conhost.exe, wel degelijk malware

[wijksel]

Hallo,

In dit topic: http://www.pc-helpforum.be/f182/pc-loopt-dikwijls-vast-35980/ wordt een poging gedaan het bestand conhost.exe te verwijderen. Het topic wordt afgesloten met de melding dat het waarschijnlijk is opgelost, maar dat lijkt me onzinnig. Het enige wat er uiteindelijk gedaan is is het bestand toelaten in de virusscanner die het terecht aanmerkte als malware.

Conhost.exe is een bestand dat in sommige windows installaties thuishoort, maar in dit geval gaat het om een Bitcoin Miner die zich maskeert als een legitiem windows bestand. Het gebruikt regelmatig meer dan 90% CPU en ik heb geen idee wat voor schadelijke dingen het in die tijd doet. Ik krijg het met geen mogelijkheid weg. Malwarbytes, HijackThis, ESET... allemaal krijgen ze het niet weg. Deze conhoste.exe draait in de Temp directory (dat niemand dat hier verdacht vond vind ik opmerkelijk) en wordt blijkbaar elke keer opnieuw aangemaakt door een ander proces. Als je het verwijdert keert het weer terug. Ik kan niet achterhalen welk ander proces dat is, alles lijkt clean.

Heeft iemand dit al voor elkaar gekregen?

[Asus]

Download HijackThis (klik er op).

1. Klik bij "HijackThis Downloads" op "Installer".

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

2. Klik op de snelkoppeling om HijackThis te starten.

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd.

3. Plak nu het HJT-logje in je volgende bericht hier op het forum door de CTRL en V-toets.

Belangrijke opmerkingen :

° Krijg je een melding "For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

° Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

Extra info :

Dit (klik er op) filmpje kan je helpen om een HijackThis logje te plaatsen, net als deze (klik er op) handleiding.

Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou door het ganse proces.

[wijksel]

Volgens mij zei ik dat ik HijackThis zelf al gerund heb. Maar goed, misschien zie ik iets over het hoofd:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:34:04, on 29-8-2011

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Logitech\SetPoint\LBTWiz.exe

C:\Windows\System32\rundll32.exe

C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\RBTray\RBTray.exe

C:\Program Files\Apoint2K\ApMsgFwd.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Users\Marc\AppData\Local\Temp\RtkBtMnt.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\taskmgr.exe

C:\Windows\System32\mobsync.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\system32\rundll32.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Marc\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe

C:\Program Files\Altap Salamander\SALAMAND.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! UK

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! UK

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [setPanel] C:\Acer\APanel\APanel.cmd

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [bluetooth Connection Assistant] LBTWIZ.EXE -silent

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [b2C_AGENT] C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [QuickGammaLoader] C:\Program Files\QuickGamma\QuickGammaLoader.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O4 - Startup: RBTray.lnk = C:\Program Files\RBTray\RBTray.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Afbeelding verzenden naar &Bluetooth-apparaat... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6-windows-i586.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{454B7445-4B4C-433B-ABCD-13D52BECDC53}: NameServer = 83.149.67.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: Apache2.2 - Apache Software Foundation - E:\xampp\apache\bin\apache.exe

O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Google Update Service (gupdate1c986b29f3c8cf3) (gupdate1c986b29f3c8cf3) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PCloudd - Iomega Corp - C:\Program Files\Iomega Storage Manager\pCloudd.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--

End of file - 10176 bytes

[Asus]

Volgens mij zei ik dat ik HijackThis zelf al gerund heb. Maar goed, misschien zie ik iets over het hoofd

Dat zei je inderdaad...net zoals ik zei dat je logje door een expert wordt nagekeken...

Ik verwittig onze specialisten.

[kweezie wabbit]

Dit logje ziet er redelijk proper uit.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop CLTNetCnService

Druk op Enter.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete CLTNetCnService

Druk op Enter.

Start Hijackthis op. Ben je gebruiker van Vista of windows 7, klik dan met de rechter muisknop op de icoon en kies dan voor “Run as administrator" of "Uitvoeren als administrator".

Selecteer “Do a system scan only”.

Vink alleen de items aan die hieronder zijn genoemd:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Klik op 'Fix checked' om de items te verwijderen.

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.

3. Dubbelklik op "Combofix.exe" om de tool te starten.

4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Maak dan een nieuw logje met HijackThis en post ook het laatste logje van Malwarebytes.

29 augustus 2011 aangepast door kape

[wijksel]

Ik had Combofix al geprobeerd, maar dit levert geen succes op. Ik kreeg een BSOD en daarna startte de PC op in de speciale opstartmodus, maar vervolgens kon ik daar niet inloggen. Toen ik hem daarna opnieuw opstartte op de normale manier werkte alles wel weer naar behoren, maar ik ben huiverig om het nogmaals te proberen.

Overigens vond ik in de Windows Taakplanner een hele reeks ingeplande taken genaam AT1, AT2 etc, die een (niet bestaand) .com bestand in C:\Windows\Fonts moest uitvoeren. Ik heb ze verwijderd.

[Gast SWAT4]

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Maak dan een nieuw logje met HijackThis en post ook het laatste logje van Malwarebytes.

U heeft de demystificatie in bericht #5. niet integraal geëffectueerd.

Post in uw volgende bericht een nieuwe HJT-, MBAM-, en ComboFix Log

[Deejayke]

Sorry dat ik even inbreek in dit topic maar,

Ik ben zo iemand die tracht van wat bij te leren van de problemen die een ander heeft

Bovenstaand antwoord kan dat ook in gewoon Nederlands?

Het is juist of ik een tekst lees uit een wetboek, Ik lees het wel maar begrijp er geen snars van

zal waarschijnlijk wel mijn fout zijnxD

[Gast SWAT4]

En wat expliciteert u niet als ik vragen mag ? Afgezien de citaat en mijn beantwoording zou het toch echt flagrant moeten zijn.

Ik ben zo iemand die tracht van wat bij te leren van de problemen die een ander heeft

Waarschijnlijk indiceert u mij met degene die moeilijkheden heeft, met betrekking tot welke coherentie heeft dit te maken met mijn antwoord in bericht #7 ?

Post in uw volgende bericht een nieuwe HJT-, MBAM-, en ComboFix Log

Het lijkt mij toch zeer fabuleus dat u dit ook niet begrijpt ?

zal waarschijnlijk wel mijn fout zijnxD

Eerder een implicatie dan een fout.

30 augustus 2011 aangepast door SWAT4

[kweezie wabbit]

Plaats eerst een logje van hijackthis van na de fix en het recentste log van Malwarebytes.

Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall (met spatie voor de /)

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Download combofix dan opnieuw, schakel je virusscanner (tijdelijk) uit en voer combofix uit.

Als je hierbij foutmeldingen krijgt, post dan de volledige tekst ervan in een volgend bericht.

Als je een BSOD krijgt, geef dan ook hiervan de foutmelding, de naam van het bestand dat de BSOD veroorzaakt heeft, de foutcode en de 4 parameters.

Als het zonder fouten verloopt, plaats je het logje.