wijksel

Ik ben het virus in die zin voorlopig even te slim af geweest door zelf een bestand conhost.exe aan te maken en die rechten te weigeren voor SYSTEEM. Vooralsnog lijkt het erop alsof deze nu niet overschreven kan worden. Maar goed, het is geen structurele oplossing natuurlijk, mijn systeem is nog steeds geinfecteerd. Nu even kijken of OTL iets zegt.

Neen, maar MBAM geeft ook geen gevonden malware... terwijl ik het bestandje elke keer voor mijn ogen aangemaakt zie worden.

Ik krijg inderdaad elke keer een BSOD als ik Combofix start, ook als ik het doe in veilige modus met netwerkopties. De eerste keer zag ik een foutmelding IRQL_LESS_OR_EQUAL, de keer daarop geen specifieke foutmelding. Het ging te snel om de parameters te noteren. conhost.exe wordt overigens niet gestart in veilige modus.

Ik had Combofix al geprobeerd, maar dit levert geen succes op. Ik kreeg een BSOD en daarna startte de PC op in de speciale opstartmodus, maar vervolgens kon ik daar niet inloggen. Toen ik hem daarna opnieuw opstartte op de normale manier werkte alles wel weer naar behoren, maar ik ben huiverig om het nogmaals te proberen. Overigens vond ik in de Windows Taakplanner een hele reeks ingeplande taken genaam AT1, AT2 etc, die een (niet bestaand) .com bestand in C:\Windows\Fonts moest uitvoeren. Ik heb ze verwijderd.

Volgens mij zei ik dat ik HijackThis zelf al gerund heb. Maar goed, misschien zie ik iets over het hoofd: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 12:34:04, on 29-8-2011 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Logitech\SetPoint\LBTWiz.exe C:\Windows\System32\rundll32.exe C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\RBTray\RBTray.exe C:\Program Files\Apoint2K\ApMsgFwd.exe C:\Program Files\Apoint2K\Apntex.exe C:\Users\Marc\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\taskmgr.exe C:\Windows\System32\mobsync.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Windows\system32\rundll32.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Marc\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe C:\Program Files\Altap Salamander\SALAMAND.exe C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! UK R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! UK R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [setPanel] C:\Acer\APanel\APanel.cmd O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [bluetooth Connection Assistant] LBTWIZ.EXE -silent O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [b2C_AGENT] C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" O4 - HKCU\..\Run: [QuickGammaLoader] C:\Program Files\QuickGamma\QuickGammaLoader.exe O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE') O4 - Startup: RBTray.lnk = C:\Program Files\RBTray\RBTray.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Afbeelding verzenden naar &Bluetooth-apparaat... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} (Java Plug-in 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6-windows-i586.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{454B7445-4B4C-433B-ABCD-13D52BECDC53}: NameServer = 83.149.67.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: Apache2.2 - Apache Software Foundation - E:\xampp\apache\bin\apache.exe O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: Google Update Service (gupdate1c986b29f3c8cf3) (gupdate1c986b29f3c8cf3) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe O23 - Service: mysql - Unknown owner - E:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PCloudd - Iomega Corp - C:\Program Files\Iomega Storage Manager\pCloudd.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 10176 bytes

Hallo, In dit topic: http://www.pc-helpforum.be/f182/pc-loopt-dikwijls-vast-35980/ wordt een poging gedaan het bestand conhost.exe te verwijderen. Het topic wordt afgesloten met de melding dat het waarschijnlijk is opgelost, maar dat lijkt me onzinnig. Het enige wat er uiteindelijk gedaan is is het bestand toelaten in de virusscanner die het terecht aanmerkte als malware. Conhost.exe is een bestand dat in sommige windows installaties thuishoort, maar in dit geval gaat het om een Bitcoin Miner die zich maskeert als een legitiem windows bestand. Het gebruikt regelmatig meer dan 90% CPU en ik heb geen idee wat voor schadelijke dingen het in die tijd doet. Ik krijg het met geen mogelijkheid weg. Malwarbytes, HijackThis, ESET... allemaal krijgen ze het niet weg. Deze conhoste.exe draait in de Temp directory (dat niemand dat hier verdacht vond vind ik opmerkelijk) en wordt blijkbaar elke keer opnieuw aangemaakt door een ander proces. Als je het verwijdert keert het weer terug. Ik kan niet achterhalen welk ander proces dat is, alles lijkt clean. Heeft iemand dit al voor elkaar gekregen?