Sempre conhost.exe...

[BlackHawk]

Ciao a tutti, come altri ho anche io il problema con questo trojan...
Ho lanciato ComboFix ed allego il log... poi ditemi voi cosa fare per favore ;)
Grazie in anticipo per l'aiuto!

[GERONIMO**]

ciao un'altro?
datene uno diverso che scocciatura rimuovere sempre lo stesso Rootkit...eheheh
scherzo il tempo che controllo il report e ti aggiorno ;)

[GERONIMO**]

Fai un click destro in un punto vuoto del Desktop
crea un Nuovo documento di testo
Ci copi e incolli il codice che vedi sotto, e lo salvi con il nome CFScript.txt
e trascinalo sull'icona di ComboFix.

partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix

KillAll::

File::
c:\windows\system32\ConduitEngine.tmp
c:\windows\system32\sho6FFB.tmp
c:\program files\uTorrentBar_IT\prxtbuTor.dll

RenV::
c:\program files\Adobe\Reader 10.0\Reader\Reader_sl .exe
c:\program files\AVG\AVG10\avgtray .exe
c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe
c:\program files\Common Files\Java\Java Update\jusched .exe
c:\program files\Common Files\Ulead Systems\AutoDetector\monitor .exe
c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon .exe
c:\program files\QuickTime\QTTask .exe

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}"=-
[-HKEY_CLASSES_ROOT\clsid\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}"=-
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\clsid\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}]
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4AE0C3D6-F713-4EED-BC65-25DC3FFDAAC1}"=-
[-HKEY_CLASSES_ROOT\clsid\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}]

[BlackHawk]

Eh eh Mi dispiace ma ne avrei fatto volentieri a meno
Intanto grazie e ti posto il report anche se avevo AVG attivo e spero non abbia creato casini...

[GERONIMO**]

eheheh
e certo mi rendo conto
ok conhost.exe e ancora attivo

passiamo al piano B ;D

Adesso

Scarica TDSSKiller e salvalo sul desktop.
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
tasto destro su TDSSKiller.exe e scegli Esegui come Amministratore per aprirlo
Assicurati che le 2 caselle Abbiano la spunta


fai clic su Start Scan
e attendi la scansione

Se trova il file infetto viene rilevato, l'azione predefinita sarà Cure, fare clic su Continua.

Se un file sospetto è rilevato, l'azione predefinita sarà  Skip , fare clic su Continua.

Se chiede di riavviare il pc acconsenti
Se non chiede di riavviare il pc  clicca su report e salvalo sul desktop

Postalo qui.
Il log lo trovi in Disco locale C
TDSSKiller.[Version]_[Date]_[Time]_log.txt

[BlackHawk]

Ecco qui... pc riavviato

[GERONIMO**]

Ok ;) Rimosso
ora segui questa guida per usare Ccleaner come scritto nella guida solo Ccleaner salta il resto
http://www.winmagazine.it/forum/index.php/topic,20654.0.html
scorri infondo pagina trovi come usare Ccleaner alla voce
Eliminazione dei files temporanei (registro compreso)

finito con ccleaner chiudilo

poi
scarica HiJackThis da qui
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
salvalo sul Desktop
installa HiJackThis
Apri HiJackThis con tasto destro su  HiJackThis e scegli Esegui come Amministratore
clicca sul pulsante Do a system scan and save a logfile
 alla fine ti apparirà un log in formato documento di testo salvalo sul desktop e postalo qui

[BlackHawk]

Ciao! Ti ringrazio per l'aiuto... ecco il log di HijackThis

[GERONIMO**]

Ciao di niente ;)
Rilancia HijackThis:  tasto destro - Esegui come Amministratore per aprirlo
e: clicca sul pulsante Do a system scan only
Chiudi tutti i programmi aperti
Metti la spunta alle voci che vedi sotto
clicca su Fixchecked
Se vengono rilasciati messaggi clicca su Si

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =//search.findeer.com/

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask .exe" -atboottime

O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10t_Plugin.exe -update plugin

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)


Abbiamo finito,
fai sapere se e tutto risolto ;)
ciao

[BlackHawk]

Ok grazie!  ;D
Sembra di si... il messaggio da AVG non compare più
Grazie!

[GERONIMO**]

ok prego,
e stato un piacere ;)
ultima cosa dimenticavo

Disinstalla combofix con questo tool,dopo l'uso va disinstallato
Scarica OTC by OldTimer:
http://oldtimer.geekstogo.com/OTC.exe
posizionalo sul Desktop
chiudi tutti i programmi
tasto destro - Esegui come Amministratore per eseguirrlo
Compare la  finestra, clicca su CleanUp!
Viene richiesta conferma per l'operazione, clicca Yes
Al termine delle operazioni di pulizia, viene chiesto il riavvio del pc, clicca Yes

[BlackHawk]

Ok ti ringrazio nuovamente, da solo non ce l'avrei mai fatta sicuramente!
Ciao!

[GERONIMO**]

e si mi rendo conto ;)
di niente, ciao