dwn.exe & conhost.exe sospetti

[sheridans]

Salve a tutti ragazzi, mi sono imbattuto in un problema piu grande di me, o almeno credo sia un problema

Ieri avira mi ha segnalato un vrus su un dowload che stavo effettuando, ma ha dato il messaggo d eliminazione di tale virus e quindi non sono stato li ad approfondire.
Oggi accendendo il pc mi dava un errore di caricamento del file csrss.exe appena si avvia windows dicendo di risolvere il problema o cancellare la voce dal registro, cosi ho iniziato a gironzolare un po per il sistema e capire cosa poteva essere visto che tale file nel taskmanager era regolarmente in esecuzione e bensi ne ho trovati due invece di uno come al solito, e insiema a questo file mi sono apparite altre due voci mai viste prima nel task, dwn.exe e conhost.exe.
Mi sono messo al lavoro e sono riuscito un po a bloccare l'esecuzione di questi file con la conseguenza che se li elimino non funziona piu la connessione internet qualsiasi cosa cerco di aprire mi dice che il server proxy di firefox ha rifiutato la connessione.

I file indicati sopra li ho trovati tutti il file csrss.exe e collocato nella Temp al seguente percorso C:\Documents and Settings\Utente\Impostazioni locali\Temp mentre il dwn.exe si trova in dati e applicazioni al seguente indirizzo C:\Documents and Settings\Utente\Dati applicazioni accompagnato da un fle che si autoricrea ad ogni eliminazione FF46.81E, ed in piu quando ho cercato di fare un ripristino di sistema l'ho trovato disattivato, probabilmente e stato il virus cosi da non avere un punto indietro da selezionare, ora con il vostro aiuto gentilmente vorrei capire come posso risolvere questo problema senza formattazione perche ultimamente mi manca il tempo materiale per passarci molte ore al pc per salvarmi tutto il materiale e rimettere il sistema da capo

Scusate il lungo post ma ho preferito scrivere tutto quello che ero a conoscenza per evitare perdite di tempo e allungamento di questo calvario.

Io come sistema operativo uso XP con service pack 3 incorporato.

questo e lo scan con HijackThis

**************************************************
LOG RIMOSSO
I LOG VANNO ALLEGATI IN FORMATO .TXT COME DA REGOLAMENTO

Lo Staff di SWZone
**************************************************

in piu in questo preciso istante che modifco il post ho scoperto che mi e stata rubata la pass e l'account msn e facebook, quind suppongo sia un intrusione

[vicky67]

ciao sheridans
per regolamento i log non vanno incollati ma allegati tramite gestione allegati.

Il pc è infetto.
Scarica
• Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log" che va salvato dopo l'eliminazione degli oggetti e non prima).

Al termine riallega anche un log di hijackthis.

Log da allegare:malwarebytes-hijackthis

[sheridans]

scusamii riguardo il log ma non sono riuscito a capire come allegare il text e l'ho scrtto nel post, riguardo alla pulizia con malwarebites, io gia ho provato a farla mi elimina tutte le minacce comprese quelle segnalate, ma il problema avviene dopo, perche a pulizia completata non mi funziona piu internet e per quello che ho dovuto ripristnare tutti i file che lo stesso software aveva messo in quarantena, altrimenti linea assente.

Quindi significa che se effettuo la pulizia non posso piu comunicare con voi, visto che ho sempre lo stesso errore da tutti i browser : il server proxy a cui fa riferimento il browser ha rifiutato la connessione.

anzi ora mi salvo i file sulla pennina e poi avvio la pulizia cosi mi segno gli errori precis che da ogni singolo browser in modo da farveli leggere

[frabi]

scusamii riguardo il log ma non sono ruscito a capire come allegare il text .

A me sembra sia spiegato piuttosto chiaramente, bastava, come è stato detto, leggere il regolamento della sezione.
http://forum.swzone.it/sicurezza/525...ijackthis.html

[sheridans]

magari puo esserlo per te che sei smanettone del forum io mi ci sono trovato per sbaglio qui trovando una soluzone con google non siamo tutti geni purtroppo nella vita, ognuno ha i suoi limiti

[frabi]

Allora, non si tratta di essere dei geni, e non lo sono certo io, ma di leggere le istruzione corredate anche da immagini.
Altra cosa: ti invito a leggere TUTTE le regole del forum che trovi all'inizio di ogni sezione o nella mia firma, e NON quotare inutilmente soprattutto un post sopra il tuo.

GRAZIE!

[sheridans]

ok cerchero dii fare piu attenzone

allora questo e il log d malwarebytes riguardo ai fle infetti che trova, me li rimuove tutti regolarmente senza problema ma poi questi file sopratutto il conhost.exe annulla qualsiasi tipo di connessione a internet, senza di lui avviato non si naviga, probabilmente il virus avra riscritto svariate chiavi di registro.


