Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

riodrv.exe и что-то ещё. (заявка № 48154)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32

    Thumbs up riodrv.exe и что-то ещё.

    Комп активно предлагал экспортировать сертификаты из IE при каждой мало-мальской операции.
    Увидел странный процесс - Riodrv. Убил самостоятельно (надеюсь) - выгрузил процесс, службу, унёс из папки system32.
    Symantec поднимался, но ничего не находил. Снёс его.
    Скачал KIS триал, поставил, а он не поднимается (и не деинсталируется теперь), так что даже не понятно что в системе есть (а что-то точно осталось).
    RemovalTool сказала что всё окей.
    AVZ и HijackThis запускаются только после переименования.
    При загрузке примерно минуту с появлением рабочего стола комп о чём-то сурово думает - в task менеджере процессы запущены от имени никого.... потом начинают появляться потихоньку.
    Помогите!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    почему логи в safe mode ? ... все операции выполнять в нормальном режиме ...
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('digiwet.dll','');
     DeleteService('AcrSch2Svc');
     QuarantineFile('AcrSch2Svc.sys','');
     DeleteService('cmdService');
     QuarantineFile('cmdService.sys','');
     DeleteService('winsecguard');
     QuarantineFile('winsecguard.sys','');
     DeleteFile('winsecguard.sys');
     DeleteFile('cmdService.sys');
     DeleteFile('AcrSch2Svc.sys');
     DeleteFile('digiwet.dll');
     ExecuteRepair(9);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от V_Bond Посмотреть сообщение
    почему логи в safe mode ? ... все операции выполнять в нормальном режиме ...
    выполните скрипт

    пришлите карантин согласно приложения 3 правил
    повторите логи
    Отправил.
    Сори за сейф мод - спугался.

    Симптомы пока те же.
    Забыл добавить - очень много в процессах svchost.exe
    И теперь какие-то ещё незнакомцы появились - wmiadap и wscntfy.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Логи повторите в обычном режиме.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от light59 Посмотреть сообщение
    Логи повторите в обычном режиме.
    Сделано

    Help! Всё ещё актуально.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.06.2009 в 10:10.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Прочитайте и выполните это:
    http://virusinfo.info/showthread.php?t=43700.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {1093FA3A-6ED8-6F70-F23C-1AE339E2FFCC} - (no file)
    O2 - BHO: (no name) - {932E1C4F-DCA3-8C08-DF7B-FEADDDBC73C4} - (no file)
    O2 - BHO: (no name) - {B3294D6A-DBAA-F92A-DF7B-8FADABE32492} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    Больше ничего плохого не видно.
    Какие проблемы остались?
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от Bratez Посмотреть сообщение
    Прочитайте и выполните это:
    http://virusinfo.info/showthread.php?t=43700.

    Пофиксите в HijackThis:
    Больше ничего плохого не видно.
    Какие проблемы остались?
    Поправил http://virusinfo.info/showthread.php?t=43700
    Пофиксил HijackThis.

    Собственно HijackThis, AVZ без переименовки запускаются.
    Антивирус поставился и запустился.
    Спасибо огромное.

    Остались лишь проблема с загрузкой системы:
    появляется рабочий стол, в трее только динамик от звука и всё. Даже антивирус не поднимается.
    При этом диспетчер задач выглядит следующим образом (см. атач) - задачи запущены никем?!?!.
    Не получается запустить некоторые программы (открыть сетевыем подключения, рисунок bmp поправить).
    Где-то через 3 минуты система оживает, всё что надо подгружается, в т.ч. антивирь.
    Изображения Изображения
    • Тип файла: jpg pm.JPG (52.7 Кб, 11 просмотров)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    При этом диспетчер задач выглядит следующим образом (см. атач) - задачи запущены никем?!?!.
    не запущена служба терминалов , да и не нужна она вам ...
    Где-то через 3 минуты система оживает
    что за железо ?

  10. #9
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от V_Bond Посмотреть сообщение
    что за железо ?
    Железо доброе - dell inspirion 6400 (dual core2 - 1.66, 1ГБ ram)

    Ощущение как будто я первые 3 минуты нахожусь в Safe Mode - пускаются только необходимые сервисы, а потом все остальные запускаются.

    Что беспокоит, так это то что в эти первые 3 минуты не доступен антивирь - скачал Касперского специально опять попробовать - служба не поднимается в течение этих 3х минут.

    После этих 3-х мину иногда что-то странное идёт - например запускается служба антивируса, и при этом останавливается (сама) служба WebClient (знаю что не нужна, но само поведение смущает).

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Попробуйте загрузиться, отсоединив кабель локальной сети.
    Будет разница?
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от Bratez Посмотреть сообщение
    Попробуйте загрузиться, отсоединив кабель локальной сети.
    Будет разница?
    Нет. Симптомы те же.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Скачайте, запустите на ПОЛНОЕ сканирование, лог - в студию.

  14. #13
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Сделано.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 19.06.2009 в 19:22.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Удалите все находки и сообщите - полегчало ли?

  16. #15
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Удалите все находки и сообщите - полегчало ли?
    Нет не полегчало - включение и выключение по 3 минуты.
    Подозреваю что нашёл причину - служба "Рабочая станция" (lanmanworkstation). Если отключить на совсем, то компьютер запускаетя как и должен.
    Поэтому - огромное спасибо за помощь с вирусами - вероятно тема закрыта.
    Хотел бы узнать (если возможно уж) - нужна ли эта служба? Или может её как-то можно поставить запускаться самой последней?!?

    Anyway спасибо огромное

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('cmdService');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys');
     DeleteService('cmdService');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('cmdService');
    BC_Activate;
    RebootWindows(true);
    end.
    После ребута - новые логи в студию и карантин закачайте по правилам.

  18. #17
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('cmdService');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdService.sys');
     DeleteService('cmdService');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('cmdService');
    BC_Activate;
    RebootWindows(true);
    end.
    После ребута - новые логи в студию и карантин закачайте по правилам.
    Карантин отправил. Сори, пускал скрипт 2 раза :\ После первого в карантине было пусто, после второго 2 файла
    Что делать - чайник :/

  19. #18
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    После ребута - новые логи в студию .
    done
    Загрузка компа теперь кстати бойкая - спасибо
    Вырубается почему-то лишь долго.
    Anyway спасибо что возитесь [сайт поблагодарил]
    Вложения Вложения

  20. #19
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    12
    Вес репутации
    32
    Жить буду?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В логах ничего плохого не видно.
    I am not young enough to know everything...

  • Уважаемый(ая) djaxel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. автозагрузка riodrv.exe
      От zlichu в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.02.2010, 11:21
    2. файл riodrv.exe
      От Ru$an в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.10.2009, 09:42
    3. riodrv.exe
      От lamborghinna в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 31.08.2009, 17:35
    4. riodrv.exe
      От gdr14k217 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 28.06.2009, 19:10
    5. Riodrv.exe
      От Lesnik в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 19.06.2009, 16:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01321 seconds with 17 queries