riodrv.sys [LOG+]

[sdf 0]

Opyat' zaraza, uzhe na drugom PK.

 

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon 169]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\riodrv.exe');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('E:\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('c:\windows\system32\nwprovau.dll','');
QuarantineFile('c:\windows\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('c:\windows\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\autorun.exe');
BC_ImportAll;
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Затем Пофиксить в HJT (если таковые будут):

F2 - REG:system.ini: Shell=Explorer.exe riodrv.exe
F2 - REG:system.ini: UserInit=userinit.exe,riodrv.exe,C:\WINDOWS\system32\sdra64.exe,

 

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Также сделайте новый комплект логов AVZ и HJT.

[sdf 0]

С утра все сделаю как сказали, скажите что это за зараза? на соседнем ПК тоже были riodrv.exe и sfc.sys...а здесь уже больше файлов.... это все один вирь какойто? Кис молчит на riodrv.exe;(

[Falcon 169]

Так слёту судить нельзя, но по предварительным данным:

riodrv.exe - Trojan-PSW.Win32.Agent.mxr

sfc.sys - Trojan.Win32.Agent.asvt

[sdf 0]

hijackthis.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

gmer.zip

 

КИС7 сейчас норм встал, нашел Trojan-Spy.Win32.Zbot.gen, двух пинчей Trojan-PSW.Win32.LdPinch.zie (модификация) и самого страшного Trojan-PSW.Win32.WebMoner.gu в C:\WINDOWS\system32\msvcrt57.dll

[Falcon 169]

sdf, а у вас что было до КИС? Симантек? Если да, то удалите его полностью для нормальной работы КИС.

 

По логам все в норме.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Лог приложите к сообщению.

 

Меняйте пароли.