EDIT:questo invece e il log dopo la pulizia effettuata sempre con malwarebytes con tali conseguenze:

Errore dopo la pulizia di firefox:
Connessione rifiutata dal server proxy
Firefox è configurato per utilizzare un server proxy che sta rifiutando le connessioni.
* Verificare la correttezza delle impostazioni del proxy.
* Contattare l'amministratore di rete per verificare se il server proxy è funzionante.

Errore dopo la pulizia con safari:
Safari non può aprire la pagina.
Safari non può aprire la pagina “http://www.apple.com/it/startpage/”.
L'errore è: “Si è verificato un problema di comunicazione con il server proxy web (HTTP).” (CFURLErrorDomain:306)
Scegli Aiuto > Comunica problemi ad Apple, annota il numero dell'errore e descrivi ciò che hai fatto prima di visualizzare questo messaggio.

Errore dopo pulizia con internet:

* Errore connesione rete sconoscuto.

Se io tra tutti i file che ha eliminato la pulizia di malwarebytes, rimetto nella sua posizione originale il file conhost.exe e lo avvio internet rifunziona regolarmente, ma questo stesso fle ricrea tutti gl'altri ovviamente.

[vicky67]

Apri firefox-strumenti-opzioni-avanzate-impostazioni e metti la spunta solo a utilizza le impostazioni proxy del sistema.
Togli il web proxy anche su safari.(preferenze-avanzate-modifica impostazioni-su configura proxy
metti nessun proxy.
Poi
• disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma incolla nello spazio bianco di esegui questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[sheridans]

ok provo con i tuoi consigli vicky e vi lascio risposta dell'esito

EDIT: allora ragazzi sembra sia quasi fatta il vostro supporto e stato piu che utile, prima combofix si bloccava e mi dava questo messaggio:

combofix ha rilevato che questa macchina non ha la "console di ripristino di emergenza"
sarebbe nel tuo interesse installarla.vuoi farlo ora ??
*nota* cio richiede una connessione attiva ad internet.

poi ho riavviato il pc ed ho riprovato a riavviare combo fix, mi ha fatto il download dei file che per lui erano assenti mi ha corretto gli errori, ha rimosso i virus e ora anche internet rifunzona regolarmente.
L'unico problema che mi e rimasto e le schermate di chiusura del pc e apertura del taskmanager, non sono piu quelli con la solita skin di sistema, ma sono stile wndows 98 non capisco perche, mentre il taskmanager prima bastava aprirlo e ti appariva sul desktop, ora invece apre una finestra popup con le opzioni su cosa puoi fare. credo che abbia toccatato dei parametri in windowsNT e sul winlogon.

vi allego il log di combo fix

[vicky67]

Dal log di combofix risulta tutto a posto.
Se sono rimasti dei problemi è perchè molto probabilmente sono state eliminate alcune chiavi del registro ritenute infette da combofix.

Per i 2 problemi che ti sono rimasti puoi risolverli nell'apposita sezione windows ripristinando i temi di default di windows xp e reinstallando il task manager.

Per pulire il sistema
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
se al termine della scansione richiedesse un riavvio cliccare su yes,altrimenti riavviare manualmente.


Scarica OTC by OldTimer sul desktop: (serve per eliminare correttamente Combofix)
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

[sheridans]

grazie mille di tutto vicky sei stato di aiuto fondamentale

solo tfc non posso usarlo non so perche ma da quando ho l pc ogni volta che lo uso va in schermata blu e si riavvia tutto, l'ha sempre fatto sto programma

p.s non sono riuscito a trovare la sezione che mi hai indicato dei temi di windows e il taskmanager, sotto che voce li trovo ??

[vicky67]

ciao sheridans
Non c'è una sezione del task manager e dei temi.C'è una sezione Sistemi operativi Windows dove esporre il tuo problema inserendo un titolo idoneo.

[sheridans]

a ok o pensavo ti riferivi a una sezione

comunque vsto che cii sono da eri quando ho usato i tool suggeriti da te, dopo il riavvio mi ha ripulito tutte le tracce residue, ma ora ogni volta che accendo il pc mi chiede sempre se avviare windows regolarmente o ultima confgurazione sicuramente funzonante, esce sempre ad ogni accensione, cosa puo essere ??

oltre questo ho anche notato che il pc e rallentato di brutto, funziona tutto regolarmente, ma sembra che porti un macigno sulle spalle che non riesce a reggere anche nelle piu stupide operazioni quotidiane, come aprire una foto, prima era istantaneo ora ci mette quei 4 o 5 secondi prima di visualizzarle

[vicky67]

Ma i problemi non erano solo della chiusura e del taskmanager?
Se si sono aggiunti anche altri a questo punto se non vuoi formattare fai una riparazione del sistema.Non perdi niente tranne aggiornamenti windows e service pack eventualmente installati.
Accedi dal bios e fai partire il pc da cdrom di installazione, eseguira' il procedimento come da installazione, alla fine ti chiedera' se vuoi riparare l'installazione esistente, dovrai premere R e seguire la procedura.....

[sheridans]

non posso ripristinare, perche quando ho preso il vrus, mi aveva disattivato il riprestino di sistema, e non ho piu punti di ripristino prima del virus