Trojan.NtRootkit.61

goingon · 05-09-2006, 11:59

TROVATO da Dr. Web in C:\WINNT32\System (object rdriv.sys) dopo aver effettuato l'ennesima scansione.

Mi dice che It will be cured after reboot, ma dopo aver riavviato, puntualmente me lo ritrovo qui!

conoscete soluzioni?

blue_tech · 05-09-2006, 12:07

prova a disabilitare il ripristino di sistema prima della rimozione...
altrimenti prova con ewido...

goingon · 05-09-2006, 13:06

mi aiuti a farlo?

in start,
esegui
services.msc

si apre la pagina "services"

quale dei servizi devo disattivare?

blue_tech · 05-09-2006, 14:22

puoi farlo più semplicemente così:
click destro su risorse del computer -> proprietà -> scheda ripristino configurazione di sistema -> disabilita ripristino

goingon · 05-09-2006, 14:38

ma sai che non riesco a trovare "ripristino configurazione di sistema"?

con quale altra voce potrebbe essere presente?

(mi sento un pò deficiente!)

blue_tech · 05-09-2006, 15:07

Quote:

Originariamente inviato da goingon

ma sai che non riesco a trovare "ripristino configurazione di sistema"?

con quale altra voce potrebbe essere presente?

(mi sento un pò deficiente!)

aspetta che sistema operativo usi?

goingon · 05-09-2006, 15:09

windows 2000 pro

nella gestione dei servizi ci sono entrata.... ma oltre non riesco!

FOXYLADY · 05-09-2006, 15:11

Quote:

Originariamente inviato da goingon

windows 2000 pro

nella gestione dei servizi ci sono entrata.... ma oltre non riesco!

Win 2000 non ha il ripristino.

FOXYLADY · 05-09-2006, 15:25

Scarica QUESTO
scompatta il file, riavvia il PC in modalità provvisoria, fai doppio click sul file rdrivRem.bat e segui le istruzioni a schermo.

Ciao

blue_tech · 05-09-2006, 15:29

Quote:

Originariamente inviato da FOXYLADY

Win 2000 non ha il ripristino.

non avevo pensato subito che non avesse XP

goingon · 05-09-2006, 20:21

allora ho fatto così:
in modalità provvisoria ho lanciato il programma rdrivrem ed ho seguito le istruzioni.
Però di tutte le operazioni effettuate due mi diceva FAIL e le altre SUCCESS.

In ogni caso ho riavviato.

ho rilanciato DR.WEB che sino ad ora (sta ancora completando... incorcio le dita!) non ha rilevato nulla.

solo che ad un certo punto AVAST ha cominciato a seppellirmi di messaggi che mi informavano che C:\WINNT32\system\rdriv.sys era infettato dal virus WIN32:SDBOT-3267.
Sebbene continuassi a dire SPOSTALO NEL CESTINO, e spostalo in questo benedetto cestino............ NULLA.

Allora ho fatto un log di haickthis ed ho visto che era presente ancora una volta il benedetto (si fa per dire!) service 23 di lsass.exe

sono andata in
START
ESEGUI
services.msc
Local Security Authority Subsystem Service
ed ho messo su DISABILITATO.

immediatamente dopo si è ZITTITO!

spero di non aver fatto macelli!

blue_tech · 05-09-2006, 20:37

Quote:

Originariamente inviato da goingon

allora ho fatto così:
in modalità provvisoria ho lanciato il programma rdrivrem ed ho seguito le istruzioni.
Però di tutte le operazioni effettuate due mi diceva FAIL e le altre SUCCESS.

In ogni caso ho riavviato.

ho rilanciato DR.WEB che sino ad ora (sta ancora completando... incorcio le dita!) non ha rilevato nulla.

solo che ad un certo punto AVAST ha cominciato a seppellirmi di messaggi che mi informavano che C:\WINNT32\system\rdriv.sys era infettato dal virus WIN32:SDBOT-3267.
Sebbene continuassi a dire SPOSTALO NEL CESTINO, e spostalo in questo benedetto cestino............ NULLA.

