aadrive.exe

Printable View

31.05.2011, 23:23
Triforce

aadrive.exe

Здравствуйте, пожалуйста помогите. Появился внезапно не понял где и подцепил? Удалял с помощью приложения regedit из папки Windows. Не помогло, появляется в автозагрузке. Что посоветуете?
31.05.2011, 23:24
Info_bot

Уважаемый(ая) [B]Triforce[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
31.05.2011, 23:30
Acidorum

Здравствуйте.
Посоветую сделать логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].
31.05.2011, 23:38
Triforce

[B]hedgars[/B], HiJackThis блокирует выход. Не могу загрузить
31.05.2011, 23:39
Acidorum

Сделайте хотя бы логи AVZ.
31.05.2011, 23:41
Triforce

Если программа не запускается или прекращает работу после запуска, скачайте переименованный файл программы HijackThis здесь и в дальнейшем используйте его. Скачал отсюда, пойдет? Извиняюсь что нуб)
31.05.2011, 23:45
Acidorum

[QUOTE='Triforce;793757']Скачал отсюда, пойдет?[/QUOTE]
Да, пойдет.
01.06.2011, 01:11
Triforce

Во время процесса Avira обнаружила avz_3520_raw.tmp and avm_3520_1.tmp. Ни чего с ними не делал.
01.06.2011, 01:23
Acidorum

Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Подключите:
-Диск Е:\
Выполните скрипт в AVZ:
[CODE]
procedure WhatService(AServiceName : string);
var
dllname, servicekey : string;
begin
servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
RegKeyResetSecurity( 'HKLM', servicekey);
RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
AddToLog('ServiceDll: '+dllname);
QuarantineFile(dllname,'');
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('E:\AUTORUN\AutoRun','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\Dima\Application Data\Dgxkxn.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
DeleteFile('C:\Documents and Settings\Dima\Application Data\Dgxkxn.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('E:\AUTORUN\AutoRun');
DeleteFile('C:\WINDOWS\system32\12.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dgxkxn');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ManualRun');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
WhatService('diovwx');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW',2,3,true);
SaveLog(GetAVZDirectory+'diovwx.log');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Обновите базы AVZ (Файл->Обновление баз).
Сделайте повторные логи.
Файл diovwx.log из папки AVZ приложите к следующему сообщению.
01.06.2011, 13:51
Triforce

Cделал
01.06.2011, 16:38
Acidorum

Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\40.exe','');
QuarantineFile('C:\WINDOWS\system32\38.exe','');
DeleteFile('C:\WINDOWS\system32\qsuszum.dll');
DeleteFile('C:\WINDOWS\system32\38.exe');
DeleteFile('C:\WINDOWS\system32\40.exe');
BC_ImportAll;
ExecuteSysClean;
BC_ServiceKill('diovwx');
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
01.06.2011, 17:09
Triforce

Выполнил
01.06.2011, 18:31
Acidorum

Чисто.
Что с проблемой?
Установите:
-Service Pack 3 (может потребоваться активация, перед установкой выгрузите все приложения) + все обновления [URL="http://update.microsoft.com"]отсюда[/URL].
-[URL="http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8"]Internet Explorer 8[/URL].
Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL] и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
01.06.2011, 18:55
Triforce

В принципе все работает как раньше, в смысле нормально. Только Авира периодически выбивает был обнаружен вирус или вредоносная программа 'TR/Crypt.XPACK.Gen2' [trojan]. и C:\Documents and Settings\Dima\Local Settings\Temporary Internet Files\Content.IE5\LL0C0TUV\w[1].exe'
был обнаружен вирус или вредоносная программа 'TR/Crypt.XPACK.Gen2' [trojan], не может это быть остатки вируса. Обязательно устанавливать СП3? Можно просто обновления, и выполнить [URL="http://df.ru/%7Ekad/ScanVuln.txt"]ScanVuln.txt[/URL] скрипт?
01.06.2011, 19:01
Acidorum

[QUOTE='Triforce;793953']Обязательно устанавливать СП3?[/QUOTE]
Обязательно.
[QUOTE='Triforce;793953']Только Авира периодически выбивает был обнаружен вирус или вредоносная программа[/QUOTE]
Сделайте [URL="http://virusinfo.info/showthread.php?t=53070"]лог MBAM[/URL].
01.06.2011, 22:26
Triforce

Все сделал. Жду дальнейшых инструкций. По поводу Malwarebytes Antimalware, можно ей поудалять и потом удалить?
02.06.2011, 11:03
thyrex

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] [b]все найденное[/b]
03.06.2011, 19:21
Triforce

Все проблема решена. Огромное Вам всем спасибо, помогли в кротчайшие строки. Желаю вам дальнейшего развития, вы действительно делаете хорошее дело. И ище раз спасибо.
04.06.2011, 19:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\dima\\application data\\dgxkxn.exe - [B]Trojan.Win32.Menti.jew[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.7004699, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\windows\\aadrive32.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\windows\\system32\\12.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\windows\\system32\\38.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )[*] c:\\windows\\system32\\40.exe - [B]Trojan.Win32.Agent.hurx[/B] ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )[/LIST][/LIST]