Trojanxp- System32\rdriv.sys, Non Se Ne Và.

[sonia70']

(XP) Premetto di avere installato prima, AVG, AD-Aware, Spybot, Spyblaster, cccleaner, il soft per la pulizia del registro, insomma tutti quelli da voi segnalati.

L'ho fatto due volte, perchè abbiamo dovuto riformattare tutto almeno un paio di volte e nonostante questo il pc, completamente pulito, con solo AVG e AD-aware e spybot, risultava alla formattazione pulito e dopo un po' riapparivano trojan di sistema come questo!

Perdonate la mancanza di sintesi e perdonate la mia ingoranza e sappiate che la stampante è fuori uso (capitemi, sono madre di due piccole pesti e mio marito lavora fuori casa).

Ho provato a seguire le vostre indicazioni e dalla modalità provvisoria il tal file non esiste più o almeno non viene trovato, ma al riavvio del pc, AVG apre con il virus detected, cerco di eliminare il file, mi dice che lo ha eliminato e invece ritorna.

Scansiono con AVG (aggiornato tutti i giorni) e non rileva nè il virus nè nulla, ci capisco sempre meno!

Ho il service pack 1, mi aggingevo a scaricare il 2, ma il virus mi ha preceduta.

Ho scaricato qualche giorno fà, il kerio firewall, ma mi mandava in crash il sistema, o meglio appariva una finestra con scritto: 'arresto del sistema per ordine di stato'.

Insomma non so' più cosa devo fare, e credo che toccherà portare il pc dal 'meccanico'.

Vi ringrazio se riuscirete a chiarirmi le idee e, fate conto di parlare con un bimbo, perchè verso l'informatica io sono uguale.

Perdonate ancora la mancanza di sintesi, volevo spiegarvi un pochetto.

[Guest lucass]

Ciao sonia,aggiorni windows tramite Windows Update? inoltre ricordi il nome del trojan e la posizione cioè il file che ti dava come infetto?mi sembra strano il fatto di kerio dato che è compatibile con il tuo sistema operativo

PS:Kerio installalo dalla modalita provvisoria tieniti l'installar sul desktop avvi in modalita provvisoria e lo installi,se non ti da problemi probabilmente c'è qualcosa che va in conflitto con kerio

PPS:Scusa non avevo letto il titolo quel file è legato a un bel problema dato che ha caratteristiche che si legano ai rootkit e la rimozione è difficoltosa dato che i rootkit sono quasi invisibili speriamo di no

Rootkit termine con cui si designa genericamente un pacchetto costituito da più programmi, che permettono varie funzioni di hacking: intercettazione del traffico di rete (sniffer), possibilità di installare una backdoor sul sistema, manipolazione dei file di rapporto e di auditing sul computer compromesso al fine di nascondere le tracce di un'intrusione. Il rootkit è disponibile per un'ampia gamma di sistemi operativi.

Modificato September 1, 2005 da lucass

[sonia70']

Grazie infinite lucass per il modo con cui hai esposto, imagino che per chi è competente in materia sia noioso e anche complicato spiegare a chi non ne sà nulla.

Sì, non faccio che aggiornare con win update.

Al momento mentre scrivo la finestrella di AVG Resident Shield's continua ad essere presente, da ieri e non c'è verso di chiuderla, perchè evidentemente il trojan è ancora presente.

Sì mi rendo conto che il kerio deve aver trovato qualche incompatibilità, e forse, io non sono perfettamente in grado di gestire gli antispy, nel settarli intendo, forse ho fatto qualche casotto io.

La cosa strana è che nei detagli del firewell stesso, sembrava che bloccasse sè stesso.

da ieri, da quando ho tolto il file che prsenterebbe il trojan non riesco neppure a scaricare più nulla e tante volte molte applicazine, e lo stesso mozilla, non rispondono.

Il file rdriv.sys era collegato al word pad di windows, forse eliminandolo qualcosa non funzia più, eppure c'è ancora la segnalazione.

Mi rendo conto che ciò che potete fare, senza stampante e con un'inesperta come me è forse solo consigliarmi di portarlo in officina riparazioni.

[Yusuke]

Grazie infinite lucass per il modo con cui hai esposto, imagino che per chi è competente in materia sia noioso e anche complicato spiegare a chi non ne sà nulla.

Sì, non faccio che aggiornare con win update.

Al momento mentre scrivo la finestrella di AVG Resident Shield's continua ad essere presente, da ieri e non c'è verso di chiuderla, perchè evidentemente il trojan è ancora presente.

