Virus rdriv.sys

[salvodel]

Salve a tutti, ho un problema con questo virus...non riesco ad eliminarlo con l'antivirus(Antivir e AVG)
Forse sarebbe meglio definirlo trojan o in un altro modo ma qualunque sia il suo nome voglio eliminarlo....mi date una mano?
Grazie

[andorra24]

Posta un log di hijackthis nel thread in rilievo.

[andorra24]

Fai anche una scansione con ewido:http://download.ewido.net/ewido-setup.exe

[salvodel]

1) hijackthis lo provatoad installarlo ma non ci sono riuscito(anche spyboot mi ha dato problemi)

2) ewido non mi dice niente ma credo che ci sia qualcosa che non va!

[andorra24]

Quote:

Originariamente inviato da salvodel

1) hijackthis lo provatoad installarlo ma non ci sono riuscito(anche spyboot mi ha dato problemi)

2) ewido non mi dice niente ma credo che ci sia qualcosa che non va!

Hijackthis non va installato perche' e' standalone. Che problemi riscontri? E' molto importante che tu posti il log di hijackthis in modo da aiutarti a ripulire il pc.

[salvodel]

si bloccava l'innstallazione.....ora ci riprovo di nuovo

[andorra24]

Quote:

Originariamente inviato da salvodel

si bloccava l'innstallazione.....ora ci riprovo di nuovo

E' facilissimo da usare. Devi solo aprire il programma e dopo aver chiuso tutte le finestre aperte, tra cui il browser, premi il pulsante ''do a system scan and save a logfile''. Dopo devi soltanto postare il log sul forum.

[salvodel]

il problema è che non parte il rpogramma.
mi da un warning di un nano secondo (mi dice di stare attento a cio che cancello o per lo meno credo di aver capito cosi) e dopo sparisce, è come se il virus lo bloccasse prima.
ho win2000 e l'ho fatto anche in modalità provvisoria ma il risultato non cambia

che faccio

[salvodel]

Ho cercato di seguire la procedura che ho trovato ma non riesco ad accedere a regedit e alla finestra per digitare la riga di copmando(da run ho lanciato attrib -h -r -s C:\WINDOWS\system32\rdriv.sys sperando che vada ma il risultato è stato negativo)

I need you to reboot into Safe Mode. You can do this by restarting your computer and continually tapping the F8 key until a menu appears. use your up arrow key to highlight Safe Mode, then hit enter.

After getting into Safe Mode, Go to Start > Run type in:

cmd

Click OK.

A black window will open up.

Copy the below line, exactly, and paste it into the black window:

attrib -h -r -s C:\WINDOWS\system32\rdriv.sys

Hit Enter.

When it goes to the 2nd line, copy the below line, exactly, and paste it into the black window:

del C:\WINDOWS\system32\rdriv.sys

Hit Enter.

Then type exit

[END OF INSTRUCTIONS TO COPY FOR SAFE MODE]

Reboot into normal mode.

Open Notepad, and copy everything inside the code box (Starting with REGEDIT4) below and paste it into a new notepad file. Go up to "File" > "Save As...". A box will open up. Change the "Save As Type" to "All Files". Save it as rdriv.reg on your Desktop. Make sure there is NO blank line above REGEDIT4

[andorra24]

Ho trovato un link che verte sul modo di eliminare questo rdriv.sys:http://www.aluriasoftware.com/forum/thread998.html

[salvodel]

Logfile of HijackThis v1.99.1
Scan saved at 20.55.07, on 30/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Microangelo\muamgr.exe
C:\Programmi\ewido\security suite\securitysuite.exe
C:\Documents and Settings\Aldo Baglio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MOD] C:\Programmi\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1129325878359
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Host Services - Unknown owner - C:\WINNT\svhosts.exe (file missing)
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\msmedia.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDExchange - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDExchange.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe

Ora vado a seguire le istruzioni del tuo link
Grazi

[andorra24]

Fixa:
O4 - HKCU\..\Run: [Intec Service Drivers] syshost32.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] syshost32.exe
O23 - Service: Host Services - Unknown owner - C:\WINNT\svhosts.exe (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\msmedia.exe

[salvodel]

Ok ora non sono davanti al pc ma lo farò al piu presto...e ti farò sapere come andra.

Grazie

[salvodel]

Ho fatto un mix di cose, tra cui quella con effetto migliore credo sia stata quella di fixare quello che mi avevi detto, e il risultato è che adesso posso accedere al task manager e regedit

Grazie mille