Jump to content

Build Theme!
  •  
  • Unreplied Topics
  • Downloads
  • Infected?

WE'RE SURE THAT YOU'LL LOVE US!

Hey there! :wub: Looks like you're enjoying the discussion, but you're not signed up for an account. When you create an account, we remember exactly what you've read, so you always come right back where you left off. You also get notifications, here and via email, whenever new posts are made. You can like posts to share the love. :D Join 93100 other members! Anybody can ask, anybody can answer. Consistently helpful members may be invited to become staff. Here's how it works. Virus cleanup? Start here -> Malware Removal Forum.

Try What the Tech -- It's free!


Photo

Multiple infections including conhoy.exe

Started by Ztruker , Mar 27 2022 11:09 AM

  • This topic is locked This topic is locked
36 replies to this topic

#31 Ztruker

Ztruker

    WTT Technical Elder

  • Tech Team
  • 8,292 posts
  • Interests:Helping people fix MS Windows related computer problems of all kinds.

    Waking each morning to see the green side of the Earth!

Posted 30 March 2022 - 11:03 AM

Finally finished, here is report after cleanup.

 

Program            : RogueKiller Anti-Malware
Version            : 15.4.0.0
x64                : Yes
Program Date       : Mar  7 2022
Location           : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium            : No
Company            : Adlice Software
Website            : https://www.adlice.com/
Contact            : https://adlice.com/contact/
Website            : https://adlice.com/d...ad/roguekiller/
Operating System   : Windows 7 (6.1.7601 Service Pack 1) 64-bit
64-bit OS          : Yes
Startup            : 0
WindowsPE          : No
User               : Marilyn
User is Admin      : Yes
Date               : 2022/03/30 16:59:48
Type               : Removal
Aborted            : No
Scan Mode          : Standard
Duration           : 6900
Found items        : 19
Total scanned      : 61981
Signatures Version : 20220328_121642
Truesight Driver   : Yes
Updates Count      : 2
Arguments          : -minimize
 
************************* Warnings *************************
(31:2676) C:\Windows\System32, LONG_FOLDER_SCAN
  [+] path    : C:\Windows\System32
  [+] message : LONG_FOLDER_SCAN
  [+] int1    : 31
  [+] int2    : 2676
 
