Переодическое обращение к дисководу

[dmidon]

Выбирал для себя протекторы, много чего качал устанавливал и удалял, результат - идет постоянное обращение к дисководу (через 10 сек), медиа плеер и винамп не работают пишет:

Проигрывателю Windows Media не удается воспроизвести файл из-за неисправности звукового устройства. Возможно, на компьютере не установлено звуковое устройство, оно используется другой программой или работает неправильно.

На компе установлен simantec видимо все пропустил

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteRepair(9);
 QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ati2mtag.sys','');
 QuarantineFile('C:\RELAX\lib\xine\plugins\1.1.3\xineplug_ao_out_directx.dll','');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WPZID8EI\1[1].exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Program Files\Common Files\Justdo\Jd2002.dll','');
 QuarantineFile('c:\windows\system32\riodrv.exe','');
 DeleteFile('C:\WINDOWS\system32\riodrv.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WPZID8EI\1[1].exe');
 DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
 ExecuteRepair(9);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи

[dmidon]

Кнопки "Прислать запрошенный карантин" на странице не нашел, отправил по адресу http://virusinfo.info/upload_virus.php со ссылкой на страницу.

После перезагруки появляется окно с ошибкой:
Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

И еще окно:
---------------------------
riodrv.exe
---------------------------
Windows не удалось найти 'riodrv.exe'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
---------------------------
ОК
---------------------------

Обращения к дисководу прекратились!

Высылаю повторно логи

[Kuzz]

riodrv.exe - Backdoor.Win32.Delf.pii,
svchost.exe - Worm.Win32.AutoRun.fys
1[1].exe - Backdoor.Win32.Delf.phw,
sdra64.exe - Trojan-Spy.Win32.Zbot.gen

1. Похоже, что ваши пароли (от ICQ/e-mail etc.) могли уйти "налево"
Рекомендуется поменять.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 DeleteFile('riodrv.exe');
 DeleteFile('sdra64.exe');
 ExecuteRepair(9);
ExecuteSysClean;
end.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
O9 - Extra button: (no name) - DctMapping - (no file)

3. Если зарегистрированы на "Вконтакте" и/или "Одноклассники" - пароли менять обязательно!!!
Пофиксить:

Код:

O1 - Hosts: 196.205.115.59 vkontakte.ru
O1 - Hosts: 196.205.115.59 www.vkontakte.ru
O1 - Hosts: 203.158.228.6 odnoklassniki.ru
O1 - Hosts: 203.158.228.6 www.odnoklassniki.ru

4. Сделать еще раз лог HijackThis

[dmidon]

После перезагрузки появилось сообщение:
Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

строчку:
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
профиксить не удалось, ее небыло в списке

высылаю еще раз лог HijackThis

Спасибо за помощь.

[Bratez]

Рекомендуется удалить AskBar и Bonjour.
Больше ничего плохого не видно.

[dmidon]

Удалил.

при проверке AVZ в протоколе пишет:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86D621F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86D621F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 86A1E500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 86A1E500 -> перехватчик не определен


- это нормально?

Звук появился, но после перезагрузки снова пропал( дисковод в порядке,

спасибо!
Рад, что есть такие места в которых есть такие люди которые помогают, в прямом смысле этого слова. Человеческое спасибо

[Kuzz]

при проверке AVZ в протоколе пишет:
.....
- это нормально?

Звук появился, но после перезагрузки снова пропал( дисковод в порядке,

Это нормально. Антивирусу тоже надо как-то файлы проверять на лету. Вот он и ставит свои перехваты.

По поводу падения svchost надо смотреть системные журналы.
Там должны быть записи об этом.
Звук возможно является следствием этих падений.

[dmidon]

Спасибо Вам и вашему проекту, очень выручили.
Пойду и я сделаю кому нибудь доброе дело!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\microsoft common\svchost.exe - Worm.Win32.AutoRun.fys
  2. c:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\wpzid8ei\1[1].exe - Backdoor.Win32.Delf.phw ( DrWEB: Trojan.PWS.VisStud.5, BitDefender: Trojan.Generic.1919380 )
  3. c:\windows\system32\riodrv.exe - Backdoor.Win32.Delf.pii
  4. c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.gen ( BitDefender: Gen:Trojan.Heur.Hype.7142BDBDBD )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !