HiJackThis - Analisi Log - leggere Regole di Sezione

[nandox80]

Ciao a tutti. Vi allego il log hijackthis di un computer che ho qui a lavoro. E ' un po' vecchiotto e per ora non ho modo di aggiornargli il sistema operativo. Quindi magari se potete dire cosa fare per metterlo a posto, AVG mi rileva diversi problemi, in attesa di aggiornarlo riesco a lavorarci meglio.

Scusate e mille grazie.

[murack83pa]

@mabocrack:
compare ancora quella stringa...
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

[murack83pa]

Quote:

Originariamente inviato da nandox80

Ciao a tutti. Vi allego il log hijackthis di un computer che ho qui a lavoro. E ' un po' vecchiotto e per ora non ho modo di aggiornargli il sistema operativo. Quindi magari se potete dire cosa fare per metterlo a posto, AVG mi rileva diversi problemi, in attesa di aggiornarlo riesco a lavorarci meglio.

Scusate e mille grazie.

nn mi sembra tanto pulito...
attendi i responsi degli esperti...

[Nuz]

@mabocrack:

fixa di nuovo quella voce e poi scarica Avenger. Eseguilo e seleziona Imput Script Manually, clicca sulla lente e inserisci:

Quote:

Files to delete:
C:\WINDOWS\SYSTEM32\rvse32.dll

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger e un nuovo log di HJT.

[paolo-fcb]

uffa, ragazzi vi siete dimenticati di me oppure lo fate apposta perchè credete io sia un assassino incallito di hard-disks?????

[murack83pa]

Quote:

Originariamente inviato da paolo-fcb

uffa, ragazzi vi siete dimenticati di me oppure lo fate apposta perchè credete io sia un assassino incallito di hard-disks?????

se ho cpt bene, tu chiedi consigli x ottimizzare windows?quale programmi utilizzare?ho cpt male?
se è cosi, nn credo che questo sia il 3d giusto....

[mabocrack]

scusa la mia ignoranza ma il Winlogon non è quell trick che mi avvia in automatico winxp su un predefinito user tra quelli che ho ?

Quote:

Originariamente inviato da murack83pa

@mabocrack:
compare ancora quella stringa...
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

[murack83pa]

la voce 020 indica i programmi avviati in avvio
quell'applicazione è molto sospetta....x questo è da rimuovore come suggeritoti da nuz utilizzando avenger

[mabocrack]

Ho provato a killare il pid da dos e mi sei è riavviato il pc.

Al riavvio il task manger mi rileva 21 thread con quel processo

Ho aviato avenger e rifatto il lo di hjt

eccoli:

Ed ecco il risultato dal sito virus total:

File winlogon.exe received on 12.03.2007 14:51:39 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/32 (0%)
Loading server information...
Your file is queued in position: 9.
Estimated start time is between 63 and 90 seconds.
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.12.3.0 2007.12.03 -
AntiVir 7.6.0.34 2007.12.03 -
Authentium 4.93.8 2007.12.02 -
Avast 4.7.1074.0 2007.12.03 -
AVG 7.5.0.503 2007.12.03 -
BitDefender 7.2 2007.12.03 -
CAT-QuickHeal 9.00 2007.12.01 -
ClamAV 0.91.2 2007.12.03 -
DrWeb 4.44.0.09170 2007.12.03 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5340 2007.11.30 -
Ewido 4.0 2007.12.03 -
FileAdvisor 1 2007.12.03 -
Fortinet 3.14.0.0 2007.12.03 -
F-Prot 4.4.2.54 2007.12.02 -
F-Secure 6.70.13030.0 2007.12.03 -
Ikarus T3.1.1.12 2007.12.03 -
Kaspersky 7.0.0.125 2007.12.03 -
McAfee 5175 2007.11.30 -
Microsoft 1.3007 2007.12.03 -
NOD32v2 2698 2007.12.03 -
Norman 5.80.02 2007.11.30 -
Panda 9.0.0.4 2007.12.02 -
Prevx1 V2 2007.12.03 -
Rising 20.21.02.00 2007.12.03 -
Sophos 4.23.0 2007.12.03 -
Sunbelt 2.2.907.0 2007.12.01 -
Symantec 10 2007.12.03 -
TheHacker 6.2.9.147 2007.12.01 -
VBA32 3.12.2.5 2007.12.03 -
VirusBuster 4.3.26:9 2007.12.02 -
Webwasher-Gateway 6.6.2 2007.12.03 -
Additional information
File size: 502272 bytes
MD5: 01c3346c241652f43aed8e2149881bfe
SHA1: a5396141cab8b22d9d88b28a814089537dce366a
PEiD: -

ATENTION ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
-------------

Non ha trovato nulla di sospetto neppure lui.

Pure sul portatile nel log di Hjt ce l'ho da quando ho deciso di loggarmi in automatico con un utente predefinito col " user passwords2 ".



Anche col " netstat -aon " e il firewall di Kaspersky non mi danno nulla di connesso ad un ip remoto con quell'exe, non credo sia la backdoor che ho letto su html.it

Quote:

Originariamente inviato da murack83pa

la voce 020 indica i programmi avviati in avvio
quell'applicazione è molto sospetta....x questo è da rimuovore come suggeritoti da nuz utilizzando avenger

[murack83pa]

credo che devi aprire un 3d in questa sezione,riassumendo i tuoi problemi,allegando i log indicati da nuz....

[Chill-Out]

@mabocrack

dovevi eventualmete far analizzare questa rvse32.dll su virustotal non winlogon.exe
ma questa voce l'avevi fixata quando ti è stato richiesto la prima volta
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

[nandox80]

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

[murack83pa]

Quote:

Originariamente inviato da mabocrack

File winlogon.exe received on 12.03.2007 14:51:39 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/32 (0%)

nn avevo letto il log di virus total,anche xchè l'hai postato dopo o almeno io nn l'avevo visto..
winlogon.exe
io e gli altri avevamo parlato di questa voce:
O20 - Winlogon Notify: rvse32 - C:\WINDOWS\SYSTEM32\rvse32.dll

[murack83pa]

Quote:

Originariamente inviato da nandox80

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

credo tu sia infetto da backdoor o simile....xò è meglio aspettare il responso dei "dottori" della sezione

[Chill-Out]

Quote:

Originariamente inviato da nandox80

amici potete dare uno sguardo al log che ho postato poco qui sopra? è che è un portatile Benq vecchiotto che ho a lavoro e su cui per ora non posso aggiornare il SO o mettere Linux quindi vorrei almeno vedere se posso sistemarlo con quello che ho. Magari se mi aiutate....grazie mille....

te lo dico in tutta sincerità, sei ancora al SP1 dici che non puoi aggiornare l'SO quindi iniziare una procedura di disinfezione è tempo perso anche per te, mi dispiace.

[camilla79]

devo postare di nuovo altrimenti nessuno legge!

[irissamy]

ragazzi qualcuno da gentilmente un occhiata al mio log? il computer portatile comincia a bloccarsi sempre più spesso eppure le varie scansioni con l'antivirus e gli antispywere non danno risultati negativi

[Gle89]

camilla79

il log è pulito, se vuoi puoi velocizzare l'avvio del tuo pc fixando queste voci,ma è del tutto facoltativo:

Quote:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programmi\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download


Ciao

[Gle89]

irissamy

il tuo pc si blocca in fase di avvio/caricamento oppure in generale?

[camilla79]

grazie mille!! intendi spuntare quelle voci e poi premere fix checked???