lzx32.sys e driver_irql

[antoce]

Cari amici, di tanto in tanto il pc mi si blocca e viene visualizzata la schermata blu che mi dice che c'è stato un errore nel modulo DRIVER_IRQL_NOT_LESS_OR_EQUAL file lzx32.sys
Address: AA9F8997 BASE AT AA9F1000, DATE STAMP 45804B2C. Cosa significa? grazie in anticipo

[MItaly]

http://www.megalab.it/articoli.php?id=943
(fatti spostare in Sicurezza informatica e virus)

[darkkik]

Fatto.

[antoce]

ora ci provo, ma non esiste una rimozione manuale? e poi che significa DRIVER_IRQL_NOT_LESS_OR_EQUAL?

[OYS]

È un rootkit, il Rustock. Scarica questo fix (dovrebbe esserci anche nell'articolo che ha postato MItaly):


http://www.uploads.ejvindh.net/rustbfix.exe

[antoce]

Mi ha restituito due file:
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
04/12/2007 13.54.21,04

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 68944
Total size: 68944 bytes.
Attempting to remove ADS...
system32: deleted 68944 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************



e l'altro file:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\tpcpagal

*******************

Script file located at: \??\C:\WINDOWS\system32\msvgesvq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.


Cosa vuol dire?

[OYS]

Dal log ho visto che ha tolto il driver nascosto PE386.
Hai ancora problemi?

[antoce]

per ora funziona tutto ma cos'è questo driver nascosto PE386?

[OYS]

Originariamente inviato da antoce
per ora funziona tutto ma cos'è questo driver nascosto PE386?

È il driver caricato dal rootkit che ne determina il funzionamento.

[antoce]

grazie di tutto OYS se avrò ancora problemi vi farò sapere su questo post. a presto