PROBLEMA Virus in processi di sistema svchost.exe , aiuto con HijackThis !

Pubblicità
Pretorian91

Pretorian91

Utente Attivo
Messaggi
294
Reazioni
62
Punteggio
55
Salve a tutti ragazzi , è da qualche giorno che mi sono accorto, dopo il rilevamento da parte di norton 360 (attivo con licenza) di ''Svchost.exe'' in System32\temp; di avere un virus nel pc particolarmente tedioso, ... il problema è che ad ogni avvio il file viene ricreato e nuovamente rilevato da norton, si tratta, da quel che ho letto, di un worm che fa una copia di backup nel file system, credo che probabilmente modifica il mio ip ad ogni connessione , ho preso visione di questo dalla cronologia sicurezza norton, anche se riporta queste attività come non dannose o comunque come se fossero state eseguite dall'utente/sistema...
Vi spiego , brevemente come ho proceduto :
sul pc sono attivi norton 360 e spybot per proteggere solo i browser ;
Norton non rilevava nient'altro oltre il file svchost.exe;

Ho installato e provato (in modalità provvisoria e non!) :

-Malwarebytes Anty-malware (trova un file .dll sempre in System/temp , probabilmente connesso al virus in questione e anch'esso viene ricreato ad ogni avvio)

-strumento rimozione malware windows (trovato niente)

-tdsskiller (niente)

-Combo fix (trovato qualche chiave di sistema che dava problemi ma non ha risolto nulla, fra l'altro non so come verificare se vengono ricreate anche queste)

-e infine analizzato con SVchostAnalyzer che riporta :

SvchostAnalyzer1.webpSVchostAnalyzer.webp


in più vi carico lo screen degli accessi che norton ha bloccato di un CONHOST.EXE sicuramente legato al virus:

Log4.webp


Qualcuno sa come posso risolvere il problema ? o in alternativa qualcuno potrebbe seguirmi nell'utilizzo del programma HijackThis tramite i log ? Ho letto l'intera guida ma ho diverse perplessità , in più sono tutt'altro che un utente esperto , ho il pc da 6 mesi e ho dovuto formattare già 4volte per smanettamenti vari:oops: questa volta voglio risolvere il problema :rolleyes: anche perché il mio povero ssd non nè può più !:grrrr:

Scusate se mi sono dilungato ! Vi sarei immensamente grato se mi deste una mano :inchino: Le ho provate tutte:muro:
 
Ciao Pretorian91.
Disabilita il ripristino configurazione di sistema.
Effettua queste due scansioni:
scarica OTL e configuralo come spiegato.
Posta i 2 log in allegato.
Scarica RogueKiller
avvialo ed aspetta lo scan iniziale.
Apparirà scansione preliminare finita.
Clicca su scansiona ed attendi.
Posta il report , se non ti appare c'è l'apposito tasto.
 
Ciao e grazie mille per l'aiuto :vv:

di seguito i log che mi chiedevi :

Visualizza allegato OTL.Txt Visualizza allegato Extras.Txt

non riesco ad allegare il log di roguekiller quindi lo copio qui :

RogueKiller V9.2.3.0 [Jul 11 2014] by Adlice Software
mail : Contact
Feedback : Adlice forum
Website : RogueKiller download
Blog : Adlice Software | malware analysis


Operating System : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : Ettore [Admin rights]
Mode : Scan -- Date : 07/14/2014 22:38:04


¤¤¤ Bad processes : 1 ¤¤¤
[Suspicious.Path] OTL.exe -- C:\Users\Ettore\Desktop\OTL.exe[-] -> Chiuso [TermProc]


¤¤¤ Registry Entries : 15 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4E252C0C-C875-4C42-B28D-F0610CB6BC7F} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E4A7C42F-6661-46E9-8E63-9F1F3CA23E21} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4E252C0C-C875-4C42-B28D-F0610CB6BC7F} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E4A7C42F-6661-46E9-8E63-9F1F3CA23E21} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4E252C0C-C875-4C42-B28D-F0610CB6BC7F} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{E4A7C42F-6661-46E9-8E63-9F1F3CA23E21} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> Trovato
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> Trovato
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> Trovato
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trovato
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trovato
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trovato
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trovato


¤¤¤ Le attività pianificate : 1 ¤¤¤
[Suspicious.Path] \\Origin -- C:\Users\Ettore\AppData\Roaming\Origin\update.vbe -> Trovato


¤¤¤ Files : 1 ¤¤¤
[Suspicious.Path][File] RealTemp (2).lnk -- C:\Users\Ettore\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RealTemp (2).lnk [LNK@] C:\Users\Ettore\Desktop\UTILIT~1\realtemp\RealTemp.exe -> Trovato


¤¤¤ HOSTS File : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost


¤¤¤ Antirootkit : 0 (Driver: NOT LOADED [0xc000036b]) ¤¤¤


¤¤¤ I browser Web : 0 ¤¤¤


¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: WDC WD10EZEX-00BN5A0 SCSI Disk Device +++++
--- User ---
[MBR] 08e834536d09c9f4fdfe48a49505b195
[BSP] 16e996e52e6a1e13eb9c65ae2b79d0db : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953866 MB
User = LL1 ... OK
Error reading LL2 MBR! ([18] Il programma ha originato un comando, ma la lunghezza del comando non è corretta. )