 
************************* Removal *************************
[Tr.Gen (Malicious)] conhoy.exe -- %SystemRoot%\Temp\conhoy.exe -> Killed [Tree]
  [+] scan_what       : 1
  [+] vendors         : Tr.Gen
  [+] Name            : conhoy.exe
  [+] value           : %SystemRoot%\Temp\conhoy.exe
  [+] Type            : Process
  [+] file_hash       : 8B7963CB577113F618ED39F5D2F13BBDC34A5000B454B3FEA6082F0C828EE683
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 0
  [+] status          : 3
  [+] status_str      : Killed [Tree]
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Gen (Malicious)] conhoy.exe -- %SystemRoot%\Temp\conhoy.exe -> 
  [+] scan_what       : 1
  [+] vendors         : Tr.Gen
  [+] Name            : conhoy.exe
  [+] value           : %SystemRoot%\Temp\conhoy.exe
  [+] Type            : Process
  [+] file_hash       : 8B7963CB577113F618ED39F5D2F13BBDC34A5000B454B3FEA6082F0C828EE683
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 1
  [+] status          : 340363200
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Ursu (Malicious)] rundll32.exe -- %SystemRoot%\debug\item.dat -> Killed [Tree]
  [+] scan_what       : 1
  [+] vendors         : Tr.Ursu
  [+] Name            : rundll32.exe
  [+] value           : %SystemRoot%\debug\item.dat
  [+] Type            : Process
  [+] file_hash       : 1E8441F0D32D3854E0B3801063F6015A9F09637D77B714F8E58FB8C198693A51
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 2
  [+] status          : 3
  [+] status_str      : Killed [Tree]
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Ursu (Malicious)] rundll32.exe -- %SystemRoot%\debug\item.dat -> 
  [+] scan_what       : 1
  [+] vendors         : Tr.Ursu
  [+] Name            : rundll32.exe
  [+] value           : %SystemRoot%\debug\item.dat
  [+] Type            : Process
  [+] file_hash       : 1E8441F0D32D3854E0B3801063F6015A9F09637D77B714F8E58FB8C198693A51
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 3
  [+] status          : 340355088
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Miner.Gen (Malicious)] lsma22.exe -- %SystemRoot%\inf\aspnet\lsma22.exe -> Killed [Tree]
  [+] scan_what       : 1
  [+] vendors         : Miner.Gen
  [+] Name            : lsma22.exe
  [+] value           : %SystemRoot%\inf\aspnet\lsma22.exe
  [+] Type            : Process
  [+] file_hash       : BA1E190E87D89FF7943CCA039F357CA8E7C37255D51ACCF49393E2F9119DEC04
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 4
  [+] status          : 3
  [+] status_str      : Killed [Tree]
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Ursu (Malicious)] item.dat -- %SystemRoot%\debug\item.dat -> 
  [+] scan_what       : 2
  [+] vendors         : Tr.Ursu
  [+] Name            : item.dat
  [+] value           : %SystemRoot%\debug\item.dat
  [+] Type            : DLL
  [+] file_hash       : 1E8441F0D32D3854E0B3801063F6015A9F09637D77B714F8E58FB8C198693A51
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 5
  [+] status          : 179689248
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Gen (Malicious)] \MicrosoftsWindowsy -- c:\windows\temp\conhoy.exe -> ERROR [80070002]
  [+] scan_what       : 0
  [+] vendors         : Tr.Gen
  [+] Name            : \MicrosoftsWindowsy
  [+] value           : c:\windows\temp\conhoy.exe
  [+] Type            : Task
  [+] file_hash       : 8B7963CB577113F618ED39F5D2F13BBDC34A5000B454B3FEA6082F0C828EE683
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 6
  [+] status          : 4
  [+] status_str      : ERROR [80070002]
  [+] removed         : No
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Ursu (Malicious)] \Mysa1 -- rundll32.exe (c:\windows\debug\item.dat,ServiceMain aaaa) -> ERROR [80070002]
  [+] scan_what       : 0
  [+] vendors         : Tr.Ursu
  [+] Name            : \Mysa1
  [+] value           : rundll32.exe (c:\windows\debug\item.dat,ServiceMain aaaa)
  [+] Type            : Task
  [+] file_hash       : F5691B8F200E3196E6808E932630E862F8F26F31CD949981373F23C9D87DB8B9
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 7
  [+] status          : 4
  [+] status_str      : ERROR [80070002]
  [+] removed         : No
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Miner.Gen (Malicious)] \oka -- c:\windows\inf\aspnet\lsma22.exe -> ERROR [80070002]
  [+] scan_what       : 0
  [+] vendors         : Miner.Gen
  [+] Name            : \oka
  [+] value           : c:\windows\inf\aspnet\lsma22.exe
  [+] Type            : Task
  [+] file_hash       : BA1E190E87D89FF7943CCA039F357CA8E7C37255D51ACCF49393E2F9119DEC04
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 8
  [+] status          : 4
  [+] status_str      : ERROR [80070002]
  [+] removed         : No
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.Slimware (Potentially Malicious)] \{F49F3141-310E-4D17-964E-8CBAEDD01415} -- C:\Windows\system32\pcalua.exe (-a "C:\Program Files (x86)\DriverUpdate\UninstallStub.exe" -c --log {36488064-fdb3-451c-923b-fdd9d69c2554}) -> ERROR [80070002]
