[решено] Windows не удалось найти riodrv.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Windows не удалось найти riodrv.exe (http://forum.oszone.net/showthread.php?t=146391)

asdy	27-07-2009 19:32 1179230

Windows не удалось найти riodrv.exe

после запуска системы выходит окно с:

Windows не удалось найти riodrv.exe. Проверьте что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти"

как сделать так, чтоб оно больше не появлялось?

Drongo

27-07-2009 19:42 1179238

asdy, здравствуйте. :)

Цитата:

Цитата asdy

как сделать так, чтоб оно больше не появлялось? »

Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

asdy	27-07-2009 23:37 1179393

Вложений: 1

надеюсь логи сделала правильно...

просьба дальнейшие действия чуточку поразжевывать))
нечто подобное делаю впервые...

thyrex

28-07-2009 00:17 1179416

На время выполнения скрипта отключить все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows

У Вас три антивируса (KIS2009, KIS2010, DrWeb). Остановите свой выбор на одном из них

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\bmpndrv.exe','');

 DelBHO('{DF72B686-B51A-4267-AF11-2842228F2EC3}');

 DelCLSID('{5B9FD92D-F5FB-4f5b-8B97-843A0051CA45}');

 QuarantineFile('hjell32.dll','');

 QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');

 QuarantineFile('c:\windows\system32\mssrv32.exe','');

 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');

 QuarantineFile('C:\WINDOWS\system32\wsW4nol.dll','');

 DeleteFile('C:\WINDOWS\system32\wsW4nol.dll');

 DeleteFile('C:\WINDOWS\system32\svshost.dll');

 DeleteFile('c:\windows\system32\mssrv32.exe');

 DeleteFile('C:\WINDOWS\system32\riodrv.exe');

 DeleteFile('hjell32.dll');

 DeleteFile('C:\WINDOWS\system32\bmpndrv.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(16);

ExecuteRepair(17);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack

Код:

 O2 - BHO: (no name) - AutorunsDisabled - (no file)

F2 - REG:system.ini: UserInit=userinit.exe

O4 - Global Startup: AutorunsDisabled

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O21 - SSODL: oledll - {99845B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wsW4nol.dll (file missing)

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)

Сделайте новые логи

Если у Вас возникли трудности с выполнением инструкций, посмотреть можно
здесь (пункт 5)

asdy	28-07-2009 00:26 1179422

Цитата:

Цитата thyrex

У Вас три антивируса (KIS2009, KIS2010, DrWeb). Остановите свой выбор на одном из них »

обана....а про первые два я впервые слышу...хм.
я их даже и не вижу...как этих двух отключить?

thyrex

28-07-2009 00:57 1179439

Код:

C:\Program Files\Kaspersky Lab\Internet Security 10.0\3333.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

Правда оба не запущены
Так что отключать их не потребуется
Возможно они раньше были, но удалены некорректно

asdy	28-07-2009 12:23 1179703

пришло письмо

RE: (Без темы) [KLAN-38679857]

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Владислав Пинтийский
Вирусный аналитик

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

thyrex

28-07-2009 14:30 1179804

Цитата:

Цитата thyrex

Сделайте новые логи »

asdy	28-07-2009 15:12 1179826

Вложений: 1

вот

volk1234

28-07-2009 18:19 1179965

Простите за вмешательство, а разве Internet Security 10.0 уже вышел ?
И его исполняемый файл так называется - 3333.exe ?

thyrex

28-07-2009 18:31 1179981

Цитата:

Цитата volk1234

Простите за вмешательство, а разве Internet Security 10.0 уже вышел ?
И его исполняемый файл так называется - 3333.exe ? »

Вполне возможно, что в такую папку сохранен KIS2010. А с именем тоже бывает, когда из-за вирусов не запускается под стандартным именем, ехе-файл могут переименовать
А может Вы и правы...

asdy, выполните следующее

1. Сделайте отчет утилиты GSI (смотреть в пункте 5 этой ссылки )

2. Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

volk1234

28-07-2009 19:01 1180003

Цитата:

Цитата thyrex

Вполне возможно, что в такую папку сохранен KIS2010 »

я к чему спросил - http://www.kaspersky.ru/homeuser
нет на официальной страничке такого продукта.

asdy	28-07-2009 21:29 1180109

Вложений: 1

первое я сделать не смогла, так как при открытие появляется окно, якобы виндус не может найти это файл

второе щас пришлю

окно про riodrv.exe уже исчезло днем.

thyrex

28-07-2009 22:28 1180154

Цитата:

Цитата asdy

первое я сделать не смогла, так как при открытие появляется окно, якобы виндус не может найти это файл »

Просто тот сайт временно не доступен. Как доступ появится, обязательно сделайте

Цитата:

Цитата asdy

окно про riodrv.exe уже исчезло днем. »

Тут у Вас еще кое-что всплыло под названием Кидо

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
(внимание: если вы скачивали gmer со случайным именем, замените в скрипте gmer.exe на имя скачанного exe-файла)

Код:

gmer.exe -del service ndsdqbec

gmer.exe -del file "C:\WINDOWS\system32\gzjvy.dll"

gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ndsdqbec"

gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ndsdqbec"

gmer.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

asdy	29-07-2009 01:13 1180233

Вложений: 1

Цитата:

Цитата thyrex

Сделать новый лог gmer »

держите

thyrex

29-07-2009 08:41 1180372

В этом логе чисто

Сайт заработал. Делайте отчет GSI

asdy	29-07-2009 13:24 1180620

Вложений: 1

http://www.getsysteminfo.com/read.ph...bb46c5671d5561

thyrex

29-07-2009 14:01 1180646

Два антивируса у Вас точно: Касперский 2009 и DrWeb. Оставьте только один

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('Ipinneb.sys','');

 DeleteService('Ipinneb');

 QuarantineFile('C:\Program Files\Kaspersky Lab\Internet Security 10.0\3333.exe','');

 DeleteService('3333');

 DeleteFile('C:\Program Files\Kaspersky Lab\Internet Security 10.0\3333.exe');

 DeleteFile('Ipinneb.sys');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip (если не окажется пустым) из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи AVZ

asdy	29-07-2009 18:01 1180849

все. точно.
теперь один.

еще вопрос. кидо же может передоваться от носителей?
как отключить автозапуск?

thyrex

29-07-2009 19:11 1180923

Теперь чистота.

Кидо через флэшки успешно распространяется.
Отключить автозапуск можно с помощью AVZ
Файл - Мастер поиска и устранения проблем - Все проблемы
Отметить все пункты (у Вас их будет три) и нажать Исправить

Еще на это обратите внимание

Код:

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Все что не нужно, можем отключить скриптом

Время: 03:43.