Problema Trojan conhost.exe

[Bungle]

Ho un problema...
Stamattina ho fatto un scansione con malwarebytes che mi ha trovato un virus (C:\Windows\Temp\conhost.exe  Trojan.Agent.BTMGen). Io clicco "Rimuovi selezionati" e malwarebytes mi dice che per rimuoverlo deve riavviare il computer. Io glielo faccio riavviare ma quando si riaccende faccio un'altra scansione con malwarebytes che mi ritrova lo stesso virus e mi dice di nuovo che deve riavviare il computer per eliminarlo. Ho ripetuto questa operazione 5 o 6 volte ma il problema non si risolve. Facendo la scansione con Avira non mi trova niente... che devo fare?

Ps: non so se può aiutare ma in Task Manager nei provessi ogni tanto si attiva un processo conhost.exe che mi usa circa il 50% della CPU, io lo termino ogni volta ma dopo un po' ritorna...

[GERONIMO**]

ciao
segui queste operazioni

Attiva il firewall sul pc

Disattiva il ripristino di configurazione di sistema
procedura per  Windows XP
http://support.microsoft.com/kb/310405/it

procedura per Windows Vista e Windows 7
http://windows.microsoft.com/it-IT/windows-vista/Turn-System-Restore-on-or-off

Scarica ATF Cleaner
http://majorgeeks.com/downloadget.php?id=4949&file=15&evp=72ef5a5e927b2276e6a5bc34c89d005a
salvalo sul desktop
Avvia ATF Cleaner.exe con un doppio click
Nota: Se si utilizza Windows Vista / o W7, tasto destro del mouse sullo strumento e scegliere
Esegui come amministratore per aprirlo
clicca sul menu main
seleziona la casella Select All
clicca sul pulsante Empty selected
Se  usi anche altri Browser
spostati sulla voce firefox di fianco a main metti la spunta alla casella Select All
clicca sul pulsante Empty selected
poi spostati sulla voce Opera  metti la spunta alla casella Select All
clicca sul pulsante Empty selected
aspetta l'avviso Done Cleaning.
e premi ok


Apri Malwarebytes' Anti-Malware
vai alla voce Aggiornamento
Aggiorna Malwarebytes' Anti-Malware (è importante)

IMPORTANTE
disconnettiti da internet-spegni il modem/router
poi vai sulla voce Scansione seleziona la voce scansione completa
e clicca su Scansione per eseguire la scansione completa del pc
A scansione completata se vengono rilevate infezioni  fai clic su OK => Mostra Risultati.
seleziona gli elementi trovati da malwarebyts
clicca su Rimuovi Selezionati
se Malwarebytes' chiede di riavviare il pc riavvia
altrimenti riavvialo tu manualmente
salva il Report della scansione sul Desktop

e Allegalo qui sul forum

[Bungle]

Ok, ho fatto tutto quello che hai scritto...
Ho allegato il report della scansione.
Dopo aver riavviato il computer ho rifatto un'altra scansione con malwarebytes e il virus c'è ancora...

[GERONIMO**]

ciao
Ascolta...resiste nella rimozione perche' sta in memoria

ora procedi cosi segui alla lettera cio che scrivo
il ripristino di sistema lascialo disattivato finquando non si risolve il problema

Scarica ComboFix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scaricalo con  ( Internet Explorer) no con Firefox
posizionalo sul Desktop obbligatoriamente
Adesso e Molto Importante che tu
disattiva l'Antivirus in uso (è importante)
disattiva il Firewall (è importante)
chiudi tutti i programmi aperti (è importante)
chiudi la connessione. (è importante)

lancia ComboFix con doppio clik
segui le istruzioni di combofix
verrà richiesta l'installazione della Console di ripristino :clicca su NO
senza eseguire nessuna altra operazione sul pc, lascia che  ComboFix completi la scansione non usare ne anche il mouse
altrimenti potrebbe Bloccarsi il Pc
Quando ComboFix avrà concluso la scansione:
il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

[rikkardo1975]

Anche io ho il medesimo problema

ho eseguito le procedure suggerite da Geronimo a Bungle, ma niente da fare, ho appena fatto girare combofix ma al riavvio del PC mi si ripresenta la problematica.