+++++ PhysicalDrive1: Samsung SSD 840 PRO Seri SCSI Disk Device +++++
--- User ---
[MBR] 046dbb2bad331e8867b6a07918303a67
[BSP] dfd4a396ba4392758bb4d0c59da133b1 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 122002 MB
User = LL1 ... OK
Error reading LL2 MBR! ([18] Il programma ha originato un comando, ma la lunghezza del comando non è corretta. )


PS : non ho cancellato nulla dopo aver fatto la scansione con roguekiller in attesa di tua risposta in più è stato avviato con gli altri antivirus avviati (non so se ho fatto bene) in caso rieseguo e riposto.... Grazie ancora:birra:


EDIT : Per errore ho disabilitato il ripristino di sistema sull'unità sbagliata :oops: adesso l'ho disabilitata anche per C (che niubbo scusami:hihi:)... Devo ripetere tutto da capo ?? grazie per la pazienza !
 
Ultima modifica:
Non serve tranquillo.
Apri OTL e incolla questo codice
:otl

:Files
ipconfig /flushdns /c
ipconfig /release /c
ipconfig /renew /c
netsh winsock reset /c
netsh int ipv4 reset /c


:Commands
[resethosts]
[emptytemp]
[emptyflash]
[emptyjava]
[Reboot]

clicca su Run Fix in alto e dopo il riavvio posta il log.
Aggiorna Java all'ultima versione.




 
Java è già aggiornato , ho controllato sul sito .....

Ecco il log :
Visualizza allegato 07142014_234237(uscita al riavvio).txt

All'avvio non è uscita la classica notifica di norton per Svchost, ma andando a controllare il processo conhost.exe ha provato a modificare i file di norton :( Faccio una ricerca con malwarebytes per vedere se mi ritrova quel .dll infetto di cui parlavo nel primo post ?
Grazie per la pazienza! :sisi:
 
tecnico24 ha detto:
Conhost.exe in system32 è leggittimo :
Conhost.exe - What is conhost.exe? - Console Window Host
Puoi stare tranquillo.
Clicca per espandere...

Sisi , so che fanno parte del sistema , come anche svchost , il problema è che questo virus si è insediato in questi processi ..... infatti niente Svchost dannoso all'avvio ma L'ip assegnano dal sistema viene cancellato e sostituito subito dopo e Conhost.exe prova subito a modificare i file di norton e malwerbytes :
screennorton.webp

c'è da aggiungere che dopo il tuo intervento : 1 (come già detto) niente svchost all'avvio ,2 niente file .dll trovati da malwarebytes, 3 windows/temp è molto più snella adesso (non so se dipende dal fatto che è il primo avvio dopo quelle operazioni)....
qualche risultato forse c'è stato ma sicuro non siamo riusciti a sradicarlo ! in ogni caso questo passa in secondo piano, se hai finito le tue carte ti ringrazio lo stesso per avermi aiutato , apprezzo veramente tanto le persone, che come te :), aiutano noi poveri niubbi ! ... in caso contrario aspetto in attesa dei prossimi passaggi ! :birra:
 
Te lo ripeto di nuovo: è un processo di windows leggittimo , in questo caso basta aggiungerlo tra i file sicuri di norton.
Gli ip rilevati (anche da roguekiller) sono leggittimi e provengono da un provider fastweb.
 
tecnico24 ha detto:
Te lo ripeto di nuovo: è un processo di windows leggittimo , in questo caso basta aggiungerlo tra i file sicuri di norton.
Gli ip rilevati (anche da roguekiller) sono leggittimi e provengono da un provider fastweb.
Clicca per espandere...


Okok, monitorerò la situazione per vedere se si verificherà qualcosa di anomalo in futuro (es. oggi, 8pagine di google hanno saturato 8.1 Gb di ram :cav:) e in caso ti aggiorno su questo post .... anche se SvchostAnalyzer mi riporta sempre quei 2 errori , uno windows defender (non lo utilizzo quindi forse fa nulla)e 2 quello che mi preoccupa di più : ''Servizio rilevamento automatico proxy WinHTTP (impossibile trovare file specificato winhttp.dll) comunque anche malwarebytes non trova più quel file .dll infetto quindi , tanto di cappello a te tecnico :asd: ma per pura curiosità , sempre se non ti secca, qual'era il problema ? quali processi colpiva ? e soprattutto quei codici che mi hai fatto inserire li hai fatti tu capendo dalle chiavi di registro qual'era il problema ? :shock: Di nuovo grazie mille :ok::vv:

- - - Updated - - -

ehhm, piccolo aggiornamento , purtroppo siamo punto e da capo:muro: , ci ha messo un pò di più a ricrearsi tutti i suoi file, ma come vedi :
ultimascan.webp

stessi identici file che mi beccavano priva gli antivirus... proviamo con hijackthis?? dice che è un trojan.bitcoinMiner:nono: ma avevo letto qualcosa a proposito di questi worm... devo temere per i miei dati ? pago spesso con la carta online !!! ti sarei grato se mi dessi spiegazioni in merito!:inchino:
 
Scarica adwcleaner sul desktop.
Aprilo , clicca su scansiona.
Quando ha finito , lascia tutte le spunte e clicca su Pulisci.
Posta il report dopo il riavvio.

