riodrv.exe и что-то ещё.

Комп активно предлагал экспортировать сертификаты из IE при каждой мало-мальской операции.
Увидел странный процесс - Riodrv. Убил самостоятельно (надеюсь) - выгрузил процесс, службу, унёс из папки system32.
Symantec поднимался, но ничего не находил. Снёс его.
Скачал KIS триал, поставил, а он не поднимается (и не деинсталируется теперь), так что даже не понятно что в системе есть (а что-то точно осталось).
RemovalTool сказала что всё окей.
AVZ и HijackThis запускаются только после переименования.
При загрузке примерно минуту с появлением рабочего стола комп о чём-то сурово думает - в task менеджере процессы запущены от имени никого.... потом начинают появляться потихоньку.
Помогите!

почему логи в safe mode ? ... все операции выполнять в нормальном режиме ...
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digiwet.dll','');
DeleteService('AcrSch2Svc');
QuarantineFile('AcrSch2Svc.sys','');
DeleteService('cmdService');
QuarantineFile('cmdService.sys','');
DeleteService('winsecguard');
QuarantineFile('winsecguard.sys','');
DeleteFile('winsecguard.sys');
DeleteFile('cmdService.sys');
DeleteFile('AcrSch2Svc.sys');
DeleteFile('digiwet.dll');
ExecuteRepair(9);
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

[QUOTE=V_Bond;418552]почему логи в safe mode ? ... все операции выполнять в нормальном режиме ...
выполните скрипт

пришлите карантин согласно приложения 3 правил
повторите логи[/QUOTE]

Отправил.
Сори за сейф мод - спугался.

Симптомы пока те же.
Забыл добавить - очень много в процессах svchost.exe
И теперь какие-то ещё незнакомцы появились - wmiadap и wscntfy.

Логи повторите в обычном режиме.

[QUOTE=light59;418573]Логи повторите в обычном режиме.[/QUOTE]
Сделано

Help! Всё ещё актуально.

Прочитайте и выполните это:
[url]http://virusinfo.info/showthread.php?t=43700[/url].

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {1093FA3A-6ED8-6F70-F23C-1AE339E2FFCC} - (no file)
O2 - BHO: (no name) - {932E1C4F-DCA3-8C08-DF7B-FEADDDBC73C4} - (no file)
O2 - BHO: (no name) - {B3294D6A-DBAA-F92A-DF7B-8FADABE32492} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
[/code]
Больше ничего плохого не видно.
Какие проблемы остались?

[QUOTE=Bratez;418705]Прочитайте и выполните это:
[URL]http://virusinfo.info/showthread.php?t=43700[/URL].

Пофиксите в HijackThis:
Больше ничего плохого не видно.
Какие проблемы остались?[/QUOTE]

Поправил [URL]http://virusinfo.info/showthread.php?t=43700[/URL]
Пофиксил HijackThis.

Собственно HijackThis, AVZ без переименовки запускаются.
Антивирус поставился и запустился.
Спасибо огромное.

Остались лишь проблема с загрузкой системы:
появляется рабочий стол, в трее только динамик от звука и всё. Даже антивирус не поднимается.
При этом диспетчер задач выглядит следующим образом (см. атач) - задачи запущены никем?!?!.
Не получается запустить некоторые программы (открыть сетевыем подключения, рисунок bmp поправить).
Где-то через 3 минуты система оживает, всё что надо подгружается, в т.ч. антивирь.

[QUOTE]При этом диспетчер задач выглядит следующим образом (см. атач) - задачи запущены никем?!?!.[/QUOTE]
не запущена служба терминалов , да и не нужна она вам ...
[QUOTE]Где-то через 3 минуты система оживает[/QUOTE]
что за железо ?

[QUOTE=V_Bond;419204]что за железо ?[/QUOTE]
Железо доброе - dell inspirion 6400 (dual core2 - 1.66, 1ГБ ram)

Ощущение как будто я первые 3 минуты нахожусь в Safe Mode - пускаются только необходимые сервисы, а потом все остальные запускаются.

Что беспокоит, так это то что в эти первые 3 минуты не доступен антивирь - скачал Касперского специально опять попробовать - служба не поднимается в течение этих 3х минут.

После этих 3-х мину иногда что-то странное идёт - например запускается служба антивируса, и при этом останавливается (сама) служба WebClient (знаю что не нужна, но само поведение смущает).

Попробуйте загрузиться, отсоединив кабель локальной сети.
Будет разница?

[QUOTE=Bratez;419308]Попробуйте загрузиться, отсоединив кабель локальной сети.
Будет разница?[/QUOTE]
Нет. Симптомы те же.

[URL="http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html"]Скачайте[/URL], запустите на ПОЛНОЕ сканирование, лог - в студию.

Сделано.

Удалите все находки и сообщите - полегчало ли?

[QUOTE=Rene-gad;419762]Удалите все находки и сообщите - полегчало ли?[/QUOTE]
Нет не полегчало - включение и выключение по 3 минуты.
Подозреваю что нашёл причину - служба "Рабочая станция" (lanmanworkstation). Если отключить на совсем, то компьютер запускаетя как и должен.
Поэтому - огромное спасибо за помощь с вирусами - вероятно тема закрыта.
Хотел бы узнать (если возможно уж) - нужна ли эта служба? Или может её как-то можно поставить запускаться самой последней?!?

Anyway спасибо огромное :)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('cmdService');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys');
DeleteService('cmdService');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cmdService');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После ребута - новые логи в студию и карантин закачайте по правилам.

[QUOTE=Rene-gad;420552]- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('cmdService');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys');
DeleteService('cmdService');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cmdService');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После ребута - новые логи в студию и карантин закачайте по правилам.[/QUOTE]
Карантин отправил. Сори, пускал скрипт 2 раза :\ После первого в карантине было пусто, после второго 2 файла :)
Что делать - чайник :/

[QUOTE=Rene-gad;420552]
После ребута - новые логи в студию .[/QUOTE]
done
Загрузка компа теперь кстати бойкая - спасибо :)
Вырубается почему-то лишь долго.
Anyway спасибо что возитесь :) [сайт поблагодарил]

Жить буду? :)

В логах ничего плохого не видно.