Allego il log di combofix sperando in un vostro aiuto

già grazie
Rik

[GERONIMO**]

ciao rikkardo1975
apri un topic tutto tuo questo e di Bungle
cosi' si crea solo confusione io intanto ti controllo il log di combofix ;)

[rikkardo1975]

Ciao Geronimo

aperto nuovo topic, grazie!

[Bungle]

Ecco il log di ComboFix

[GERONIMO**]

per Bungle

Fai un click destro in un punto vuoto del Desktop
crea un Nuovo documento di testo
Ci copi e incolli il codice che vedi sotto, e lo salvi con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix


KillAll::

File::
c:\windows\system32\ConduitEngine.tmp
c:\programmi\Yontoo Layers Runtime\YontooIEClient_2.dll
c:\windows\system32\FlashPlayerCPLApp.cpl

Folder::
C:\$AVG
c:\documents and settings\All Users\Dati applicazioni\avg9
c:\programmi\Yontoo Layers Runtime

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"=-

DDS::
DPF: {E6BB2089-163F-466B-812A-748096614DFD} - hxxp://cainternetsecurity.net/scanner/cascanner.cab

[Bungle]

Fatto tutto, il log è allegato...

Ps: ho controllato in task manager e conhost.exe c'è ancora e mi ciuccia il 50% della cpu.. mi sa che il problema non è ancora risolto... 

[GERONIMO**]

Fatto tutto, il log è allegato...

Ps: ho controllato in task manager e conhost.exe c'è ancora e mi ciuccia il 50% della cpu.. mi sa che il problema non è ancora risolto...  

Aspetta non andare di fretta non abbiamo finito , molte infezioni sono state rimosse
si devono rimuovere altre
tu hai piu' problemi rispetto rikkardo1975
sembrerebbero mancare anche alcuni file importanti del sistema

Ora
nel docunento di testo  CFScript.txt che hai sul desktop
cancella tutto al suo interno e copia/incolla questo script
e lo salvi
se lo hai cancellato crealo e lo salvi con il nome di CFScript.txt
e trascinalo sull'icona di ComboFix.

partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix

KillAll::

File::
c:\windows\TEMP\jnxbsp\setup.exe
c:\windows\system32\FlashPlayerCPLApp.cpl

Driver::
AMService

[Bungle]

Ok allora sono più tranquillo 

Ecco allegato il log

[GERONIMO**]

Stai tranquillo risolviamo tutto ;)
le altre infezioni sono state rimosse

ora dobbiamo rimuovere il Rootkit TDL4
colui che provoca il problema ;D

Scarica TDSSKiller e salvalo sul desktop.
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
doppio clik su TDSSKiller.exe
Assicurati che le 2 caselle Abbiano la spunta


fai clic su Start Scan
e attendi la scansione

Se trova il file infetto viene rilevato, l'azione predefinita sarà Cure, fare clic su Continua.

Se un file sospetto è rilevato, l'azione predefinita sarà  Skip , fare clic su Continua.

Se chiede di riavviare il pc acconsenti
Se non chiede di riavviare il pc  clicca su report e salvalo sul desktop

Postalo qui.
il report lo trovi in Disco locale C
TDSSKiller_tx

[Bungle]

Fatto, log allegato

[GERONIMO**]

devi riavviare il pc altrimenti non levi il rootkit

2011/09/03 12:10:26.0984 3468 Scan finito

2011/09/03 12:10:27.0000 1468 conta oggetto rilevato: 1

2011/09/03 12:10:38.0687 1468 \ Device \ Harddisk0 \ DR0 (Rootkit.Win32.TDSS.tdl4) - sarà curato dopo il riavvio

2011/09/03 12:10:38.0687 Rootkit.Win32.TDSS.tdl4 1468 (\ Device \ Harddisk0 \ DR0) - azione utente seleziona: Cure