Показано с 1 по 10 из 10.

aadrive32.exe проблема с флешками. (заявка № 102676)

  1. #1
    Junior Member Репутация
    Регистрация
    07.10.2009
    Сообщений
    8
    Вес репутации
    27

    aadrive32.exe проблема с флешками.

    Добрый день. вот такая непонятная проблема. Анивирус не видит заразу, базы последние сделал проверку по правилам и в безопасном режиме выполнил проверку утилитой Dr.Web CureIt, но дойдя до середины процесса комп подвис и появился синий экран. Комп перезагрузился. Сейчас скачиваю обновления для windovs Vista Home Premium. После чего сделаю логи и вышлю вам. Симптомы у меня такие:
    Создает на флешке папку Recycler (якобы корзину), куда копирует свой exe-шник, судя по всему со случайным именем.
    Все папки, находящиеся в корне флешки, делает скрытыми и системными.
    Вместо папок создает ярлыки (*.lnk) с теми же именами, но суть их состоит в том, что при попытке их открыть будет не просто открыта папка, а будет запущен вирус из корзины (потом может быть нужная папка и откроется, запускать ярлык я не пробовал, но имя открываемой папки вирусу передается через командную строку).
    В завершение всего создается файл autorun.ini в корне флешки, причем этот файл содержит какие-то бинарные данные.


    Зараженный компьютер можно опознать по следующим признакам:
    В списке процессов есть процесс aadrive32.exe (по крайней мере Process Explorer его без труда показывает и прибивает.
    В папке windows расположен файл aadrive32.exe. Если этот файл удалить, то он восстановится во время следующей загрузки системы.
    В папке windows\system32 есть файлы вида 14.exe, 38.exe и т.п. Что это за файлы я не понял, потому что после их удаления они не восстанавливаются.
    В папке Documents and Settings\USERNAME\Application Data (под Windows XP, не помню, как эта папка называется под Windows 7) расположены файлы 3.tmp, 4.tmp и т.п. Эти файлы восстанавливаются после перезагрузки. Именно на них и ругался Avira, хотя в тот момент на основные файлы вирусов он не реагировал.
    В одной из подпапок папки Recycler есть подозрительный exe-шник.
    В папке Documents and Settings\USERNAME\Application Data расположен еще один файл *.exe (его имя скорее всего будет случайным). Причем этот файл я не видел под Windows (даже во FreeCommander’е, не говоря уж про проводник), а заметил, когда перезагрузился под Linux’ом.
    С зараженного компьютера невозможно открыть сайты антивирусов и сайт virustotal.com. Причем, вирус как-то хитро блокирует эти сайты, а не просто добавляет свои записи в hosts.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) Taso, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    07.10.2009
    Сообщений
    8
    Вес репутации
    27
    Прикрепляю логи.
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
    O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Pivim Multibar\pivim.dll
    O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
    O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
    O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - (no file)
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
    2.Отключите Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
     QuarantineFile('C:\Users\Света\AppData\Roaming\Trpqpj.exe','');
     QuarantineFile('C:\Users\Света\cbzvl.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
     DeleteFile('C:\Users\Света\cbzvl.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
     DeleteFile('C:\Users\Света\AppData\Roaming\Trpqpj.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Trpqpj');
     DeleteFileMask('C:\Program Files\VPets', '*.*', true);
     DeleteDirectory('C:\Program Files\VPets');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    07.10.2009
    Сообщений
    8
    Вес репутации
    27
    Карантин выслан, Логи прикрепляю. Когда фиксил в hijack выскочило несколько ошибок, видимо что то не профиксилось. нажал пропустить иначе ни как. Остальное профиксил.
    Вложения Вложения
    Последний раз редактировалось Taso; 26.05.2011 в 20:06.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    07.10.2009
    Сообщений
    8
    Вес репутации
    27
    Из-за MBAM ноут перегревался и выключался. Уже 3 раз запускаю сканирование. В сумме 4 с половиной часа проверялся комп нашел 10 заражонных объектов, но их не показывал. Форматнул флешку, скинул туда папку с файлами, и все в порядке. Папки в ярлыки не преобразовывались, на флехе не было папки Recycler, которую создавал drive. После загрузки компа в процессах не обнаружил aadrive32.exe, похожих drive.exe всяких *.exe и *tmp, установил Outpost Firewall Pro 7 и USB Disk Security, нод с новыми базами.
    MBAM в данный момент сканирует, лог пришлю позже.
    P.S. ноут бешено нагрелся при проверке с помощью MBAM. Вот вот вырубится снова. если и щас отключится я не знаю что делать. Посоветуйте пожалуйста...
    Последний раз редактировалось Taso; 27.05.2011 в 14:46.

  9. #8
    Junior Member Репутация
    Регистрация
    07.10.2009
    Сообщений
    8
    Вес репутации
    27
    Добрый день еще раз. Вот логи с MBAM.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - удалите в MBAM
    Код:
    Заражённые ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
    
    Заражённые папки:
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.
    
    Заражённые файлы:
    c:\Users\Света\AppData\Roaming\196.tmp (Malware.Gen) -> No action taken.
    c:\Users\Света\AppData\Roaming\6A4.tmp (Malware.Gen) -> No action taken.
    c:\Users\Света\AppData\Roaming\937C.tmp (Malware.Gen) -> No action taken.
    c:\Users\Света\AppData\Roaming\B07A.tmp (Malware.Gen) -> No action taken.
    c:\Users\Света\AppData\Roaming\E79F.tmp (Malware.Gen) -> No action taken.
    c:\Users\Света\secupdat.dat (Worm.Autorun) -> No action taken.
    c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\aview (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\dir.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\key (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\Users\Света\AppData\Roaming\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
    c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.
    - Сделайте повторный лог MBAM

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Taso, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Проблема с флешками
      От Flyffed в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 14.08.2011, 08:01
    2. Ответов: 9
      Последнее сообщение: 15.06.2011, 14:21
    3. проблема с aadrive32.exe
      От Stocky в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.05.2011, 09:24
    4. Проблема с флешками. Autorun.inf
      От BELLABRAVO в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 15.12.2009, 21:48
    5. Проблема с флешками
      От Bone в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.04.2008, 02:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01494 seconds with 23 queries