  [+] scan_what       : 0
  [+] vendors         : PUP.Slimware
  [+] Name            : \{F49F3141-310E-4D17-964E-8CBAEDD01415}
  [+] value           : C:\Windows\system32\pcalua.exe (-a "C:\Program Files (x86)\DriverUpdate\UninstallStub.exe" -c --log {36488064-fdb3-451c-923b-fdd9d69c2554})
  [+] Type            : Task
  [+] file_hash       : 7C0ABEB1D649BC7B5E0464F6E061A17D075F14785DC50F4C979DD23210106C0B
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 9
  [+] status          : 4
  [+] status_str      : ERROR [80070002]
  [+] removed         : No
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.WinZipDiskTools (Potentially Malicious)] HKEY_LOCAL_MACHINE\Software\Nico Mak Computing --  -> Deleted
  [+] scan_what       : 2
  [+] vendors         : PUP.WinZipDiskTools
  [+] Name            : HKEY_LOCAL_MACHINE\Software\Nico Mak Computing
  [+] Type            : Registry
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 10
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.Auslogics (Potentially Malicious)] HKEY_USERS\.DEFAULT\Software\Auslogics --  -> Deleted
  [+] scan_what       : 2
  [+] vendors         : PUP.Auslogics
  [+] Name            : HKEY_USERS\.DEFAULT\Software\Auslogics
  [+] Type            : Registry
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 11
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.Auslogics (Potentially Malicious)] HKEY_USERS\S-1-5-18\Software\Auslogics --  -> Deleted
  [+] scan_what       : 2
  [+] vendors         : PUP.Auslogics
  [+] Name            : HKEY_USERS\S-1-5-18\Software\Auslogics
  [+] Type            : Registry
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 12
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.Gen1 (Potentially Malicious)] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ShopAtHome.com Helper --  -> Deleted
  [+] scan_what       : 2
  [+] vendors         : PUP.Gen1
  [+] Name            : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ShopAtHome.com Helper
  [+] Type            : Registry
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 13
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Ursu (Malicious)] item.dat -- %SystemRoot%\debug\item.dat -> Removed at reboot [5]
  [+] scan_what       : 1
  [+] vendors         : Tr.Ursu
  [+] Name            : item.dat
  [+] value           : %SystemRoot%\debug\item.dat
  [+] Type            : File/Folder
  [+] file_hash       : 1E8441F0D32D3854E0B3801063F6015A9F09637D77B714F8E58FB8C198693A51
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 14
  [+] status          : 5
  [+] status_str      : Removed at reboot [5]
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Miner.Gen (Malicious)] aspnet -- %SystemRoot%\inf\aspnet -> Removed at reboot [91]
  [+] scan_what       : 1
  [+] vendors         : Miner.Gen
  [+] Name            : aspnet
  [+] value           : %SystemRoot%\inf\aspnet
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 15
  [+] status          : 5
  [+] status_str      : Removed at reboot [91]
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[Tr.Gen (Malicious)] conhoy.exe -- %SystemRoot%\Temp\conhoy.exe -> Deleted
  [+] scan_what       : 1
  [+] vendors         : Tr.Gen
  [+] Name            : conhoy.exe
  [+] value           : %SystemRoot%\Temp\conhoy.exe
  [+] Type            : File/Folder
  [+] file_hash       : 8B7963CB577113F618ED39F5D2F13BBDC34A5000B454B3FEA6082F0C828EE683
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 2
  [+] id              : 16
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.ByteFence (Potentially Malicious)] ByteFence Anti-Malware.lnk -- %_Marilyn_appdata%\Microsoft\Windows\Start Menu\ByteFence\ByteFence Anti-Malware.lnk (lnk => C:\Program Files\ByteFence\ByteFence.exe []) -> Deleted
  [+] scan_what       : 1
  [+] vendors         : PUP.ByteFence
  [+] Name            : ByteFence Anti-Malware.lnk
  [+] value           : %_Marilyn_appdata%\Microsoft\Windows\Start Menu\ByteFence\ByteFence Anti-Malware.lnk (lnk => C:\Program Files\ByteFence\ByteFence.exe [])
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 17
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
[PUP.ShopAtHome (Potentially Malicious)] ShopAtHome -- %_Marilyn_appdata%\ShopAtHome -> Deleted
  [+] scan_what       : 1
  [+] vendors         : PUP.ShopAtHome
  [+] Name            : ShopAtHome
  [+] value           : %_Marilyn_appdata%\ShopAtHome
  [+] Type            : File/Folder
  [+] file_vtscore    : 0
  [+] file_vttotal    : 0
  [+] is_malicious    : Yes
  [+] detection_level : 3
  [+] id              : 18
  [+] status          : 3
  [+] status_str      : Deleted
  [+] removed         : Yes
  [+] status_choice   : 2
  [+] malpe_score     : 0
 
