trojan cachecachekit C:\WINDOWS\system32\rdriv.sys (CERRADO)

[mendaur]

Hola compañeros, tengo un gran problema me aparece un trojan en la carpeta C:\WINDOWS\system32\rdriv.sys, no hay manera de eliminarlo, que puedo hacer hay algun antivirus o algo para poder eliminarlo, una saludo y gracias.

Mendaur

[maura63]

Pasa tu antivirus en modo seguro y desactiva la restauracion del sistema antes.



De seguir con problemas



Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63

[msc hotline sat]

Y además mira de enviarnos este fichero :



C:\WINDOWS\system32\rdriv.sys



Para analizarlo e implementar su control y eliminacion en la proxima version de nuestra utilidad ELISTARA.



Para ello envianosla anexada a un mail a zonavirus@satinfo.es en cuyo texto indiques como referencia REF MENDAUR y tras recinirlo informaremos como respuesta dee este Tema



Entre esto y el log del HJT solicitado por maura63, podremos primero detener la accion de este malware en tu PC, eliminando claves de registro, y luego erradircarlo totalmente utilizando la herramienta cuando lo controle.



saludos



ms, 19-12-2005

[mendaur]

Hola, gracias por respuesta, me podeis detallar un poco mas

1ºDesactivo restauración xp

2ºInicio en modo seguro, pulsando f8

3ºEjecuto HijackThis 1.99.1

4ºHijackThis 1.99.1 encuentra el trojano en windonws,sistema32,rdv??? o que es lo que tengo que hacer aqui, es la duda que me queda, que hace HijackThis 1.99.1?

5º



Como os envio el virus????

Perdonar mi torpeza pero soy novato en esto.

Un saludo y gracias

[maura63]

Busca el archivo rdriv.sys y lo anexas a un e:mail enviandolo a zonavirus@satinfo.es le pones como referencia "MENDAUR".



de hijackthis simplemente nos pegas el log que te salga en el bloc de notas.



Saludos

maura63

[msc hotline sat]

y nos pegas el log del HJT en tu proximo post, para ver y eliminar la clave de carga del mismo



Ello se hace seleccionando el script que te genera el HJT (CTRL-E), copiandolo a portapapeles (CTRL-C) y una vez abierto el post de respuesta, se lo pegas con CTRL-V



Y te informaremos de lo que debes hacer con ello, como respuesta a este Tema



saludos



ms, 19-12-2005

[cenicienta]

prueba este programa killbox y sigue estas instrucciones y suerte A MI ME FUNCIONO

Para eliminar tanto librerías .DLL, .EXE u otros archivos que no se dejen eliminar normalmente, vamos a utilizar una herramienta llamada KillBox.



Descargar el progrma KillBox.zip y descomprimirlo.



Iniciar el KillBox.exe y seleccionar la opción "Delete on reboot" (Eliminar al reiniciar).



En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar).



Ahi poner el nombre del archivo que queremos eliminar y la ruta de donde se encuentra por ej: si queremos eliminar el archivo Bad.dll y se encuentra en la carpeta System32 ponemos:



C:\WINDOWS\System32\Bad.dll



Luego pulsar el botón que parece un circulo rojo con una X blanca. Cuando pregunte si se quiere reiniciar ahora ("Reboot now"), ponerle que Yes (SI) .



Si tenemos mas de un archivo para eliminar le ponemos que NO a reinicia y repetimos los procesos para luego si ponerle que reinicie y ahi eliminara estos archivos.

[msc hotline sat]

Gracias cenicienta, pero no queremos borrar este fichero sino que nos lo envie para analizarlo e incluir su eliminacion y control (tanto del fichero como de las claves que hubiera modificado) en una nueva version del ELISTARA.



Su eliminacion sin restaurar las claves que hubiera cambiado podría ser improcedente, y ser peor el remedio que la enfermedad !!!



Y se recuerda que para descargar utilidades como el KILLBOX no hace falta salir de esta web:



http://www.zonavirus.com/datos/historico.asp?idcategoria=106&genero=descargas



saludos



ms, 20-12-2005

[mendaur]

Hola compañeros:

Creo que no voy a eliminar el virus, resulta que el ordenador infectado es de un compañero de trabajo, y me lo paso para instalarle unos juegos que no podia, yo leinstale los juegos y detecte este virus, pero como no entendia muy bien como eliminarlo le he devuelto el ordendor y le he dicho que tiene un problemon, me daba un poco de miedo estropearle algo ya que soy novatillo.

En todo caso si nadie le puede solucionar el problema a lo mejor le hecho una mano. Me podeis especificar paso a paso ya siento ser tan pelma pero esque novatoooo

1-desactivar restauracion windows

2-reinicar en modo seguro(f8)

3-Pasar antivirus o eliminar carpeta infectada??

