| Precedente :: Successivo |
| Autore |
Messaggio |
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
 Inviato: 23 Ott 2008 16:34 Oggetto: sp_rsvd2.sys infezione o ? |
 |
|
sp_rsdrv2.sys me lo da in molte voci GMER ma scritto
in nero di che si tratta ?
System - GMER 1.0.14 ----
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xF4317606]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xF431705A]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xF4316D3C]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xF4318652]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xF4316E46]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xF4316F30]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF424C0AC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xF43178CC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xF4317362]
e questo e' normale o ?
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)
---- Disk sectors - GMER 1.0.14 ----
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
---- EOF - GMER 1.0.14 ----
grazie mille |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 23 Ott 2008 20:04 Oggetto: |
|
|
Ciao ropa 
sp_rsdrv2.sys pare sia un file di SpywareTerminator;
Che sistema OP hai? Se si tratta di XP o Vista continua...
Per l'ultima stringa apparsa cioè quella del Boot Sector esegui questo passaggio:
Caratteristiche: non necessita di installazione
1 - Scarica Stealth MBR rootkit detector sul DeskTop e mettilo direttamente nella Directory C:\
Riavvia il Pc in modalità provvisoria
da Start - Esegui - digita C:\mbr.exe -f e cliccate su OK
Salva il log prodotto e mettilo quì per il controllo.
Riavvia alla modalità normale;
Da Start - Esegui - digita C:\mbr.exe e cliccate su OK
Salva il log prodotto per il controllo... |
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 24 Ott 2008 10:17 Oggetto: re |
|
|
ok mitico sante62.... eseguo!
dici infezione nel HDD ?o ????
faccio e posto il log
p.s. uso win XP pro. |
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 24 Ott 2008 14:16 Oggetto: log mbr.exe |
|
|
ecco il log di MBR :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !
ecco il nuovo log di GMER, sempre uguale a prima:
---- Disk sectors - GMER 1.0.14 ----
Disk \Device\Harddisk0\DR0
sector 62: copy of MBR
---- EOF - GMER 1.0.14 ----
quindi debellato o il fatto che compaia ancora
la voce Disk in GMER, significa che c'e ancora
infezione ? che faccio ora ? grazie |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 24 Ott 2008 17:58 Oggetto: |
|
|
Pare che ancora non ci siamo...
Dalla modalità provvisoria usa l'opzione
Start - Esegui - digita C:\mbr.exe -f
Poi dalla modalità normale usa l'opzione
Start - Esegui - digita C:\mbr.exe
Quindi i logs sono due, OK? |
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 27 Ott 2008 11:31 Oggetto: re |
|
|
si ma sono esattamente uguali !!!
che faccio ? |
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 27 Ott 2008 11:38 Oggetto: altro problema... |
|
|
altro problema con Dr.WEB ...
Dr.WEB log.
ComboFix.exe Probabile BATCH.Virus
ComboFix.exe Program.PsExec.171
brandit.exe Probabile STPAGE.Trojan
tra altro questo Combofix.exe che mi pare dovrebbe essere un antivirus mi
ha pure infettoto 2 punti di ripristino !!!! ELIMINATO anche se dr.web lo
da per sospetto e come un riskware ! e dire che sia diversi antivirus
che antispyware che gmer non me lo davano !!!
mentre NOn so che fare con il programma che sembrerebbe della HP
anche se leggo che dovrebbe essere x vista ma io ho XP !?)
BrandIt.exe non so che fare ? lo da pure lui come sospetto e
come un RISKWARE...che faccio lo lascio o cancello ????
che sia almeno questo un FALSO POSITIVO ?
log CureIt
Volume Information\_restore{24E79716-F0B0-4755-B863-29B97FEC1C3C
}\RP3\A0000146.ini - Ok
D:\System Volume Information\_restore{24E79716-F0B0-4755-B863-
29B97FEC1C3C}\RP3\change.log.2 - Ok
D:\System Volume Information\_restore{24E79716-F0B0-4755-B863-
29B97FEC1C3C}\RP3\RestorePointSize - Ok
D:\Recycled\INFO2 - Ok
D:\Recycled\desktop.ini - Ok
---------------------------------------------
Statistiche delle Scansioni
--------------------------------------------
Oggetti controllati: 386327
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 5
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 4
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 4
Oggetti ignorati: 0
Velocità di scansione: 113 Kb/s
Durata scansione: 10:15:34
-----------------------------------------------
C:\SWSetup\BrandIt\Disk1\brandit.exe - spostato
==============================================
Statistiche totali della sessione
==============================================
Oggetti controllati: 0
Trovati oggetti Infetti: 0
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 0
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 0
Oggetti rinominati: 0
Oggetti spostati: 1
Oggetti ignorati: 0
Velocità di scansione: 0 Kb/s
Durata scansione: 00:00:00
============================================= |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 27 Ott 2008 12:43 Oggetto: Re: re |
|
|
| ropa ha scritto: | si ma sono esattamente uguali !!!
che faccio ? |
Se ci fai caso non sono proprio uguali; il primo ha l'opzione -f mentre l'altro no...
Per il resto, si tratta sicuramente di falsi positivi.
Il ripristino di sistema, alla fine lo disattiveremo per sicurezza. |
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 27 Ott 2008 12:45 Oggetto: re |
|
|
ok riprovo,...ma erano perfettamente UGUALI
i 2
log di mbr...riprovo |
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 28 Ott 2008 09:53 Oggetto: e del mio pc.... |
|
|
MBR.exe -f in modealita'provvisoria:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !
MBR.exe in modalita' normale:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !
[/b] |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Ott 2008 11:07 Oggetto: |
|
|
Ropa, perchè hai aperto un altra discussione?
Per il PC dell'ufficio va bene, ma per quello di casa continuiamo qui, OK?
Procedi con queste altre scansioni:
Prevx_CSI
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
|
|
| Top |
|
|
ropa
Eroe in grazia degli dei
Registrato: 11/06/08 09:37
Messaggi: 99
|
| Inviato: 28 Ott 2008 11:26 Oggetto: re |
|
|
previx non mi funzia neppure sul pc del ufficio e
sul mio a casa non ho internet ora e quindi
non riesco a aggiornare quei prg ...
che faccio per sistemare i 62 settori ? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Ott 2008 13:06 Oggetto: |
 |
|
Trattiamo un PC alla volta.....segui le istruzioni che ti vengono date per ciascuno, ci siamo?;
Per quanto riguarda quì, per adesso fai le altre scansioni indicate più su...
Per l'altro procedi come già descritto nell'apposito post...
Se non hai collegamento i programmi li devi installare su una chiavetta e trasferirli sul PC di casa... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