Allora ho fatto un log di haickthis ed ho visto che era presente ancora una volta il benedetto (si fa per dire!) service 23 di lsass.exe

sono andata in
START
ESEGUI
services.msc
Local Security Authority Subsystem Service
ed ho messo su DISABILITATO.

immediatamente dopo si è ZITTITO!

spero di non aver fatto macelli!

scarica questo -> http://www.f-secure.com/tools/f-bot.zip
è un tool di rimozione che rimuove tra gli altri l'SDBot...
dovrebbe rilevarlo se ci sono problemi...

dopo fai una scansione online da qui -> http://it.trendmicro-europe.com/cons...all_launch.php

goingon · 05-09-2006, 22:15

pare essere tutto ok!

nemmeno mi sembra vero, giuro!

GRAZIE INFINITE.... siete impagabili!

Milena

05-09-2006, 11:59	#1
goingon Member Iscritto dal: Nov 2002 Messaggi: 72	Trojan.NtRootkit.61 TROVATO da Dr. Web in C:\WINNT32\System (object rdriv.sys) dopo aver effettuato l'ennesima scansione. Mi dice che It will be cured after reboot, ma dopo aver riavviato, puntualmente me lo ritrovo qui! conoscete soluzioni?

05-09-2006, 15:25	#9
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Scarica QUESTO scompatta il file, riavvia il PC in modalità provvisoria, fai doppio click sul file rdrivRem.bat e segui le istruzioni a schermo. Ciao __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

05-09-2006, 12:07	#2
blue_tech Senior Member Iscritto dal: Aug 2006 Messaggi: 299	prova a disabilitare il ripristino di sistema prima della rimozione... altrimenti prova con ewido...

05-09-2006, 13:06	#3
goingon Member Iscritto dal: Nov 2002 Messaggi: 72	mi aiuti a farlo? in start, esegui services.msc si apre la pagina "services" quale dei servizi devo disattivare?

05-09-2006, 14:22	#4
blue_tech Senior Member Iscritto dal: Aug 2006 Messaggi: 299	puoi farlo più semplicemente così: click destro su risorse del computer -> proprietà -> scheda ripristino configurazione di sistema -> disabilita ripristino

05-09-2006, 14:38	#5
goingon Member Iscritto dal: Nov 2002 Messaggi: 72	ma sai che non riesco a trovare "ripristino configurazione di sistema"? con quale altra voce potrebbe essere presente? (mi sento un pò deficiente!)

05-09-2006, 15:09	#7
goingon Member Iscritto dal: Nov 2002 Messaggi: 72	windows 2000 pro nella gestione dei servizi ci sono entrata.... ma oltre non riesco!

05-09-2006, 20:21	#11
goingon Member Iscritto dal: Nov 2002 Messaggi: 72	allora ho fatto così: in modalità provvisoria ho lanciato il programma rdrivrem ed ho seguito le istruzioni. Però di tutte le operazioni effettuate due mi diceva FAIL e le altre SUCCESS. In ogni caso ho riavviato. ho rilanciato DR.WEB che sino ad ora (sta ancora completando... incorcio le dita!) non ha rilevato nulla. solo che ad un certo punto AVAST ha cominciato a seppellirmi di messaggi che mi informavano che C:\WINNT32\system\rdriv.sys era infettato dal virus WIN32:SDBOT-3267. Sebbene continuassi a dire SPOSTALO NEL CESTINO, e spostalo in questo benedetto cestino............ NULLA. Allora ho fatto un log di haickthis ed ho visto che era presente ancora una volta il benedetto (si fa per dire!) service 23 di lsass.exe sono andata in START ESEGUI services.msc Local Security Authority Subsystem Service ed ho messo su DISABILITATO. immediatamente dopo si è ZITTITO! spero di non aver fatto macelli!

05-09-2006, 22:15	#13
goingon Member Iscritto dal: Nov 2002 Messaggi: 72	pare essere tutto ok! nemmeno mi sembra vero, giuro! GRAZIE INFINITE.... siete impagabili! Milena

Strumenti
Mostra una versione stampabile Invia questa pagina per email