|
|||||||
|
|
|
 |
|
|
Strumenti |
07-06-2006, 21:57
|
#1 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Che bestia ho preso???
Dopo che il firewall mi ha comunicato vari tentativi di modificare svchost.exe, mi sono accorto di avere uno strano servizio tale PVhSx il quale fa partire un file nascosto nella cartella programmi che cambia sovente nome tipo qb.exe, rbioe.exe yb.exe ecc.. Suddetto file è a prova di bomba non è possibile copiarlo eliminarlo niente di niente (inutile dire di averle provate tutte, dalle sessioni in modalità provvisoria, da dos, con utilità killing...nessun risultato) dopo molti tentativi sono riuscito a cambiargli gli attributi ma non riesco a copiarlo da nessuna parte, quindi non lo posso inviare a nessuno. Ho fatto un mare di scansioni antivirus senza risultato...anche hijackthis mi dice che sono pulito...ma pulito non sono...mi sono accorto inoltre che ha creato pure un account nascosto questo è il nome "IiOXZNTLfOHKDi"....come ne esco?
GRAZIE!!!
__________________
 "...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
07-06-2006, 22:09
|
#2 |
|
Member
Iscritto dal: Nov 2005
Messaggi: 120
|
Provato ewido http://www.ewido.net/en/download/?
__________________
Notebook Acer Travelmate 6592G |
|
|
|
07-06-2006, 23:08
|
#3 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Niente da fare...non ha trovato niente intanto l'account IiOXZNTLfOHKDi continua a formarsi e il file che si autorinomima è inaccessibile.....sigh!
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
07-06-2006, 23:42
|
#4 |
|
Member
Iscritto dal: Aug 2005
Messaggi: 158
|
formatta
|
|
|
|
08-06-2006, 00:12
|
#5 |
|
Senior Member
Iscritto dal: Jun 2005
Città: Pistoia
Messaggi: 445
|
 è triste dirlo ma qui ci vuole il formattone "reale" Salva il salvabile e cancella tutto.
__________________
"L'apprendere molte cose non insegna l'intelligenza" IO FACCIO IL TIFO PER GAIA 
|
|
|
|
08-06-2006, 00:40
|
#6 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Ma porc....mi sa che passo al formattone sigh....
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
08-06-2006, 11:09
|
#7 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
08-06-2006, 13:02
|
#8 | |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quote:
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
|
08-06-2006, 13:42
|
#9 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Se può servire ecco una chiave che sono riuscito a isolare:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PVHSX] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PVHSX\0000] "Service"="PVhSx" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="PVhSx"
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
08-06-2006, 13:46
|
#10 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
il file è incopiabile hai detto?
cioè non puoi mandarmelo? Prova a fare una scansione con BlackLight Beta
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
08-06-2006, 14:20
|
#11 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Dopo vari tentativi sono riuscito a eliminare il file appena all'avvio...non so come (aveva come attributi nascosto e protetto inoltre era criptato, il nome era in verde) con wsf sono riuscito a cancellare il servizio PVhSx e dopo vari smanettamenti ho ripulito qualche voce di registro, non tutte, però almeno le chiavi sono vuote. Ora il fantomatico account non si forma più così come il servizio maledetto. Ho tentato di recuperare il file cancellato con ontrack senza risultato...mi piacerebbe proprio sapere cosa ho preso
 Il file, quando ancora l'avevo, ho tentato di inviarlo in ogni modo ma ogni tetativo era vano. Ho perfino tentato l'accesso da un altro disco pulito con installazione nuovissima, ho attaccato a caldo (hd sata) l'hd infetto per copiare il maledetto file ma niente di niente...impossibile copiare, spostare cancellare... Adesso dovrei essere quasi pulito, ma fino a quando non scopro i danni che posso aver subito non sono tranquillo...speriamo in sviluppi
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
08-06-2006, 14:22
|
#12 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
il file era anche criptato
Questo caso è gia successo con un altro utente in passato....strano, strano veramente. Controlla con dei tool anti-rootkit tipo: - Blacklight Beta - Rootkir revealer - Gmer
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
08-06-2006, 14:39
|
#13 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Quel che mi stupisce è il fatto che cercando PVhsX non si trova una mazza, e poi il fatto che il file cambiava continuamente nome e il servizio si associava ogni volta al file. Ti allego un log di Comodo che ho salvato, il file allora si chiamava TRjHJfu.exe...altre volte Uo.exe, altre ancora Qp.exe... Ho provato anche con whois a risalire all'indirizzo IP che sembra ucraino (a dir la verità una volta me l'ha dato americano), se apri la pagina ti appare una scrittina "hello"...se sai qualcosa fammelo sapere...sono preoccupato, grazie!
