Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Смертельная схватка NOD32 и riodrv (http://forum.oszone.net/showthread.php?t=145752)

Firelord 21-07-2009 16:31 1173723
Смертельная схватка NOD32 и riodrv
 
Как я люблю свой ПК. у меня возникла проблема . однажды NOD32 удалил какой-то файл (особый)не помню какой. после перезагрузки выходит сообщение (Windows не удалось найти 'riodrv.exe'. Проверьте что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".) Заглавие (riodrv.exe).
Но и этого мало. После перезагрузки исщез NOD32. а через минуты 2 выходит сообщение (Ошибка связи со службой ядра NOD32). И после этого загрузка ЦП постоянно 70-80%.
В интернете можно полазить, а вот поиграть просто не возможно.
Но если перезагружать несколько раз подряд(точно не знаю бывает по-разному 1-8 раз) то NOD32 появится и всё нормально.
Так что приходиться держать ПК в ждущем режиме.
может ли кто-нибуть объяснить из-за чего это произошло и как это исправить?

Drongo 21-07-2009 20:56 1173985
Firelord, Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Firelord 22-07-2009 11:54 1174487
Вложений: 1
вот логи

Drongo 22-07-2009 12:54 1174529
Firelord, Здравствуй дорогой. :buba:

Предварительные рекомендации перед лечением:
Отключитесь от Интернет и локальной сети если таковая есть.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

      Как это сделать, можно подробно прочитать здесь.

* Подробнее можно прочитать в этой теме.


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('riodrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 QuarantineFile('C:\WINDOWS\system32\bmpndrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
 DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\bmpndrv.exe');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
 DeleteFile('riodrv.exe');
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [iocxmst] C:\WINDOWS\system32\winohybp.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Firelord 22-07-2009 15:11 1174674
вот письмо:
Здравствуйте,


sdra64.exe_ - Trojan-Dropper.Win32.Agent.aufb

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

>
>
>
> Погода на черноморских курортах<http://www.ukr.net/ScvKZC/footer/6f7345>.
>
-----------------
С уважением, Виталий Бутузов
Вирусный аналитик, Лаборатория Касперского
123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

thyrex 22-07-2009 15:23 1174684
Firelord, сделайте новые логи для контроля за процессом лечения

Firelord 22-07-2009 16:22 1174735
не понял те же логи ещё раз сделать?

akok 22-07-2009 17:03 1174786
Firelord, да, необходимо повторить процедуру подготовки логов.

Firelord 23-07-2009 10:25 1175338
Вложений: 1
вот логи новые

Drongo 23-07-2009 10:45 1175357
Firelord, Логи чистые.

Не игнорируйте рекомендации!
•Рекомендации:
В данном логе есть службы и настройки которые могут быть использованы в качестве потенциальной опасности:
Цитата:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Что из перечисленного в списке не нужно вам?


Обновите Windows XP SP2 до WindowsXP SP3, а также все последние обновления с http://windowsupdate.microsoft.com/
Рекомендую проверять систему регулярно, утилитой CureIT
Регулярно обновляйте базы для вашего антивируса.
Не работайте с правами Администратора на компьютере.


Что с проблемой, решилась?

Firelord 23-07-2009 11:17 1175388
Да, большое спасибо! стал нормально работать после проверки Dr. web

Drongo 23-07-2009 12:29 1175465
Firelord, Незабывайте отмечать тему решённой


Время: 14:52.

Время: 14:52.
© OSzone.net 2001-