===============================================================
 
Task Scheduler is clean, conhoy.exe is not in C:\Windows\Temp. I'm going to do a normal boot and check them again, then enable a network connection and see what happens.

Edited by Ztruker, 30 March 2022 - 11:06 AM.

Rich
 

Die with memories, not dreams. – Unknown

    Advertisements

Register to Remove

#32 Ztruker

Ztruker

    WTT Technical Elder

  • Tech Team
  • 8,292 posts
  • Interests:Helping people fix MS Windows related computer problems of all kinds.

    Waking each morning to see the green side of the Earth!

Posted 30 March 2022 - 11:16 AM

As soon as I connect to the network, conhoy.exe was back, wmia.bat was back and that Task Scheduler task were back. RogueKiller didn't do anything for me.

 

This has gone on too long, time to nuke it and start over. I'm going to try Windows 10 Home first. Wish me luck.

 

I'm sorry to have wasted your time Juliet but I can't spend any more time on this, it's been almost a week now.

 

I really appreciate the help you've given me. I learned a lot though I don' t understand the magic you do to go from a FRST scan to a FRST fix list. 


Edited by Ztruker, 30 March 2022 - 11:17 AM.

Rich
 

Die with memories, not dreams. – Unknown

#33 Juliet

Juliet

    SuperHelper

  • Retired Classroom Teacher
  • 7,686 posts
  • Interests:Boo!....
  • MVP

Posted 30 March 2022 - 11:21 AM

It was my wish to do better then this.

Let me know how you make out.
Myself, wouldn't use this computer for anything sensitive.

Your very welcome.
Sometimes the angels fly close enough to you that you can hear the flutter of their wings...


MS - MVP Consumer Security 2009 - 2016, WI-MVP 2016-17
Antivirus Scanners Online Scanners Firewalls Slow Computer??

#34 Ztruker

Ztruker

    WTT Technical Elder

  • Tech Team
  • 8,292 posts
  • Interests:Helping people fix MS Windows related computer problems of all kinds.

    Waking each morning to see the green side of the Earth!

Posted 30 March 2022 - 11:30 AM

I just did a diskpart, sel disk 0 and clean then installing Win 10 to a unallocated drive. That should be okay.

 

I'll post install results, thanks

 

Edit: Win 10 install completed okay, no problems that I can see. PC looks clean to me. I'm going to run Malwarebytes with rootkit enabled and see what it shows.


Edited by Ztruker, 30 March 2022 - 12:14 PM.

Rich
 

Die with memories, not dreams. – Unknown

#35 Juliet

Juliet

    SuperHelper

  • Retired Classroom Teacher
  • 7,686 posts
  • Interests:Boo!....
  • MVP

Posted 30 March 2022 - 03:39 PM

My fingers are crossed.
Sometimes the angels fly close enough to you that you can hear the flutter of their wings...


MS - MVP Consumer Security 2009 - 2016, WI-MVP 2016-17
Antivirus Scanners Online Scanners Firewalls Slow Computer??

#36 Ztruker

Ztruker

    WTT Technical Elder

  • Tech Team
  • 8,292 posts
  • Interests:Helping people fix MS Windows related computer problems of all kinds.

    Waking each morning to see the green side of the Earth!

Posted 31 March 2022 - 12:50 PM

Now that it's running okay I ordered 4GB of ram (2x2GB) to replace the 3GB and a replacement 250Gb 7200RPM drive to replace the 250GB 5400 RPM drive. That should make a difference in performance for the woman who owns it. It will be my gift to her for April fools day  :)


Rich
 

Die with memories, not dreams. – Unknown

#37 Juliet

Juliet

    SuperHelper

  • Retired Classroom Teacher
  • 7,686 posts
  • Interests:Boo!....
  • MVP

Posted 31 March 2022 - 03:37 PM

Wowssa. great gifts!

 

We all need good friends like you.

 

Stay safe.


Sometimes the angels fly close enough to you that you can hear the flutter of their wings...


MS - MVP Consumer Security 2009 - 2016, WI-MVP 2016-17
Antivirus Scanners Online Scanners Firewalls Slow Computer??

Related Topics

Back to Virus, Spyware & Malware Removal · Next Unread Topic →

2 user(s) are reading this topic

0 members, 2 guests, 0 anonymous users

  1. What the Tech
  2. Spyware / Malware / Virus Removal
  3. Virus, Spyware & Malware Removal
  4. Privacy Policy
  5. Terms of Use ·