Apri RogueKiller e ripeti la scansione.
Lascia la spunta selezionata solo a:
[Suspicious.Path] \\Origin -- C:\Users\Ettore\AppData\Roaming\Origin\update.vbe -> Trovato
clicca su Elimina.
Riavvia il pc.

 
Buongiorno tecnico,
di seguito i log che richiedevi :
Visualizza allegato AdwCleaner[S0].txt

_________________________________

RogueKiller V9.2.3.0 [Jul 11 2014] by Adlice Software
mail : Contact
Feedback : Adlice forum
Website : RogueKiller download
Blog : Adlice Software | malware analysis


Operating System : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : Ettore [Admin rights]
Mode : Remove -- Date : 07/15/2014 13:28:52


¤¤¤ Bad processes : 0 ¤¤¤


¤¤¤ Registry Entries : 15 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4E252C0C-C875-4C42-B28D-F0610CB6BC7F} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E4A7C42F-6661-46E9-8E63-9F1F3CA23E21} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4E252C0C-C875-4C42-B28D-F0610CB6BC7F} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E4A7C42F-6661-46E9-8E63-9F1F3CA23E21} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4E252C0C-C875-4C42-B28D-F0610CB6BC7F} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{E4A7C42F-6661-46E9-8E63-9F1F3CA23E21} | DhcpNameServer : 192.168.1.254 62.101.93.101 83.103.25.250 -> NON SELEZIONATO
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELEZIONATO
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELEZIONATO
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELEZIONATO
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> NON SELEZIONATO
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELEZIONATO
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> NON SELEZIONATO


¤¤¤ Le attività pianificate : 1 ¤¤¤
[Suspicious.Path] \\Origin -- C:\Users\Ettore\AppData\Roaming\Origin\update.vbe -> Cancellato


¤¤¤ Files : 1 ¤¤¤
[Suspicious.Path][File] RealTemp (2).lnk -- C:\Users\Ettore\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RealTemp (2).lnk [LNK@] C:\Users\Ettore\Desktop\UTILIT~1\realtemp\RealTemp.exe -> NON SELEZIONATO


¤¤¤ HOSTS File : 2 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\Windows\System32\drivers\etc\hosts] ::1 localhost


¤¤¤ Antirootkit : 0 (Driver: NOT LOADED [0xc000036b]) ¤¤¤


¤¤¤ I browser Web : 0 ¤¤¤


¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: WDC WD10EZEX-00BN5A0 SCSI Disk Device +++++
--- User ---
[MBR] 08e834536d09c9f4fdfe48a49505b195
[BSP] 16e996e52e6a1e13eb9c65ae2b79d0db : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 953866 MB
User = LL1 ... OK
Error reading LL2 MBR! ([18] Il programma ha originato un comando, ma la lunghezza del comando non è corretta. )


+++++ PhysicalDrive1: Samsung SSD 840 PRO Seri SCSI Disk Device +++++
--- User ---
[MBR] 046dbb2bad331e8867b6a07918303a67
[BSP] dfd4a396ba4392758bb4d0c59da133b1 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 122002 MB
User = LL1 ... OK
Error reading LL2 MBR! ([18] Il programma ha originato un comando, ma la lunghezza del comando non è corretta. )




============================================
RKreport_SCN_07142014_223804.log - RKreport_SCN_07152014_132750.log

___________________________________________________________
Anche dopo la rimozione di alcuni file da parte di adwcleaner , dopo il riavvio stesso problema e virus di nuovo presente :suicidio: Grazie, per l'ennesima volta, per la tua pazienza !:)
 
tecnico24 ha detto:
Dopo la rimozione di malwarebytes chi te lo segnala?norton o ancora malwarebytes?parlo del Trojan bitcoin.
Clicca per espandere...

Malwerbytes specifica che è il bitcoinminer dopo un tot dall'avvio diciamo 15minuti , norton all'avvio, praticamente subito essere entrato sul desktop, svchost.exe .... nello screen di prima si vede proprio l'indirizzo al quale si collega per scaricare ogni avvio il file .exe

Edit : ho notato che CCleaner non riesce a rimuovere questa chiave dal registro .... non so se può servire
Immagine.webp
 
Ultima modifica:
perdonami l'ignoranza , ma non riesco a trovare 'ripristina il computer'
opzioni valide (perdona la qualità della foto) :
20140715_144201.webp

o devo cambiare il boot da bios e mettere la pennetta per prima ?
 
Pubblicità
Pubblicità
Indietro
Top