www.MegaLab.it

[tinto101]

sp_rsdrv2.sys me lo da in molte voci GMER ma scritto
in nero di che si tratta ?


System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwClose [0xF4317606]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateFile [0xF431705A]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateKey [0xF4316D3C]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwCreateSection [0xF4318652]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteKey [0xF4316E46]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwDeleteValueKey [0xF4316F30]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF424C0AC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwLoadDriver [0xF43178CC]
SSDT \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ZwOpenFile [0xF4317362]


e questo e' normale o ?



AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat InCDrec.SYS (InCD File System Recognizer/Ahead Software AG)

e questo ?

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----



grazie mille

[ste_95]

E' un file di Spyware Terminator:

http://www.fbmsoftware.com/spyware-net/ ... _sys/3357/

Acronis è anche lui legittimo:

http://www.file.net/process/snapman.sys.html

Scarica mbr.exe e salvalo nella directory C:\
Dopo vai su Start>> Esegui e digita c:\mbr.exe
Mbr.exe metterà qualche secondo a fare la scansione. Fatto ciò postami qui il contenuto del log creato che troverai in c:\mbr.log

[tinto101]

grazie mitico! quindi sono infetto ?

ma faccio mbr.exe o anche con la -f finale ?

faccio e ti metto il log...

[Amantide]

ma faccio mbr.exe o anche con la -f finale ?

Prima fai solo mbr.exe e se vedi che i risultati sono negativi, procedi pure con C:\mbr.exe -f

[tinto101]

grazie mille a entrambi !

ecco il log di MBR :


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 62 !



ecco il nuovo log di GMER, sempre uguale a prima:

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0
sector 62: copy of MBR

---- EOF - GMER 1.0.14 ----


quindi debellato o il fatto che compaia ancora
la voce Disk in GMER, significa che c'e ancora
infezione ? che faccio ora ? grazie

[ste_95]

Intendiamoci, non è che avere una copia dell'MBR in un settore dell'hard disk significhi avere un rootkit nel Master Boot Record, però sai...

Per scrupolo, dagli anche il -f finale.

[tinto101]

grazie ste !

fatto sia con che senza f e il log e' sempre quello !

che fare ? grazie

[ste_95]

Io non me ne preoccuperei più di tanto, mi sembra di capire che tanto problemi con il computer non ne riscontri. Sia mai che poi c'è Acronis di mezzo.

[tinto101]

dici che sia dovuto a acronis ? grazieee

[ste_95]

Ti ripeto, non ne sono sicuro, ma visto che problemi particolari non ne troviamo, e che alla fine è solo una copia dell'MBR, perché preoccuparsi tanto?

[tinto101]

ok speriamo in bene ! grazie e buon w-e a tutti voi !

[ste_95]

ok speriamo in bene ! grazie e buon w-e a tutti voi !

Grazie, anche a te!