Trojan.NtRootkit.61

[goingon]

TROVATO da Dr. Web in C:\WINNT32\System (object rdriv.sys) dopo aver effettuato l'ennesima scansione.

Mi dice che It will be cured after reboot, ma dopo aver riavviato, puntualmente me lo ritrovo qui!

conoscete soluzioni?

[blue_tech]

prova a disabilitare il ripristino di sistema prima della rimozione...
altrimenti prova con ewido...

[goingon]

mi aiuti a farlo?

in start,
esegui
services.msc

si apre la pagina "services"

quale dei servizi devo disattivare?

[blue_tech]

puoi farlo più semplicemente così:
click destro su risorse del computer -> proprietà -> scheda ripristino configurazione di sistema -> disabilita ripristino

[goingon]

ma sai che non riesco a trovare "ripristino configurazione di sistema"?

con quale altra voce potrebbe essere presente?


(mi sento un pò deficiente!)

[blue_tech]

Quote:

Originariamente inviato da goingon

ma sai che non riesco a trovare "ripristino configurazione di sistema"?

con quale altra voce potrebbe essere presente?


(mi sento un pò deficiente!)

aspetta che sistema operativo usi?

[goingon]

windows 2000 pro

nella gestione dei servizi ci sono entrata.... ma oltre non riesco!

[FOXYLADY]

Quote:

Originariamente inviato da goingon

windows 2000 pro

nella gestione dei servizi ci sono entrata.... ma oltre non riesco!

Win 2000 non ha il ripristino.

[FOXYLADY]

Scarica QUESTO
scompatta il file, riavvia il PC in modalità provvisoria, fai doppio click sul file rdrivRem.bat e segui le istruzioni a schermo.

Ciao

[blue_tech]

Quote:

Originariamente inviato da FOXYLADY

Win 2000 non ha il ripristino.

non avevo pensato subito che non avesse XP

[goingon]

allora ho fatto così:
in modalità provvisoria ho lanciato il programma rdrivrem ed ho seguito le istruzioni.
Però di tutte le operazioni effettuate due mi diceva FAIL e le altre SUCCESS.

In ogni caso ho riavviato.

ho rilanciato DR.WEB che sino ad ora (sta ancora completando... incorcio le dita!) non ha rilevato nulla.

solo che ad un certo punto AVAST ha cominciato a seppellirmi di messaggi che mi informavano che C:\WINNT32\system\rdriv.sys era infettato dal virus WIN32:SDBOT-3267.
Sebbene continuassi a dire SPOSTALO NEL CESTINO, e spostalo in questo benedetto cestino............ NULLA.

Allora ho fatto un log di haickthis ed ho visto che era presente ancora una volta il benedetto (si fa per dire!) service 23 di lsass.exe

sono andata in
START
ESEGUI
services.msc
Local Security Authority Subsystem Service
ed ho messo su DISABILITATO.

immediatamente dopo si è ZITTITO!

spero di non aver fatto macelli!

[blue_tech]

Quote:

Originariamente inviato da goingon

allora ho fatto così:
in modalità provvisoria ho lanciato il programma rdrivrem ed ho seguito le istruzioni.
Però di tutte le operazioni effettuate due mi diceva FAIL e le altre SUCCESS.

In ogni caso ho riavviato.

ho rilanciato DR.WEB che sino ad ora (sta ancora completando... incorcio le dita!) non ha rilevato nulla.

solo che ad un certo punto AVAST ha cominciato a seppellirmi di messaggi che mi informavano che C:\WINNT32\system\rdriv.sys era infettato dal virus WIN32:SDBOT-3267.
Sebbene continuassi a dire SPOSTALO NEL CESTINO, e spostalo in questo benedetto cestino............ NULLA.

Allora ho fatto un log di haickthis ed ho visto che era presente ancora una volta il benedetto (si fa per dire!) service 23 di lsass.exe

sono andata in
START
ESEGUI
services.msc
Local Security Authority Subsystem Service
ed ho messo su DISABILITATO.

immediatamente dopo si è ZITTITO!

spero di non aver fatto macelli!

scarica questo -> http://www.f-secure.com/tools/f-bot.zip
è un tool di rimozione che rimuove tra gli altri l'SDBot...
dovrebbe rilevarlo se ci sono problemi...

dopo fai una scansione online da qui -> http://it.trendmicro-europe.com/cons...all_launch.php

[goingon]

pare essere tutto ok!

nemmeno mi sembra vero, giuro!


GRAZIE INFINITE.... siete impagabili!



Milena