f0cf6047d18c25252442580902-dca293f974ed4bd29e623f22bd5cbd1ed5699129&lang=it&ds=AVG&pr=sa&d=2012-11-26 14:23:55&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{BBE45B0B-291A-497E-BE73-A68A343E7A19}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851640&CUI=UN38930283672616957&UM=1
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm060YYit&ptnrS=HJxdm060YYit&ptb=C07455EB-1834-4759-9380-D7ED4E5FEFA0&ind=2012052908&n=77ed7dac&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000.10039&st=12&q={searchTerms}&barid={62AC5A4E-586C-4338-A367-0C73F74FDF8A}
O3 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\Toolbar\WebBrowser: (no name) - {4AE0C3D6-F713-4EED-BC65-25DC3FFDAAC1} - No CLSID value found.
O3 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000..\Run: [Facebook Update] C:\Users\Asus\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)

:Commands
[resethosts]
[emptytemp]
[Reboot]

Poi clicca su RUN FIX
il pc verrà riavviato da solo, se non viene riavviato fallo tu quando ha finito.
Al sucessivo riavvio controlla se hai ancora gli avvisi.
Se li hai riapri OTL e fai Quick scan, quindi posta ancora il nuovo Log inoltre
scarica AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ sul desktop.

chiudi tutti i browser e progammi aperti
apri   AdwCleaner e fai scan
Dopo la scansione clicca su clean
Conferma ogni volta con OK
Il pc verrà riavviato da solo e aprira un file di testo in automatico, posta il file lo puoi trovare anche sotto C:\AdwCleaner[S1].txt

Il log di AdwCleaner. Il problema esiste ancora.
Trovo due file di log.

Neanche il mio problema è stato risolto…allego il log del “Run Fix”,del “Quick Scan”,dell’AdwCleaner effettuato prima di “Run Fix” e dopo il “Quick Scan”.
Chiedo scusa per la confusione,sono quattro log.

Ciao,
ho chiesto ad un malware remover specialist di unirsi a questo topic

EDIT

Xemnas96

magna86 (malware remover specialist) mi ha chiesto di farti fare il fix con OTL anche del seguente codice:

:OTL
CHR - plugin: MindSpark Toolbar Platform Plugin Stub (Enabled) = C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2013/04/29 15:39:52 | 000,000,000 | ---D | M]
FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll File not found
IE - HKU\S-1-5-21-2667054950-1364394573-1626897184-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110000&tt=050412_30b&babsrc=SP_ss&mntrId=4ec4a829000000000000029608986e68
O2 - BHO: (no name) - {312f84fb-8970-4fd3-bddb-7012eac4afc9} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O33 - MountPoints2\{184562b1-175a-11e2-bf73-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{184562b1-175a-11e2-bf73-f46d04bce0f1}\Shell\AutoRun\command - "" = H:\LGAutoRun.exe
O33 - MountPoints2\{2573c85f-1757-11e1-b3a4-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{2573c85f-1757-11e1-b3a4-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{61da55a3-bef1-11e1-bda7-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{61da55a3-bef1-11e1-bda7-806e6f6e6963}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{625f9422-c8bd-11e0-942d-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{625f9422-c8bd-11e0-942d-806e6f6e6963}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{7b85f462-b548-11e0-b49f-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{7b85f462-b548-11e0-b49f-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{9b818860-9cfc-11e0-b8fa-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{9b818860-9cfc-11e0-b8fa-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{9b818872-9cfc-11e0-b8fa-f46d04bce0f1}\Shell - "" = AutoRun
O33 - MountPoints2\{9b818872-9cfc-11e0-b8fa-f46d04bce0f1}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence

:FILES
ipconfig /flushdns /c
C:\Windows\*.tmp

:COMMANDS
[CREATERESTOREPOINT]
[EMPTYTEMP]

Poi fai la scansiona anche con Junkware Removal Tool http://thisisudax.org/downloads/JRT.exe salvalo sul desktop.
poi fai click con il tasto destro del mouse e seleziona esegui come amministratore, si apre una finestra di DOS che devi schiaacciare invio per fare la scansione (impiega un po di tempo)
Al termine posta il log JRT.txt salvato sul desktop

Inoltre scarica questo programma
http://www.malwarebytes.org/antirootkit/
estrailo sul desktop, esegui l’update,quindi scansiona il sistema ed esegui l’eventuale cleanup.
ed esegui la scansione

erin10

esegui anche tu il Junkware Removal Tool e MBAM antirootkit
e posta il log

… c’è la possibilità che si tratti di un falso positivo comunque.

Nel senso che c’è qualche server che i vostri pc contattano (qualche programma che si collega per aggiornarsi) e che può darsi che sia finito in una black list di avast.
Ci sono molti altri utenti che hanno il vs problema (io però non ho problemi), per questo è stato aperto un ticket al viruslab.
Se cosi fosse verrà risolto da un aggiornamento delle definizioni dei virus.

ciao

Allego gli ultimi due log,non ha funzionato nulla. A questo punto credo anche io che si tratti di un falso positivo,poichè nulla è servito a trovare questo “virus”.

Log di JRT (mbar non ha generato il log,risulta pulito)

I avvisi hanno cominciato dopo l’aggiornamento versione di avast.
Prima di postare il mio problema ho provato un ripristino di sistema pero il problema persiste.

Esatto,hanno iniziato dopo l’aggiornamento,potrebbe essere un falso positivo. Meglio così,vi ringrazio infinitamente,fatemi sapere se ci sono novità.
Ciao :slight_smile:

Fatemi sapere voi se il problema si risolve da sé nei prossimi giorni.
io se ho delle news vi faccio sapere

ciao

E’ stato confermato falso positivo
probabilmente è già stato sbloccato con gli streaming update
http://forum.avast.com/index.php?topic=144902.msg1051132#msg1051132

Confermo, i avvisi si sono fermati.
Grazie per l’aiuto e buona giornata.

Bene
ciao