aadrive32.exe проблема с флешками.

Добрый день.:D вот такая непонятная проблема. Анивирус не видит заразу, базы последние сделал проверку по правилам и в безопасном режиме выполнил проверку утилитой Dr.Web CureIt, но дойдя до середины процесса комп подвис и появился синий экран. Комп перезагрузился. Сейчас скачиваю обновления для windovs Vista Home Premium. После чего сделаю логи и вышлю вам. Симптомы у меня такие:
:OСоздает на флешке папку Recycler (якобы корзину), куда копирует свой exe-шник, судя по всему со случайным именем.
Все папки, находящиеся в корне флешки, делает скрытыми и системными.
Вместо папок создает ярлыки (*.lnk) с теми же именами, но суть их состоит в том, что при попытке их открыть будет не просто открыта папка, а будет запущен вирус из корзины (потом может быть нужная папка и откроется, запускать ярлык я не пробовал, но имя открываемой папки вирусу передается через командную строку).
В завершение всего создается файл autorun.ini в корне флешки, причем этот файл содержит какие-то бинарные данные.


Зараженный компьютер можно опознать по следующим признакам:
В списке процессов есть процесс aadrive32.exe (по крайней мере Process Explorer его без труда показывает и прибивает.
В папке windows расположен файл aadrive32.exe. Если этот файл удалить, то он восстановится во время следующей загрузки системы.
В папке windows\system32 есть файлы вида 14.exe, 38.exe и т.п. Что это за файлы я не понял, потому что после их удаления они не восстанавливаются.
В папке Documents and Settings\USERNAME\Application Data (под Windows XP, не помню, как эта папка называется под Windows 7) расположены файлы 3.tmp, 4.tmp и т.п. Эти файлы восстанавливаются после перезагрузки. Именно на них и ругался Avira, хотя в тот момент на основные файлы вирусов он не реагировал.
В одной из подпапок папки Recycler есть подозрительный exe-шник.
В папке Documents and Settings\USERNAME\Application Data расположен еще один файл *.exe (его имя скорее всего будет случайным). Причем этот файл я не видел под Windows (даже во FreeCommander’е, не говоря уж про проводник), а заметил, когда перезагрузился под Linux’ом.
С зараженного компьютера невозможно открыть сайты антивирусов и сайт virustotal.com. Причем, вирус как-то хитро блокирует эти сайты, а не просто добавляет свои записи в hosts. :(:(:(

Уважаемый(ая) [B]Taso[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Прикрепляю логи.

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: (no name) - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Pivim Multibar\pivim.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - (no file)
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
[/CODE]
2.Отключите [B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\blbdrive.sys','');
QuarantineFile('C:\Users\Света\AppData\Roaming\Trpqpj.exe','');
QuarantineFile('C:\Users\Света\cbzvl.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\Users\Света\cbzvl.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Users\Света\AppData\Roaming\Trpqpj.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Trpqpj');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])

Карантин выслан, Логи прикрепляю. Когда фиксил в hijack выскочило несколько ошибок, видимо что то не профиксилось. нажал пропустить иначе ни как. Остальное профиксил.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Из-за MBAM ноут перегревался и выключался. Уже 3 раз запускаю сканирование. В сумме 4 с половиной часа проверялся комп нашел 10 заражонных объектов, но их не показывал. Форматнул флешку, скинул туда папку с файлами, и все в порядке. Папки в ярлыки не преобразовывались, на флехе не было папки Recycler, которую создавал drive. После загрузки компа в процессах не обнаружил aadrive32.exe, похожих drive.exe всяких *.exe и *tmp, установил Outpost Firewall Pro 7 и USB Disk Security, нод с новыми базами. :)
MBAM в данный момент сканирует, лог пришлю позже.
P.S. ноут бешено нагрелся при проверке с помощью MBAM. Вот вот вырубится снова. если и щас отключится я не знаю что делать. Посоветуйте пожалуйста...

Добрый день еще раз. Вот логи с MBAM.

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413 (Worm.AutoRun) -> No action taken.

Заражённые файлы:
c:\Users\Света\AppData\Roaming\196.tmp (Malware.Gen) -> No action taken.
c:\Users\Света\AppData\Roaming\6A4.tmp (Malware.Gen) -> No action taken.
c:\Users\Света\AppData\Roaming\937C.tmp (Malware.Gen) -> No action taken.
c:\Users\Света\AppData\Roaming\B07A.tmp (Malware.Gen) -> No action taken.
c:\Users\Света\AppData\Roaming\E79F.tmp (Malware.Gen) -> No action taken.
c:\Users\Света\secupdat.dat (Worm.Autorun) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\aview (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\key (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\Users\Света\AppData\Roaming\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> No action taken.

[/CODE]
- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]