HiJackThis - Analisi Log - leggere Regole di Sezione - Pagina 388

nandox80 · 03-12-2007, 13:57

Ciao a tutti. Vi allego il log hijackthis di un computer che ho qui a lavoro. E ' un po' vecchiotto e per ora non ho modo di aggiornargli il sistema operativo. Quindi magari se potete dire cosa fare per metterlo a posto, AVG mi rileva diversi problemi, in attesa di aggiornarlo riesco a lavorarci meglio.

Scusate e mille grazie.

murack83pa · 03-12-2007, 13:58

@mabocrack:
compare ancora quella stringa...
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

murack83pa · 03-12-2007, 14:01

Quote:

Originariamente inviato da nandox80

Ciao a tutti. Vi allego il log hijackthis di un computer che ho qui a lavoro. E ' un po' vecchiotto e per ora non ho modo di aggiornargli il sistema operativo. Quindi magari se potete dire cosa fare per metterlo a posto, AVG mi rileva diversi problemi, in attesa di aggiornarlo riesco a lavorarci meglio.

Scusate e mille grazie.

nn mi sembra tanto pulito...
attendi i responsi degli esperti...

Nuz · 03-12-2007, 14:03

@mabocrack:

fixa di nuovo quella voce e poi scarica Avenger. Eseguilo e seleziona Imput Script Manually, clicca sulla lente e inserisci:

Quote:

Files to delete:
C:\WINDOWS\SYSTEM32\rvse32.dll

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger e un nuovo log di HJT.

paolo-fcb · 03-12-2007, 14:05

uffa, ragazzi vi siete dimenticati di me oppure lo fate apposta perchè credete io sia un assassino incallito di hard-disks?????

murack83pa · 03-12-2007, 14:10

Quote:

Originariamente inviato da paolo-fcb

uffa, ragazzi vi siete dimenticati di me oppure lo fate apposta perchè credete io sia un assassino incallito di hard-disks?????

se ho cpt bene, tu chiedi consigli x ottimizzare windows?quale programmi utilizzare?ho cpt male?
se è cosi, nn credo che questo sia il 3d giusto....

mabocrack · 03-12-2007, 14:13

scusa la mia ignoranza ma il Winlogon non è quell trick che mi avvia in automatico winxp su un predefinito user tra quelli che ho ?

Quote:

Originariamente inviato da murack83pa

@mabocrack:
compare ancora quella stringa...
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

murack83pa · 03-12-2007, 14:15

la voce 020 indica i programmi avviati in avvio
quell'applicazione è molto sospetta....x questo è da rimuovore come suggeritoti da nuz utilizzando avenger

mabocrack · 03-12-2007, 14:22

Ho provato a killare il pid da dos e mi sei è riavviato il pc.

Al riavvio il task manger mi rileva 21 thread con quel processo

Ho aviato avenger e rifatto il lo di hjt

eccoli:

Ed ecco il risultato dal sito virus total:

File winlogon.exe received on 12.03.2007 14:51:39 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/32 (0%)
Loading server information...
Your file is queued in position: 9.
Estimated start time is between 63 and 90 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.12.3.0 2007.12.03 -
AntiVir 7.6.0.34 2007.12.03 -
Authentium 4.93.8 2007.12.02 -
Avast 4.7.1074.0 2007.12.03 -
AVG 7.5.0.503 2007.12.03 -
BitDefender 7.2 2007.12.03 -
CAT-QuickHeal 9.00 2007.12.01 -
ClamAV 0.91.2 2007.12.03 -
DrWeb 4.44.0.09170 2007.12.03 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5340 2007.11.30 -
Ewido 4.0 2007.12.03 -
FileAdvisor 1 2007.12.03 -
Fortinet 3.14.0.0 2007.12.03 -
F-Prot 4.4.2.54 2007.12.02 -
F-Secure 6.70.13030.0 2007.12.03 -
Ikarus T3.1.1.12 2007.12.03 -
Kaspersky 7.0.0.125 2007.12.03 -
McAfee 5175 2007.11.30 -
Microsoft 1.3007 2007.12.03 -
NOD32v2 2698 2007.12.03 -
Norman 5.80.02 2007.11.30 -
Panda 9.0.0.4 2007.12.02 -
Prevx1 V2 2007.12.03 -
Rising 20.21.02.00 2007.12.03 -
Sophos 4.23.0 2007.12.03 -
Sunbelt 2.2.907.0 2007.12.01 -
Symantec 10 2007.12.03 -
TheHacker 6.2.9.147 2007.12.01 -
VBA32 3.12.2.5 2007.12.03 -
VirusBuster 4.3.26:9 2007.12.02 -
Webwasher-Gateway 6.6.2 2007.12.03 -
Additional information
File size: 502272 bytes
MD5: 01c3346c241652f43aed8e2149881bfe
SHA1: a5396141cab8b22d9d88b28a814089537dce366a
PEiD: -

ATENTION ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
-------------

Non ha trovato nulla di sospetto neppure lui.

