Проблема - возможно файл riodrv

Printable View

10.06.2009, 01:52
koks1

Вложений: 3

Проблема - возможно файл riodrv

Здравствуйте
Помогите пожалуйста
Рассказываю попорядку
Сначала Касперский нашел вирус
удалено: вирус Worm.Win32.Downloader.aja Файл: C:\Program Files\Microsoft Common\svchost.exe
Потом Касперский предотвратил сетевую атаку

Вот лог касперского

[SIZE=3][FONT=Times New Roman]09.06.2009 23:06:36 Файл C:\Program Files\Microsoft Common\svchost.exe, обнаружено: вирус 'Worm.Win32.Downloader.aja'.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]09.06.2009 23:06:36 Обнаружены вредоносные объекты. Рекомендуется обезвредить их немедленно.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]09.06.2009 23:06:39 Файл C:\Program Files\Microsoft Common\svchost.exe, обнаружено: вирус 'Worm.Win32.Downloader.aja'. Пользователь: WORKGROUP\KOSTYA$, компьютер:localhost.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]09.06.2009 23:07:08 Файл C:\Program Files\Microsoft Common\svchost.exe, обнаружено: вирус 'Worm.Win32.Downloader.aja'.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]09.06.2009 23:07:13 Файл C:\Program Files\Microsoft Common\svchost.exe удален.[/FONT][/SIZE]
09.06.2009 23:46:04 Вредоносный HTTP-объект <[URL]http://naf77.biz/2/winsock.exe//[/URL]#>: обнаружено: вирус 'Email-Worm.Win32.Bagle.adw'.
09.06.2009 23:46:04 Вредоносный HTTP-объект <[URL]http://naf77.biz/2/winsock.exe//[/URL]#>: доступ заблокирован.
09.06.2009 23:46:24 Intrusion.Generic.TCP.Flags.Bad.Combine.attack! IP-адрес атакующего: 94.76.99.81. Протокол/сервис: TCP на локальный порт 33344. Время: 09.06.2009 23:46:24
09.06.2009 23:51:21 Защита вашего компьютера работает.
09.06.2009 23:52:03 Intrusion.Generic.TCP.Flags.Bad.Combine.attack! IP-адрес атакующего: 94.76.99.81. Протокол/сервис: TCP на локальный порт 33344. Время: 09.06.2009 23:52:03
09.06.2009 23:57:18 Попытка процесса с PID 496 получения доступа к процессу Kaspersky Internet Security с PID 816 заблокирована. Это результат срабатывания механизма самозащиты.

Сейчас появляется сообщение касперского о сетевой активности файла riodrv
Этот файл пофвился в папке system32 как раз после вышеописанных проблем
Прочитал в интернете про этот файл - вроде вирус

И вообще по ощущениям вроде с ситемой не все в порядке

Посмотрите пожалуйста логи и подскажите что делать

Прилагаю все нужные файлы логов avz и hijack
10.06.2009, 06:33
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\sw20.exe','');
QuarantineFile('C:\WINDOWS\Updreg.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
QuarantineFile('c:\windows\system32\riodrv.exe','');
TerminateProcessByName('c:\windows\system32\riodrv.exe');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=47578[/url]

3. Повторите логи.
10.06.2009, 20:27
koks1

Выполнил скрипт

Перезагрузилось

При загрузке загружалось дольше обычного и при появлении наконец рабочего стола выскочило сообщение:
"Windows не удалось найти riodrv.exe. Проверьте, что имя было введено правильно и повторите попытку ........."

Карантин выслал по ссылке

Сейчас сделаю новые логи
10.06.2009, 20:59
koks1

Вложений: 2

Сделал логи avz
Сделать лог Hijack не получилось

Выполнение застревает на 04 - Registry & Start Menu autorans

При нажатии на клавишу мыши появляется сообщение

This action cannot be completed because the other application is busy. Choose "switch to" to activate the busy application and correct the problem

Может это связано с сообщением которое появляется при загрузке компьютера - я писал о нем в предидущем посте
10.06.2009, 21:42
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('riodrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=47578[/url]

3. Повторите логи.
10.06.2009, 22:20
koks1

Вложений: 3

Выполнил скрипт
Перезагрузилось

Загрузилось после этого вроде нормально

Выслал карантин

Загрузил новые логи
10.06.2009, 22:36
Aleksandra

Ничего зловредного в логах нет.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

C:\!BEST PROGRAMS\DAEMON Tools\DAEMON TOOLS PRO 4.11.0219 BASIC\AdVantage.rar - удалите. В нем адварь.
10.06.2009, 22:58
koks1

Спасибо за помощь

И не могли бы Вы подсказать из-за чего все началось
И надо ли что-то сделать чтобы предотвратить такую ситуацию в будущем
10.06.2009, 23:34
light59

[QUOTE]И надо ли что-то сделать чтобы предотвратить такую ситуацию в будущем [/QUOTE]
А сделать нужно это [URL="http://virusinfo.info/showthread.php?t=30339"]http://virusinfo.info/showthread.php?t=30339[/URL]

[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL] (может потребоваться активация) + последующие обновления.

Установите Adobe Reader 9.1 или деинсталлируйте старый.
11.06.2009, 23:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\microsoft common\svchost.exe - [B]Worm.Win32.AutoRun.apvm[/B] ( DrWEB: Win32.HLLW.Autoruner.6326 )[*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.gh[/B] ( DrWEB: Trojan.DownLoad.5244 )[*] c:\windows\system32\riodrv.exe - [B]Backdoor.Win32.Delf.ppk[/B] ( DrWEB: Trojan.PWS.Banker.28819 )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Downloader.Win32.Agent.cfzu[/B] ( BitDefender: Gen:Trojan.Heur.Dropper.7142BDBDBD )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]