Sì mi rendo conto che il kerio deve aver trovato qualche incompatibilità, e forse, io non sono perfettamente in grado di gestire gli antispy, nel settarli intendo, forse ho fatto qualche casotto io.

La cosa strana è che nei detagli del firewell stesso, sembrava che bloccasse sè stesso.

da ieri, da quando ho tolto il file che prsenterebbe il trojan non riesco neppure a scaricare più nulla e tante volte molte applicazine, e lo stesso mozilla, non rispondono.

Il file rdriv.sys era collegato al word pad di windows, forse eliminandolo qualcosa non funzia più, eppure c'è ancora la segnalazione.

Mi rendo conto che ciò che potete fare, senza stampante e con un'inesperta come me è forse solo consigliarmi di portarlo in officina riparazioni.

84442[/snapback]

Scusate la mia intromissione

A quanto pare riguardo Lucas c'è chi non la pensa come te in un'altra discussione... :ranting2:

Comunque volevo dirti se hai provato a fare delle scansioni online con Panda e Kaspersky

Scusate di nuovo

[Guest lucass]

Ciao sonia per me non è noioso anzi il contrario,se lo faccio un motivo c'è dalla prima impressione sul messaggio di kerio ho pensato che qualcuno che ti dava quel messaggio informazioni non se ne trovano devo provare sul forum di kerio ma adesso dormono nel pomeriggio provo,per adesso ti dico di provare a postare un log di hijack per vedere se li appare qualcosa di strano,ti linko una guida di kuma un moderatore di questo forum

http://www.h3.dion.ne.jp/~sole/Yoghi/Hijac...jack-guida.html

[sonia70']

mozilla non mi permette l'update, l'applicazione in quella fase si blocca e non risponde.

Provo con I.E.

[sonia70']

Niente da fare, non riesco ad allegare.

Da quanto vedo sul log comunque, sembra che non identifichi nessun spy.

[Guest lucass]

Ciao sonia il log deve essere analizzato,comunque provalo ad incollare qui nel forum senza allegarlo,selezioni tutto quello che esce dal block notes di windows,copia e incolli qui,se usi firefox incolli con Control+V con IE basta che metti il cursore nel "box" tasto destro del mouse e selezioni incolla

[sonia70']

Ma, ho letto dal post del moderatore che è vietato, non lo è?

Non vorrei arrecarvi in alcun modo danno o più fastidi del dovuto.

Copio e incollo nel post?

[Guest lucass]

Si ma se non lo fa allegare non vedo risoluzione,poi me lo salvo io e l'allego nel mio post,e tu lo elimini modificando il tuo post

[sonia70']

Ecco il LOG

Quando darete comunicazione lo cancello, ho capito bene?

_______

Edited by KUMA

[Kuma]

Sonia, il log che devi allegare non è quello che hai messo tu... ma quello di HIJACK

______________________________________________________

Per il tuo problema...si tratta di un rookit, cioe' di un programma che ha lo scopo di

nascondere il processo del vero malware installato sul tuo computer, la quale

crea e installa il rootkit ogni volta che viene eseguita. Dal momento

che l'antivirus riconosce solo il rootkit e non il suo dropper, anche se elimini il rootkit non risolvi nulla in modo definitivo: al prossimo riavvio il malware si crea di nuovo.

Potrebbe trattarsi di un malware chiamato Spybot.NLX o una sua variante...

Quindi prova a postare il log esatto... (se non riesci mandami un PM che ti dò la mia email per inviarlo) e vediamo che cosa devi rimuovere...

Scarica Hijack e leggi la guida su questa mia pagina puoi leggere una breve guida su Hijack

[sonia70']

Ecco, ci avrei giurato che non avrei capito.

Kuma il problema è che non riesco a scaricare nulla, nè uplodare, nulla di nulla.

Ma Ad-aware non è in grado di riconoscere ed eliminare i malware?

Provo a cercare il file con il nome che mi hai dato tu e vediamo se riesco a rintracciarlo.

Meglio se eseguo in modalità provvisoria?

[Kuma]

Aspetta un attimo... provo ametterti qui le istruzioni GENERICHE...

calcola che se hai una nuova variante, serviranno ben a poco... comunque proviamo dammi 10 minuti

[sonia70']

Errata corige, sono riuscita a scaricarlo, ora seguo le istruzioni e spero di riuscire a non sbagliare ancora.

Faccio sapere, grazie Kuma e grazie a tutti, per la pazienza.

[sonia70']

Ecco, è questo che serve?

(se sbaglio di nuovo, mandatemici pure eh?)

