HackTool:Win32/Rwdrv on C:\WINDOWS\system32\drivers\RwDrv.sys

Question

Due giorni fa windows defender find HackTool:Win32/Rwdrv on C:\WINDOWS\system32\drivers\RwDrv.sys.
Ultimamente non è stato installato nessun software, unico update eseguito è HUAWEI - firmaware - 0.3.2.5 da aggiornamenti facoltativi di windows.
Nella history dei rilevamenti di windows defender non risulta, riesco a vedere il rilevamento tramite prompt con i comendi Get-MpThreatDetection e

Get-MpThreat

ActionSuccess : True

AdditionalActionsBitMask : 0

AMProductVersion : 4.18.23070.1004

CleaningActionID : 2

CurrentThreatExecutionStatusID : 0

DetectionSourceTypeID : 2

DomainUser : NT AUTHORITY\SYSTEM

InitialDetectionTime : 16/08/2023 12:25:12

LastThreatStatusChangeTime : 16/08/2023 12:25:40

ProcessName : Unknown

RemediationTime : 16/08/2023 12:25:40

Resources : {file:_C:\WINDOWS\system32\drivers\RwDrv.sys}

ThreatStatusErrorCode : 0

ThreatStatusID : 3

PSComputerName :

Da quello che ho capito dagli id è stato messo in quarantena, ma non riesco ad accedervi, probabilmente perchè ho installato ESET internet securtity.
ESET non ha mai rilevato nulla e non ho installato RWeverything. Su reddit ho trovato anche altri utenti che hanno avuto la segnalazione nello stesso periodo:

https://www.reddit.com/r/pcmasterrace/comments/15pak3l/windows_defender_found_win32rwdrvsys/?rdt=33284

https://www.reddit.com/r/antivirus/comments/15s82jm/hacktoolwin32rwdrv_found_on_pc_should_i_be_worried/ https://www.reddit.com/r/pcmasterrace/comments/15odyyw/hacktoolwin32rwdrv_detected_in_my_pc/

Il PC è sicuro o è stato compromesso da un trickboot?

Answer 1

Per assistere i nostri utenti, ci avvaliamo di un servizio di traduzioni. Ci scusiamo per gli errori grammaticali.

Quel file PDF che hai collegato è sul tuo PC, non posso accedervi, dovresti caricarlo su qualsiasi servizio cloud come OneDrive, Google Drive ... ecc. e poi fornisci un link di condivisione qui.

Answer 2

Eset era in funzione al momento del rilevamento di windows defender del HackTool:Win32/Rwdrv in C:\WINDOWS\system32\drivers\RwDrv.sys

Non so da quanto RwDrv.sys fosse nel sistema e che software possa averlo installato.
Il mio dubbio è che il pc sia stato compromesso da un trickboot o se rwdrv.sys sia un rilevamento preventivo di windows defender driver block rules https://learn.microsoft.com/en-us/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules

questo invece un link a trickboot file:///C:/Users/info/Downloads/CSIRT_Italiano_TrickBoot_threat_report.pdf

Answer 3

Per assistere i nostri utenti, ci avvaliamo di un servizio di traduzioni. Ci scusiamo per gli errori grammaticali.

Se Eset non ha trovato alcun malware sul PC, allora è libero da malware ed Eset sovrascriverà Defender e proteggerà il sistema se lo si sta utilizzando.

Answer 4

Grazie per la risposta.
Non riesco ad accedere a quelle cartelle, mi compare l'avviso

e se continuo

Ho già fatto più volte la scansione offline ed eseguendo Get-MpThreatDetection non visualizza nuovi rilevamenti.
Sul pc è in funzione ESET internet security, non so se è l'antivirus a bloccare le cartelle, comunque ESET non aveva rilevato nulla.

Answer 5

Per assistere i nostri utenti, ci avvaliamo di un servizio di traduzioni. Ci scusiamo per gli errori grammaticali.

Ciao, sono Dave, ti aiuterò con questo.

Apri Esplora file, quindi nel menu Visualizza in alto, attiva temporaneamente "Elementi nascosti".

Passare a questa cartella: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

Eliminare il contenuto della cartella Service.

Vai a questa cartella:

C:\ProgramData\Microsoft\Windows Defender\Quarantine

Eliminare il contenuto della cartella Quarantena.

Chiudere Esplora file.

Apri Defender e seleziona l'opzione per eseguire una scansione offline, il PC si riavvierà per eseguire tale scansione.

Quindi controlla se l'elenco dei malware è chiaro.