Date/Time :2006-06-05 23:46:52 Severity :Medium Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.176.85:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Date/Time :2006-06-05 23:46:52 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.145:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Date/Time :2006-06-05 23:45:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:45:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 23:41:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:41:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 23:37:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:37:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 23:33:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:33:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.176.85:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Date/Time :2006-06-05 23:29:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:29:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.145:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Date/Time :2006-06-05 23:25:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:25:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 23:21:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:21:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 23:17:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 23:17:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 23:13:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:55:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.176.85:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Date/Time :2006-06-05 22:51:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:51:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.145:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Date/Time :2006-06-05 22:47:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:47:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 22:43:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:43:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 22:39:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:39:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 22:35:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:35:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.176.85:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Date/Time :2006-06-05 22:31:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.176.85:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:31:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.145:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Date/Time :2006-06-05 22:27:02 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.145:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:27:02 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 22:23:01 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:23:01 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 22:19:01 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory. Date/Time :2006-06-05 22:19:01 Severity :High Reporter :Application Monitor Description: Application Access Denied (svchost.exe:195.225.177.22:http(80)) Application: svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Date/Time :2006-06-05 22:15:01 Severity :High Reporter :Application Behavior Analysis Description: Suspicious Behaviour (svchost.exe) Application: \svchost.exe Parent: D:\Programmi\TRjHJfu.exe Protocol: TCP Out Remote: 195.225.177.22:http(80) Details: D:\Programmi\TRjHJfu.exe modified the memory of \svchost.exe in memory.
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
08-06-2006, 14:48
|
#14 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
grazie mille per le informazioni.
Ogni informazione maggiore è utilissima alla risoluzione di questo strano caso ancora irrisolto a quanto ne so
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
08-06-2006, 14:51
|
#15 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
Grazie a te! Il primo che scopre qualcosa posta
 Ciao!
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
08-06-2006, 16:17
|
#16 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
mi hai detto che non hai piu quel file giusto?
Puoi mandarmi i due HIVES del sistema? sono SYSTEM e SOFTWARE sotto la chiave di registro HKEY_LOCAL_MACHINE. Magari zippali perche potrebbero essere abbastanza grandi 
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
08-06-2006, 16:31
|
#17 |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
il problema starebbe in D per cui perchè non formatti la partizione?
a meno che D non sia di sistema,ma non credo 
__________________
Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB |
|
|
|
08-06-2006, 17:50
|
#18 |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
hai provato a terminare svchost e cancellare il file?
vabbè tanto hai risolto.gli av lo rilevavano?
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
08-06-2006, 18:29
|
#19 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6395
|
svchost.exe non puoi terminarlo
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
|
|
08-06-2006, 20:07
|
#20 |
|
Senior Member
Iscritto dal: Dec 2000
Città: TV
Messaggi: 197
|
X eraser ti ho mandato gli hives dal form di pcalsicuro
x bugs bunny e matteo: Avrei potuto formattare D: ma il problema risiedeva anche nei servizi di win e nel suo registro non credo avrei ottenuto molto e poi vorrei sapere cosa ho beccato...almeno se ha fatto danni; nessun antivirus, antitrojan, antispyware, antimalaware e vari ha rilevato niente. Hola!
__________________
"...come il matto tra le carte da giocare, può risolvere un attimo di crisi..."
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:48.
