Conhost.exe problema

[rikkardo1975]

Buondì

come ad altri anche io ho un problema con conhost.exe

facendo girare malawarebytes lo trova e me lo mette in quarantena, ma dopo pochi minuti riappare come servizio nel task e si "ciuccia" tutta la CPU

ho quindi eseguito la procedura gia suggerita ad altro utente per creare un log con combofix, log che allego.

il mio sitema operativo è WIN XP SP3

se servono ulteriori info sono qui.

già grazie
Rik

[GERONIMO**]

allora riallega il log di combofix
questo e incompleto

allegalo da qui
http://wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file
 Clicca su Upload file
 Seleziona Forum Link, copialo e incolla il link in un nuovo messaggio per il forum

[rikkardo1975]

eccolo

ComboFix.txt

[GERONIMO**]

Allora se hai il ripristino di sistema disattivato
Attivalo

poi
Fai un click destro in un punto vuoto del Desktop
crea un Nuovo documento di testo
Ci copi e incolli il codice che vedi sotto, e lo salvi con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix



KillAll::

File::
c:\windows\system32\FlashPlayerCPLApp.cpl
c:\windows\RegBootClean.exe
c:\windows\system32\DRIVERS\avgfwdx.sys
c:\programmi\AVG\AVG2012\avgtray.exe
c:\programmi\AVG\AVG2012\avgmfapx.exe

Folder::
c:\windows\system32\drivers\AVG
c:\documents and settings\All Users\Dati applicazioni\AVG2012
c:\programmi\AVG
c:\programmi\AVG\AVG2012

Driver::
Avgfwfd

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

[rikkardo1975]

fatto

cosa strana, combofix mi ha segnalato che in questa macchina non era installata la console di ripristino di emergenza e mi ha chiesto se volessi installarla, ho detto si, ha downlodato da sito microsoft ed installato la console, poi ha proseguito.

prima di far girare combofix ero andato su risorse del computer / opzioni per attivare il ripristino, che a pannello era già attivo, per sicurezza l'ho disattivato e riattivato...

comunque ecco il log

ComboFix.txt

[GERONIMO**]

ok altre infezioni sono state rimosse
potevi anche non attivarla la console di ripristino

cmq c'e' un probabile Rootkit  TDL4

Scarica TDSSKiller e salvalo sul desktop.
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
doppio clik su TDSSKiller.exe
Assicurati che le 2 caselle Abbiano la spunta


fai clic su Start Scan
e attendi la scansione

Se trova il file infetto viene rilevato, l'azione predefinita sarà Cure, fare clic su Continua.

Se un file sospetto è rilevato, l'azione predefinita sarà  Skip , fare clic su Continua.

Se chiede di riavviare il pc acconsenti
Se non chiede di riavviare il pc  clicca su report e salvalo sul desktop

Postalo qui.

[rikkardo1975]

mi ha fatto fare il reboot

sto controllando sul task ma mi pare che il processo conhost.exe non compaia più.

monitoro oggi pomeriggio e prima di sera confermo se non compare più.

serve che faccia altro?

intanto mille grazie
sei un grande.

[GERONIMO**]

OK posta il report
poi si devono fare altre cosine ;)
per non lasciare il lavoro a metà perche' potrebbe riformarsi il Rootkit
questo Rootkit e una brutta bestia

[rikkardo1975]

si ma mi ha fatto fare il reboot e non mi ha dato la possibilità di salvare il report....

[GERONIMO**]

vedi lo trovi in Disco locale C
 TDSSKiller_Tx

devo controllare se effettivamente e stato rimosso

[rikkardo1975]

ah, scusa non lo sapevo

ok allora ecco il report

TDSSKiller.2.5.17.0_02.09.2011_14.06.53_log.txt

[GERONIMO**]

ok la bestiolina Rootkit.Win32.TDSS.tdl4
e stata rimossa

ora segui questa guida per usare Ccleaner come scritto nella guida solo Ccleaner salta il resto
scorri infondo pagina trovi come usare Ccleaner alla voce
Eliminazione dei files temporanei (registro compreso)
http://www.winmagazine.it/forum/index.php/topic,20654.0.html
finito con ccleaner chiudilo

poi
scarica HiJackThis da qui
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
salvalo sul Desktop
installa HiJackThis
clicca sul pulsante Do a system scan and save a logfile
 alla fine ti apparirà un log in formato documento di testo salvalo sul desktop e postalo qui

[rikkardo1975]

rieccomi

mentre facevo girare il CCleaner il mio AV (trend micro) ha rilevato un virus e messo in quarantena, posto qui la segnalazione.

JAVA_DLOADR.OS from C:\Documents and Settings\Riccardo\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\37db3fe2-1634074f

ho comunque proseguito seguendo le tue indicazioni, eseguito la pulizia con ccleaner e scaricato e fatto girare hijackthis

di seguito il log di hijackthis

hijackthis.log

[GERONIMO**]

rieccomi

mentre facevo girare il CCleaner il mio AV (trend micro) ha rilevato un virus e messo in quarantena, posto qui la segnalazione.

JAVA_DLOADR.OS from C:\Documents and Settings\Riccardo\Dati applicazioni\Sun\Java\Deployment\cache\6.0\34\37db3fe2-1634074f

sciocchezzuola per quello che avevi sul pc

Rilancia HijackThis:  
e: clicca sul pulsante Do a system scan only
Chiudi tutti i programmi aperti
 Metti la spunta alle voci che vedi sotto
 clicca su Fixchecked
Se vengono rilasciati messaggi clicca su Si

O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Programmi\File comuni\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

O4 - HKLM\..\Run: [SwitchBoard] C:\Programmi\File comuni\Adobe\SwitchBoard\SwitchBoard.exe


Allora sei pieno di falle per la sicurezza documentati un po su come hai preso questo Rootkit e altre infezioni
http://www.winmagazine.it/forum/index.php/topic,20554.0.html   

DISINSTALLA   
Java

INSTALLA
Java aggiornato
http://java.com/it/

AGGIORNA
Il service pack 3
Internet Explorer almeno alla versione 8
http://www.microsoft.com/downloads/it-it/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b
anche se non lo usi va Aggiornato
la tua la versione 6 ha una falla

Se
Trend Micro OfficeScan Antivirus
sta per scadere o non ha una regolare licenza

Opta per uno Gratuito e altrettanto ottimo forse anche piu' di Trend Micro OfficeScan Antivirus
http://www.winmagazine.it/forum/index.php/topic,20686.0.html

per finire disistalla Combofix con questo tool
 Scarica OTC by OldTimer:
 http://oldtimer.geekstogo.com/OTC.exe
 posizionalo sul Desktop
 chiudi tutti i programmi
 Compare la  finestra, clicca su CleanUp!
 Viene richiesta conferma per l'operazione, clicca Yes
 Al termine delle operazioni di pulizia, viene chiesto il riavvio del pc, clicca Yes

E sei Apposto
Ciao...

[rikkardo1975]

ok fatto tutto

dimmi se devo fare dell'altro.

Grazie mille
Rik