Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » sp_rsdrv2.sys cosa e' ?

sp_rsdrv2.sys cosa e' ? Opzioni
Topic Precedente · Topic Sucessivo
tinto101
Inviato: Thursday, October 23, 2008 4:20:08 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
sp_rsdrv2.sys lo trovo pero' scritto in NERO su gmer....
cosa significa ?


e queste voci sempre scritte in nero:



AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)



---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----


chi mi spiega ste voci in GMER ?

grazie
Torna in alto
 
Sponsor
Inviato: Thursday, October 23, 2008 4:20:08 PM

 
Torna in alto
 
tinto101
Inviato: Thursday, October 23, 2008 4:21:07 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
Rootkit scan 2008-10-23 12:59:40
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xF4317606]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xF431705A]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xF4316D3C]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xF4318652]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xF4316E46]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xF4316F30]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF424C0AC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xF43178CC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xF4317362]
Torna in alto
 
r16
Inviato: Thursday, October 23, 2008 6:08:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Non sò se è un caso, ma è la seconda volta che hai l'MBR infettato.
La prima volta, ti ho dato le indicazioni per eliminarlo: non ti ho più sentitoAnxious
Adesso te le spiego un'altra volta.

1 - Scarica MBR:EXE direttamente nella Directory C:\ ( è di fondamentale importanza che lo si scarichi dove c'è il S.O. di solito in C:) http://www2.gmer.net/mbr/mbr.exe

Riavvia il Pc in modalità provvisoria
Da Start - Esegui - digita: C:\mbr.exe e clicca su OK
Posta il log.
In caso positivo, seguiranno istruzioni.
Torna in alto
 
tinto101
Inviato: Friday, October 24, 2008 10:25:52 AM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
grazie mitico r16... pensavo di aver risolto,
quindi sono infetto ???

ok eseguo ma devo dare C:mbr.exe o
alla fine mettere anche: -f ?

appena fatto ti posto il log...
Torna in alto
 
tinto101
Inviato: Friday, October 24, 2008 2:11:32 PM
Rank: Member

Iscritto dal : 4/3/2007
Posts: 0
ecco il log di MBR :


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !



ecco il nuovo log di GMER, sempre uguale a prima:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0
sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----


quindi debellato o il fatto che compaia ancora
la voce Disk in GMER, significa che c'e ancora
infezione ? che faccio ora ? grazie
Torna in alto
 
r16
Inviato: Friday, October 24, 2008 5:59:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
No tinto101 , il tool che ti ho fatto scaricare doveva darmi la conferma che L'MBR, è realmente infettato. ( ed è infettato)
Per prima cosa, elimina quel log. ( ho detto il log, NON il TOOL)
Poi:
Avvia in Modalità provvisoria.
Da Start - Esegui - digita C:\mbr.exe -f e clicca su OK. ( per non sbagliare, fai copia-incolla)
Questa operazione serve per eliminare il rootkit.
Postami il log .
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » sp_rsdrv2.sys cosa e' ?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.