Modificato September 2, 2005 da Kuma

[sonia70']

:o Come ho lanciato lo scan del programam la finestrella del trojan è scomparsa :o

[Danix]

Sonia, in attesa delle istruzioni dettagliate di Kuma, dal tuo log risulta che non hai fatto TUTTI gli aggiornamenti da Windows Update (e questo è molto importante per la sicurezza).

Infatti hai ancora il service pack 1, dovresti installare il Service pack 2!

Inoltre non hai il firewall attivo!

Come minimo attiva quello di Xp!

[Kuma]

STAMPA LE ISTRUZIONI

1. Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

2. Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)-- Start\Pannello di controllo\Sistema\Ripristino configurazione sistema--

Metti la spunta necessaria...

3. Avvia in modalità provvisoria

Da START\ESEGUI digita > regedit

portati alle seguenti chiavi e (se ci sono) elimina i valori in rosso dal pannello di destra: (correggendo le voci in grassetto , dovresti poter navigare )

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"restrictanonymous" = "1" <--- cambia in "0" (zero)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\"EnableDCOM" = "N" <--- cambia in "Y"

==========================================

==========================================

Elimina anche queste voci in rosso:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\

Legacy_ITUNESMUSIC\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\

Legacy_RDRIV\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\

parameters\AutoShareServer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanger\

parameters\AutoShareWks

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Lanmanworkstation\parameters\AutoShareServer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Lanmanworkstation\parameters\AutoShareWks

In queste chiavi: (elimina il valore in rosso)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\"AUOptions" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\"DoNotAllowXPSP2" = "1"

Con la funzione "Cerca" trova ed elimina i seguenti files:

iTunesMusic.exe (solitamente in C:\Windows)

[Kuma]

Allora Sonia mi avevi detto di non riuscire a scaricare <_<

Quindi aspetta prima di procedere che il log venga analizzato....

Le istruzioni che ti ho postato sopra sono quelle GENERICHE adesso controlliamo meglio dal log

[sonia70']

Lo so' che ti avevo detto che non riuscivo a scaricare ed era così, ieri anche mozilla non rispondeva e non riuscivo a scaricare.

Prima ho fatto un tentativo ed è andato in porto.

Scusami il trambusto, davvero.

[Guest lucass]

Ciao sonia altro che rooltik c'è una giungla nel tuo log

comunque segui queste istruzioni

scaricati questi programmi,se lo richiedono aggiornali

Kill Box(estrai l'eseguibile sul desktop e lascialo li)

Microsoft Antispy

Spybot 1.4

Ad-ware 1.6+Lingua Italiana

CwShredder

Spyware Blaster

RegSeeker

Ccleaner

-----------------------------------------------------------

Assicurati di visualizzare i file e le cartelle nascoste:

Start>Pannello di controllo>Opzioni cartella>Portati sulla scheda visualizzazione>Metti la spunta nella casella "Visualizza file e cartelle Nascoste">Applica>OK

DISATTIVA IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA

(Start>pannello di controllo>Sistema>portati sulla scheda "Ripristino di configurazione di Sistema>Metti la spunta nella casella>Applica>OK)

Avvia in modalita provvisoria

(Dopo aver eseguito il passaggio sopra indicato riavvia il pc,dopo la schermata della RAM(Le prime scritte)premi in continuazione il tasto F8 e scegli l'opzione "Avvia in modalita Provvisoria")

Apri hijack clicca su "Do a system scan only"

Metti la spunte nella caselle che corrispondono alle stringhe che ti metto sotto e clicca su "FIX CHECKED"

(SE LE VOCI NON COMPAIONO IN MODALITA PROVVISORIA DEVI FISSARLE IN MOD NORMALE)

D:\WINDOWS\System32\wuamk032.ex

D:\WINDOWS\System32\systems.exe

D:\WINDOWS\System32\IEXPL0RE.EXE

D:\WINDOWS\SYSWIN32.EXE

O4 - HKLM\..\Run: [Microsoft Developer Network] msdn.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe

O4 - HKLM\..\Run: [system Driver] systems.exe

O4 - HKLM\..\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE

O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE

O4 - HKLM\..\RunServices: [Microsoft Developer Network] msdn.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe

O4 - HKLM\..\RunServices: [system Driver] systems.exe

O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\Run: [Micrsoft Internet Explorer] IEXPL0RE.EXE

O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\RunServices: [Micrsoft Internet Explorer] IEXPL0RE.EXE

