aadrive32. exe + zaberg

Printable View

27.01.2012, 09:17
gegyji9

Вложений: 3

aadrive32. exe + zaberg

товарищи

после загрузки ОС появляется сообщение о восстановлении zaberg
далее в процессах появляется aadrive32.exe и очень много .tmp процессов
надеюсь на вашу помощь
:>:>:>:>
27.01.2012, 09:19
Info_bot

Уважаемый(ая) [B]gegyji9[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
27.01.2012, 12:11
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('c:\users\1\appdata\roaming\456a.tmp');
TerminateProcessByName('c:\users\1\appdata\roaming\3d8d.tmp');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Users\1\AppData\lsass.exe','');
QuarantineFile('C:\Users\1\AppData\Roaming\Alouou.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\users\1\appdata\roaming\456a.tmp','');
QuarantineFile('c:\users\1\appdata\roaming\3d8d.tmp','');
DeleteFile('c:\users\1\appdata\roaming\3d8d.tmp');
DeleteFile('c:\users\1\appdata\roaming\456a.tmp');
DeleteFileMask('C:\RECYCLER\', '*', true);
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\Users\1\AppData\Roaming\Alouou.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\Users\1\AppData\lsass.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Alouou');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\Windows\aadrive32.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]Компьютер перезагрузится[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

+ Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ[/url]

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

[size="1"][color="#666686"][B][I]Добавлено через 18 секунд[/I][/B][/color][/size]

+ Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ[/url]

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
28.01.2012, 12:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - [B]Trojan.Win32.Inject.ctrj[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Inject.AFI, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:FakeAlert-BXP [Trj] )[*] c:\\users\\1\\appdata\\roaming\\alouou.exe - [B]P2P-Worm.Win32.Palevo.cpko[/B] ( DrWEB: Trojan.Inject.34179, BitDefender: Trojan.Generic.KDV.205306, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Inject-AGC [Trj] )[*] c:\\users\\1\\appdata\\roaming\\3d8d.tmp - [B]Trojan.Win32.Menti.lhmw[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Trojan.Fakealert.40161, AVAST4: Win32:FakeAlert-BWZ [Trj] )[*] c:\\users\\1\\appdata\\roaming\\456a.tmp - [B]Trojan.Win32.Jorik.Tedroo.nj[/B] ( DrWEB: Trojan.Spambot.10897, BitDefender: Trojan.Generic.7359196, AVAST4: Win32:Jorik-FG [Trj] )[*] c:\\windows\\aadrive32.exe - [B]Net-Worm.Win32.Kolab.bdlt[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Gen:Variant.Kazy.52790, AVAST4: Win32:FakeAlert-BWZ [Trj] )[/LIST][/LIST]