|
|
Rank: Member
Iscritto dal : 4/3/2007
Posts: 0
|
sp_rsdrv2.sys lo trovo pero' scritto in NERO su gmer....
cosa significa ?
e queste voci sempre scritte in nero:
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)
---- Disk sectors - GMER 1.0.14 ----
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
---- EOF - GMER 1.0.14 ----
chi mi spiega ste voci in GMER ?
grazie
|
|
|
|
|
|
Rank: Member
Iscritto dal : 4/3/2007
Posts: 0
|
Rootkit scan 2008-10-23 12:59:40
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.14 ----
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xF4317606]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xF431705A]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xF4316D3C]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xF4318652]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xF4316E46]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xF4316F30]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF424C0AC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xF43178CC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xF4317362]
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao . Non sò se è un caso, ma è la seconda volta che hai l' MBR infettato. La prima volta, ti ho dato le indicazioni per eliminarlo: non ti ho più sentito  Adesso te le spiego un'altra volta. 1 - Scarica MBR:EXE direttamente nella Directory C:\ ( è di fondamentale importanza che lo si scarichi dove c'è il S.O. di solito in C:) http://www2.gmer.net/mbr/mbr.exeRiavvia il Pc in modalità provvisoria Da Start - Esegui - digita: C:\mbr.exe e clicca su OKPosta il log. In caso positivo, seguiranno istruzioni.
|
|
Rank: Member
Iscritto dal : 4/3/2007
Posts: 0
|
grazie mitico r16... pensavo di aver risolto,
quindi sono infetto ???
ok eseguo ma devo dare C:mbr.exe o
alla fine mettere anche: -f ?
appena fatto ti posto il log...
|
|
Rank: Member
Iscritto dal : 4/3/2007
Posts: 0
|
ecco il log di MBR : Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netdevice: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 62 !ecco il nuovo log di GMER, sempre uguale a prima: ---- Disk sectors - GMER 1.0.14 ----
Disk \Device\Harddisk0\DR0
sector 62: copy of MBR
---- EOF - GMER 1.0.14 ----quindi debellato o il fatto che compaia ancora la voce Disk in GMER, significa che c'e ancora infezione ? che faccio ora ? grazie
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
No tinto101 , il tool che ti ho fatto scaricare doveva darmi la conferma che L'MBR, è realmente infettato. ( ed è infettato)
Per prima cosa, elimina quel log. ( ho detto il log, NON il TOOL)
Poi:
Avvia in Modalità provvisoria.
Da Start - Esegui - digita C:\mbr.exe -f e clicca su OK. ( per non sbagliare, fai copia-incolla)
Questa operazione serve per eliminare il rootkit.
Postami il log .
|
|
|
Guest |