Dopo che il firewall mi ha comunicato vari tentativi di modificare svchost.exe, mi sono accorto di avere uno strano servizio tale PVhSx il quale fa partire un file nascosto nella cartella programmi che cambia sovente nome tipo qb.exe, rbioe.exe yb.exe ecc.. Suddetto file è a prova di bomba non è possibile copiarlo eliminarlo niente di niente (inutile dire di averle provate tutte, dalle sessioni in modalità provvisoria, da dos, con utilità killing...nessun risultato) dopo molti tentativi sono riuscito a cambiargli gli attributi ma non riesco a copiarlo da nessuna parte, quindi non lo posso inviare a nessuno. Ho fatto un mare di scansioni antivirus senza risultato...anche hijackthis mi dice che sono pulito...ma pulito non sono...mi sono accorto inoltre che ha creato pure un account nascosto questo è il nome "IiOXZNTLfOHKDi"....come ne esco?

GRAZIE!!!

Provato ewido http://www.ewido.net/en/download/?

Niente da fare...non ha trovato niente intanto l'account IiOXZNTLfOHKDi continua a formarsi e il file che si autorinomima è inaccessibile.....sigh!

formatta

:cry: è triste dirlo ma qui ci vuole il formattone "reale" :cry:

Salva il salvabile e cancella tutto.

Ma porc....mi sa che passo al formattone sigh....

hai seguito ciò che è scritto qui?

http://www.hwupgrade.it/forum/showthread.php?t=1142673

hai seguito ciò che è scritto qui?

http://www.hwupgrade.it/forum/showthread.php?t=1142673

Ho fatto anche di più...pensavo di avere il PC blindatissimo...così non è...mi sa che ho preso una bestia nuovissima

Se può servire ecco una chiave che sono riuscito a isolare:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PVHSX]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PVHSX\0000]
"Service"="PVhSx"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="PVhSx"

il file è incopiabile hai detto?

cioè non puoi mandarmelo?

Prova a fare una scansione con BlackLight Beta

Dopo vari tentativi sono riuscito a eliminare il file appena all'avvio...non so come (aveva come attributi nascosto e protetto inoltre era criptato, il nome era in verde) con wsf sono riuscito a cancellare il servizio PVhSx e dopo vari smanettamenti ho ripulito qualche voce di registro, non tutte, però almeno le chiavi sono vuote. Ora il fantomatico account non si forma più così come il servizio maledetto. Ho tentato di recuperare il file cancellato con ontrack senza risultato...mi piacerebbe proprio sapere cosa ho preso :confused:
Il file, quando ancora l'avevo, ho tentato di inviarlo in ogni modo ma ogni tetativo era vano. Ho perfino tentato l'accesso da un altro disco pulito con installazione nuovissima, ho attaccato a caldo (hd sata) l'hd infetto per copiare il maledetto file ma niente di niente...impossibile copiare, spostare cancellare...
Adesso dovrei essere quasi pulito, ma fino a quando non scopro i danni che posso aver subito non sono tranquillo...speriamo in sviluppi

il file era anche criptato

Questo caso è gia successo con un altro utente in passato....strano, strano veramente.

Controlla con dei tool anti-rootkit tipo:

- Blacklight Beta
- Rootkir revealer
- Gmer

Quel che mi stupisce è il fatto che cercando PVhsX non si trova una mazza, e poi il fatto che il file cambiava continuamente nome e il servizio si associava ogni volta al file. Ti allego un log di Comodo che ho salvato, il file allora si chiamava TRjHJfu.exe...altre volte Uo.exe, altre ancora Qp.exe... Ho provato anche con whois a risalire all'indirizzo IP che sembra ucraino (a dir la verità una volta me l'ha dato americano), se apri la pagina ti appare una scrittina "hello"...se sai qualcosa fammelo sapere...sono preoccupato, grazie!

Date/Time :2006-06-05 23:46:52
Severity :Medium
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.176.85:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)


Date/Time :2006-06-05 23:46:52
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.145:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)


Date/Time :2006-06-05 23:45:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:45:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 23:41:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:41:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 23:37:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:37:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 23:33:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:33:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.176.85:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)


Date/Time :2006-06-05 23:29:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:29:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.145:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)


Date/Time :2006-06-05 23:25:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:25:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 23:21:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:21:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 23:17:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 23:17:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 23:13:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:55:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.176.85:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)


Date/Time :2006-06-05 22:51:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:51:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.145:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)


Date/Time :2006-06-05 22:47:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:47:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 22:43:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:43:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 22:39:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:39:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 22:35:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:35:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.176.85:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)


Date/Time :2006-06-05 22:31:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.176.85:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:31:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.145:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)


Date/Time :2006-06-05 22:27:02
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.145:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:27:02
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 22:23:01
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:23:01
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 22:19:01
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.


Date/Time :2006-06-05 22:19:01
Severity :High
Reporter :Application Monitor
Description: Application Access Denied (svchost.exe:195.225.177.22:http(80))
Application: svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)


Date/Time :2006-06-05 22:15:01
Severity :High
Reporter :Application Behavior Analysis
Description: Suspicious Behaviour (svchost.exe)
Application: \svchost.exe
Parent: D:\Programmi\TRjHJfu.exe
Protocol: TCP Out
Remote: 195.225.177.22:http(80)
Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.

grazie mille per le informazioni.