4-ejecuto el programilla, que no se exactamente que tiene que hacer

5-tengo que copiar el virus a un cd para enviaroslo, ya que el ordenador no lo voya tener conectado..



Ultimo si no quito este virus que pasara??? sin conecsión a internet no pasara nada no??

Un saludo y gracias por vuestra paciencia

[msc hotline sat]

punto 1.- correcto



punto 2.-Reiniciar no, apagar y arrancar de nuevo pulsando repetidamente F8 y escoger ARRANCAR EN MODO SEGURO



punto 3.- NO eliminar carpeta infectada, pues borrarías los gusanos pero no restaurarías las claves de registro modificados por ellos: Debe lanzarse antivirus, antispywares o utilidades al respecto. que restaurarán las claves y luego eliminaran gusanos.



Punto 4.- Ejecutar el HiJackThis siguiendo las indicaciones al respecto y postearnos el log resultante.



Punto 5.- No hace falta un CD. es suficiente un diskette: Copiar en él el fichero C:\WINDOWS\system32\rdriv.sys y nos lo envias en la forma ya indicada



Y tras analizar el fichero y a la vista del log del HJT, te informaremos como respuesta de este Tema



saludos



ms, 20-12-2005



PD y si no lo eliminas, segun el payload del bicho, aun sin conexion a Internet, puede sobreescribir toda la informacion, perdiendolo todo, o simplemente mostrar popups... segun tenga programado

[msc hotline sat]

Me informan que se ha recibido en zonavirus@satinfo.es un mail con la referencia MENDAUR (de este Tema) pero sin el fichero solicitado rdriv.sys



En SATINFO se examinan las muestras que se reciben por tres vías:



1.- Si se reciben en sat@satinfo.es deben indicar codigo de asociado a los servicios de satinfo, sino se rechazan y solicita dicho password. Si lo indican, son examinadas o se atiende la incidencia y se soluciona el problema, atendiendo la consulta y respondiendo al respecto



2.- Si se reciben en virus@satinfo.es e indican numero de asociado, se procede igual que en igual caso del apartado anterior, pero si no se indica numero de cliente, se analizan y se obra en consecuencia, pero sin mantener correspondencia.



3.- Si se reciben en zonavirus@satinfo.es son para muestras solicitadas en el foro de zonavirus, que deben indicar la referencia que se indica REF ... en el TEMA correspondiente y tras analizarlas se postea en el foro el resultado del analisis y la solucion al respecto. En esta cuenta no se atienden incidencias ni analisis de otro tipo de ficheros como los logs, problemas o comentarios, ya que para todo ello está el foro de zonavirus.



Si desea que analicemos el fichero en cuestion, envienoslo, pero no otra cosa !



saludos



ms, 10-1-2006



Nota: y "off de record", pruebe la ultima version del ELISTARA ...

[msc hotline sat]

Me informan que con esta referencia se recibe un log de HJT, que no viene al caso enviarlo a SATINFO al no estar asociado a su servicio tecnico. Unicamente las muestras solicitadas en el foro son analizadas, e implementadas la deteccion y eliminacion ne las utilidades, pero los logs deben postearse en el foro, al no ser contemplado dicho servicio para no asociados en SATINFO.



saludos



ms, 8.2.2006



NOTA: Todavía esperamos el RDRIV.SYS solicitado en este Tema!!! ms

[msc hotline sat]

En un vistazo superficial de dicho HJT, vemos al final:



O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe



Arranque en modo seguro y elimine esta clave !!! es un ROOTKIT, paeiente del RDRIV.SYS



Y si lo tiene, envienos tambien dicho fichero C:\WINNT\MSmedia.exe con la REF MENDAUR

a zonavirus@satinfo.es, gracias



saludos



ms, 09-2-2006



Nota: Y actualice los parches con un windowsupdate, que le faltan todos!

[msc hotline sat]

Con esta referencia en lugar de los ficheros pedidos, se nos ha enviado un mail anexando un log de HJT !!!



A la cuenta zonavirus@satinfo.es solo se deben enviar los ficheros que se soliciten, con la referencia en particular del Tema en cuestion, los cuales son analizados e implementado su control y eliminacion si procede, en las utilidades correspondientes, pero no logs d HJT no consultas tecnicas, que para estp está el foro.



Aparte de devolverse dicho mail bajo proforma al efecto, visto que en un mes no se ha enviado la muestra solicitada, se cierra este Tema y si requiere ayuda, postee nuevo foro a tal fin.



saludos



ms, 6-3-2006