O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif

O23 - Service: SYS MANAGER (system) - Unknown owner - D:\WINDOWS\SYSWIN32.EXE

-----------------------------------------------------------

Apri il task manager(control+alt+canc)

trova e se ci sono termina questi processi,per terminarli basta che li selezioni,tasto destro del mouse e selezioni "termina processo"

wuamk032.exe

systems.exe

IEXPL0RE.EXE

SYSWIN32.EXE

----------------------------------------------------------

Apri KillBox

inserisci all'interno della stringa bianca questo percorso

D:\WINDOWS\System32\wuamk032.ex

metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso

Ripeti l'operazione per

D:\WINDOWS\System32\systems.exe

D:\WINDOWS\System32\IEXPL0RE.EXE

D:\WINDOWS\SYSWIN32.EXE

----------------------------------------------------------

Con la funzione cerca trova ed elimina anche dal cestino

msdn.exe

wuamk032.exe <----potresti non trovarlo

systems.exe <----potresti non trovarlo

IEXPL0RE.EXE <----potresti non trovarlo

msdos.pif

SYSWIN32.EXE <----potresti non trovarlo

----------------------------------------------------------

Sempre dalla modalita provvisoria Ripeti le varie scansioni con i programmi scaricati prima e l'antivirus,applica le protezioni di CWShredder.exe e Spyware Blaster

Apri Ccleaner lascia le spunte come sono e clicca su "Avvia ccleaner"

Apri regseeker assicurati di avere la spunta sulla voce "copia voci rimosse"si trova in basso a sinistra,clicca su pulisci registro(per metterlo in italiano clicca su language e scegli italiano)una volta finito,selezioni la prima chiave e trascini tutto in sotto fino a quando non hai selezionato tutto,tasto destro del mouse seleziona "elimina valori selezionati"

Riavvia in modalita normale(toglia la spunta dal ripristino di configurazione di sistema)

Torna qui e segui queste istruzioni

1-Create una nuova cartella sull’hard disc

2-Scaricate Syclean e il Patter aggiornato

3-ed inseritelo nella cartella precedentemente creata

4-Scompattiamo il Patter(file rar) nella cartella creata

5-Fatto questo aprite la cartella “syclean”

5-Disabilitate il ripristino di configurazione di sistema(xp e me)

6-Riavviate in modalità provvisoria

7-Chiudete tutte le applicazioni

8-Lanciate l’eseguibile syclean.com

9-Ti si apre una schermata metti la spunta nella casella "Automatically clean or delete detected files"

10-Assicurati che scansioni tutto quindi ci deve stare la spunta nella casella "Scan local fix driver"

11-Clicca su SCAN e la scansione inizierà

12-Al termine della scansione, Sysclean genera un log dove sono riportati i risultati della scansione appena effettuata.

Potete visualizzarlo premendo il tasto View Log,Oppure guardando all’ interno della cartella dove avete messo il tool, aprendo il file SYSCLEAN.LOG con il blocco note e postacelo qui

non avevo visto KUMA perdon

Modificato September 2, 2005 da lucass

[Kuma]

Hai fatto bene lucass...

Avevo visto che stavi scrivendo e quindi ho aspettato a postare :andy:

inoltre stavo rispondendo anche a una email... tutto a posto

@Sonia segui quello che ti ha indicato Lucass

[sonia70']

Non potete capire la fatica, a causa della mancanza di stampante (temporanea, ma tant'è è fuori uso) ho dovuto copiare tutto a mano!

Lo Spyclean scaricato e anche il patter non apre.

Comunque, mentre procedevo ho scritto i rapporti dai vari programmi lanciati:

Haijajacket, in mod.provvisoria non ha rilevato i D:\windows e poi non l'ha rilevati nemmeno in modalità normale.

il tak manager presenta questi processi:

taskmgr.exe

explorer.exe

svchost.exe

svchost.exe

lsass.exe

csrss.exe

system

ciclo idle del SYSTEM

Ho altri risultati di scansioni di ad-aware e in particolare il Kill dice che vi è ancora un worm: win32\Rbot con destinazione d:\windows\system32\bling.exe

ma da 'cerca', non esce fuori

Pare che AVG abbia terminato il trojan, ma appunto il kill, scansionando dopo, ha rilevato il worm ed effettivamente il pc ancora non funziona, si aprono finestre di 'l'applicazione non risponde', come avviene per il syclean.

Mi auguro di non aver fatto casini

Mi conviene tentare di scaricare imediatamente altro, se vi riesco, come il Service Pack2 e qualche firewall o è meglio aspettare?

[Danix]

Attiva subito almeno il firewall di Xp!

Successivamente poi scaricherai Sygate o ZoneAlarm per avere una protezione maggiore!

E scarica tutti gli aggiornamenti da Windows Update, dovresti scaricarlo automaticamente il service pack 2!

Altrimenti Download

Non dimenticare di aggiornare l'antivirus!