Ogni informazione maggiore è utilissima alla risoluzione di questo strano caso ancora irrisolto a quanto ne so

Grazie a te! Il primo che scopre qualcosa posta ;)
Ciao!

mi hai detto che non hai piu quel file giusto?

Puoi mandarmi i due HIVES del sistema?

sono SYSTEM e SOFTWARE sotto la chiave di registro HKEY_LOCAL_MACHINE. Magari zippali perche potrebbero essere abbastanza grandi :D

il problema starebbe in D per cui perchè non formatti la partizione?
a meno che D non sia di sistema,ma non credo :mbe:

hai provato a terminare svchost e cancellare il file?
vabbè tanto hai risolto.gli av lo rilevavano?

svchost.exe non puoi terminarlo :)

X eraser ti ho mandato gli hives dal form di pcalsicuro
x bugs bunny e matteo:
Avrei potuto formattare D: ma il problema risiedeva anche nei servizi di win e nel suo registro non credo avrei ottenuto molto e poi vorrei sapere cosa ho beccato...almeno se ha fatto danni; nessun antivirus, antitrojan, antispyware, antimalaware e vari ha rilevato niente.
Hola!

Ciao, non so se può tornarvi utile e se c'entra, ma ti ha mai generato sto virus un file chiamato qbog1.exe? Se si, Avast lo riconosceva come Win32:Agent-Gen.

Ciao, non so se può tornarvi utile e se c'entra, ma ti ha mai generato sto virus un file chiamato qbog1.exe? Se si, Avast lo riconosceva come Win32:Agent-Gen.

Non ne ho la minima idea...purtroppo. Quel che è certo è che non ho mai fatto partire un eseguibile con quel nome.
Ciao

Guarda se con HijackThis hai questa DLL in esecuzione LinkOptimizer.dll
ho beccato una cosa simile mi creava dei file *.exe con nome random in c:\programmi\
inoltre controlla se hai pure Process.exe in c:\windows\system32\

Fammi sapere... è un gran bel bastardello sto spyware anche io ho il PC blindatissimo ed è entrato...

non è uno spyware.è un dialer.

Guarda se con HijackThis hai questa DLL in esecuzione LinkOptimizer.dll
ho beccato una cosa simile mi creava dei file *.exe con nome random in c:\programmi\
inoltre controlla se hai pure Process.exe in c:\windows\system32\

Fammi sapere... è un gran bel bastardello sto spyware anche io ho il PC blindatissimo ed è entrato...
io ho trovato un qprocess.exe. ma trovandosi anche nella cartella del service pack e avendo data di creazione maggio dell'anno scorso rpesumo sia un'altra cosa, giusto?

si credo sia normale.

non è uno spyware.è un dialer.

Ho una connessione Lan non ho potuto verificare se era un Dialer o no, ma dato che a me apriva un banner pubblicitario tutte le volte che andavo su Explorer a digitare qualcosa l'ho personalmente classificato come Spyware/Malware... ma non credo cambi qualcosa nella risoluzione del problema dire come si chiama no... :cool:

però se proprio vogliamo essere precisi in
Nod32 viene identificato come: Win32/TrojanDownloader.Agent.BQ
Avast invece sotto il nome di: Win32:Agent-gen


si QProcess.exe è un normale file ti riporto quanto ho trovato su lui

qprocess.exe (Query Process Utility) is an executable from the software Microsoft® Windows® Operating System version 5.1.2180 by Microsoft Corporation. qprocess.exe version 5.1.2180 has a file size of 20,480 bytes, and is most commonly found under the directory "system32" with a creation date of August 4, 2004. This is not a known spyware, adware, or trojan executable. Microsoft Windows is the most widely used PC operating system.

Guarda se con HijackThis hai questa DLL in esecuzione LinkOptimizer.dll
ho beccato una cosa simile mi creava dei file *.exe con nome random in c:\programmi\
inoltre controlla se hai pure Process.exe in c:\windows\system32\

Fammi sapere... è un gran bel bastardello sto spyware anche io ho il PC blindatissimo ed è entrato...

Per fortuna l'ho rimosso "a mano" quando ero infettato comunque HijackThis non mi segnalava nessun processo strano e non ho il file process.exe...chissà cos'era
hola!

Ottimo, thnx Bugs e tratto99

Dal vecchio log di comodo risultano questi strani IP 195.225.176.85 195.225.177.145 e altri. Ho rifatto una ricerca whois che porta dritta dritta a questi siti:
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: NS-EXT.ISC.ORG
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Se si tenta il collegamento spunta un certificato (non valido) da scaricare....mi sa che è la chiave di volta....resta da capire come è entrato nel mio PC. Se qualcuno (leggi eraser :p ) avesse un pc da immolare :D mi sa che si svelerebbe l'arcano...

chiudo uno dei due thread, tanto stiamo parlando dello stesso argomento :)

continuiamo qui http://www.hwupgrade.it/forum/showthread.php?t=1218966 :)