Pure sul portatile nel log di Hjt ce l'ho da quando ho deciso di loggarmi in automatico con un utente predefinito col " user passwords2 ".

Anche col " netstat -aon " e il firewall di Kaspersky non mi danno nulla di connesso ad un ip remoto con quell'exe, non credo sia la backdoor che ho letto su html.it

Quote:

Originariamente inviato da murack83pa

la voce 020 indica i programmi avviati in avvio
quell'applicazione è molto sospetta....x questo è da rimuovore come suggeritoti da nuz utilizzando avenger

murack83pa · 03-12-2007, 14:54

credo che devi aprire un 3d in questa sezione,riassumendo i tuoi problemi,allegando i log indicati da nuz....

**Chill-Out** · 03-12-2007, 17:06

@mabocrack

dovevi eventualmete far analizzare questa rvse32.dll su virustotal non winlogon.exe
ma questa voce l'avevi fixata quando ti è stato richiesto la prima volta

O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

nandox80 · 03-12-2007, 17:14

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

murack83pa · 03-12-2007, 17:19

Quote:

Originariamente inviato da mabocrack

File winlogon.exe received on 12.03.2007 14:51:39 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/32 (0%)

nn avevo letto il log di virus total,anche xchè l'hai postato dopo o almeno io nn l'avevo visto..
winlogon.exe

io e gli altri avevamo parlato di questa voce:
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

murack83pa · 03-12-2007, 17:22

Quote:

Originariamente inviato da nandox80

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

credo tu sia infetto da backdoor o simile....xò è meglio aspettare il responso dei "dottori" della sezione

**Chill-Out** · 03-12-2007, 17:26

Quote:

Originariamente inviato da nandox80

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

te lo dico in tutta sincerità, sei ancora al SP1 dici che non puoi aggiornare l'SO quindi iniziare una procedura di disinfezione è tempo perso anche per te, mi dispiace.

camilla79 · 03-12-2007, 18:27

devo postare di nuovo altrimenti nessuno legge!

irissamy · 03-12-2007, 18:28

ragazzi qualcuno da gentilmente un occhiata al mio log? il computer portatile comincia a bloccarsi sempre più spesso eppure le varie scansioni con l'antivirus e gli antispywere non danno risultati negativi

Gle89 · 03-12-2007, 18:41

camilla79

il log è pulito, se vuoi puoi velocizzare l'avvio del tuo pc fixando queste voci,ma è del tutto facoltativo:

Quote:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programmi\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download

Ciao

Gle89 · 03-12-2007, 18:43

irissamy

il tuo pc si blocca in fase di avvio/caricamento oppure in generale?

camilla79 · 03-12-2007, 18:56

grazie mille!! intendi spuntare quelle voci e poi premere fix checked???

03-12-2007, 17:06	#7751
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	@mabocrack dovevi eventualmete far analizzare questa rvse32.dll su virustotal non winlogon.exe ma questa voce l'avevi fixata quando ti è stato richiesto la prima volta O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

03-12-2007, 17:14	#7752
nandox80 Senior Member Iscritto dal: Jan 2006 Città: L'Aquila Messaggi: 4426	amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille.... __________________ Tutti amano i consigli di un esperto...ma nessuno vuole pagare per averli!!!

03-12-2007, 18:43	#7759
Gle89 Senior Member Iscritto dal: Aug 2007 Città: Lucca Sesso: FEMMINA Messaggi: 2495	irissamy il tuo pc si blocca in fase di avvio/caricamento oppure in generale? __________________ Disinfettare da disk knight.exe / Icone desktop sparite? / Guida Rimozione Virus MSN Guida "Impossibile installare alcuni aggiornamenti XP /

03-12-2007, 13:58	#7742
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	@mabocrack: compare ancora quella stringa... O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

03-12-2007, 14:05	#7745
paolo-fcb Senior Member Iscritto dal: Aug 2006 Città: AS-ROMA Messaggi: 976	uffa, ragazzi vi siete dimenticati di me oppure lo fate apposta perchè credete io sia un assassino incallito di hard-disks?????

03-12-2007, 14:15	#7748
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	la voce 020 indica i programmi avviati in avvio quell'applicazione è molto sospetta....x questo è da rimuovore come suggeritoti da nuz utilizzando avenger

03-12-2007, 14:54	#7750
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	credo che devi aprire un 3d in questa sezione,riassumendo i tuoi problemi,allegando i log indicati da nuz....

03-12-2007, 18:56	#7760
camilla79 Member Iscritto dal: Aug 2006 Città: Milano Messaggi: 66	grazie mille!! intendi spuntare quelle voci e poi premere fix checked???

Strumenti
Mostra una versione stampabile Invia questa pagina per email