PROBLEMA Trojan.Agent.Btmgen - Conhost.exe

[shemsu_hor]

Ciao!
Da qualche giorno avevo un trjoan che sono riuscito ad eliminare con Malwarebytes' AntiMalware 1.51.1.1800.
Adesso però lo stesso antivirus mi rileva sempre un altro problema: Trojan.Agent.Btmgen che posso solo mandare in quarantena, ma continua a tornare l'applicazione Conhost.exe che usa quasi tutte le risorse del computer.

Ho letto in altro topic di usare ComboFix. Ecco il log ottenuto

Come procedo adesso?

[GERONIMO**]

ciao non hai esguito combofix correttamente
devi salvarlo sul desktop scaricalo con internet explorer
cosi' puoi scegliere di salvarlo sul desktop

quindi
Disinstalla Combofix in questo modo
Scarica OTC by OldTimer:
http://oldtimer.geekstogo.com/OTC.exe
posizionalo sul Desktop
chiudi tutti i programmi
Lancialo con doppio clic
Compare la  finestra, clicca su CleanUp!
 Viene richiesta conferma per l'operazione, clicca Yes
 Al termine delle operazioni di pulizia, viene chiesto il riavvio del pc, clicca Yes

Scarica ComboFix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scaricalo con  ( Internet Explorer) no con Firefox
posizionalo sul Desktop obbligatoriamente
Adesso e Molto Importante che tu
disattiva l'Antivirus in uso (è importante)
disattiva il Firewall (è importante)
chiudi tutti i programmi aperti (è importante)
chiudi la connessione. (è importante)

lancia ComboFix con doppio clik
segui le istruzioni di combofix
verrà richiesta l'installazione della Console di ripristino :clicca su NO
senza eseguire nessuna altra operazione sul pc, lascia che  ComboFix completi la scansione non usare ne anche il mouse
altrimenti potrebbe Bloccarsi il Pc
se vengono rilasciati dei  messaggi durante la scansione Riguardo all' Antivirus e il Firewall
ignorali prosegui
Quando ComboFix avrà concluso la scansione:
il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

[shemsu_hor]

Ho provato a seguire le tue istruzioni.
Allego il risultato:

[GERONIMO**]

Ciao
Fai un click destro in un punto vuoto del Desktop
crea un Nuovo documento di testo
Ci copi e incolli il codice che vedi sotto, e lo salvi con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.

partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix

KillAll::

File::
c:\windows\system32\FlashPlayerCPLApp.cpl
c:\windows\system32\drivers\Lbd.sys
c:\windows\system32\xsodjnmh.cvi
c:\docume~1\user\IMPOST~1\Temp\CRLBKWAEHQO.exe
c:\programmi\File comuni\System\jxLYxX.exe

Driver::
Lbd
XSODJNMH
CRLBKWAEHQO
SrvLue

Folder::
c:\programmi\Yontoo Layers Runtime

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]

SecCenter::
{00000000-0000-0000-0000-000000000000}

[shemsu_hor]

Fatto, ecco qua il log:

[GERONIMO**]

Ok
Adesso

Scarica TDSSKiller e salvalo sul desktop.
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
doppio clik su TDSSKiller.exe
Assicurati che le 2 caselle Abbiano la spunta


fai clic su Start Scan
e attendi la scansione

Se trova il file infetto viene rilevato, l'azione predefinita sarà Cure, fare clic su Continua.

Se un file sospetto è rilevato, l'azione predefinita sarà  Skip , fare clic su Continua.

Se chiede di riavviare il pc acconsenti
Se non chiede di riavviare il pc  clicca su report e salvalo sul desktop

Postalo qui.

[shemsu_hor]

Trovato file infetto e "curato". Poi mi ha chiesto di riavviare. Fatto, ma ora non ho nessun report.

[GERONIMO**]

ok
vedi si trova in disco locale c
 TDSSKiller_Tx

[shemsu_hor]

E' forse questo?

[GERONIMO**]

Si e lui
ok

ora fai questo controllo

Scarica MBRCheck e e salvalo sul desktop.
http://ad13.geekstogo.com/MBRCheck.exe
Chiudi tutti i programmi.
Doppio click su MBRCheck
Attendi la fine della scansione. (dura poo)
Finita la scansione  rilascia un log, allegalo qui

[shemsu_hor]

Eccolo!

[GERONIMO**]

Ok ;)
ora segui questa guida per usare Ccleaner come scritto nella guida solo Ccleaner salta il resto
http://www.winmagazine.it/forum/index.php/topic,20654.0.html
scorri infondo pagina trovi come usare Ccleaner alla voce
Eliminazione dei files temporanei (registro compreso)

finito con ccleaner chiudilo

poi
scarica HiJackThis da qui
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
salvalo sul Desktop
installa HiJackThis
clicca sul pulsante Do a system scan and save a logfile
 alla fine ti apparirà un log in formato documento di testo salvalo sul desktop e postalo qui

[shemsu_hor]

Ecco fatto (ho cambiato estensione in .txt):

[GERONIMO**]

Rilancia HijackThis:  
e: clicca sul pulsante Do a system scan only
Chiudi tutti i programmi aperti
 Metti la spunta alle voci che vedi sotto
 clicca su Fixchecked
Se vengono rilasciati messaggi clicca su Si

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask .exe" -atboottime

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe


fai sapere come va il pc
hai fatto pulizia con Ccleaner?
sembrerebbe di no

[shemsu_hor]

Ho seguito alla lettera le tue istruzioni...
...sembrava tutto ok già dopo il primo "intervento" (file trascinato su ComboFix).

Cmq se abbiamo fatto pulizia anche di altro, meglio.

Grazie 1000 ;-)