aadrive32 вирус

Доброго времени суток. У меня стоял антивирус касперского. Постоянно кричал, что идут сетевые атаки. Удалил пару вирусов. Почистил флешки. Потом через несколько дней (5-6) при очередном крике о сетевой атаке он слетел. Сказал что базы повреждены, обновится не может, ключ потерян и тд. До этого отражал атаки нормально, блокировал компы. После того как он слетел, в процессах заметил aadrive32 и темповские с именами 32.tmp и тому подобные (*.tmp). Такой вирус я у вас уже лечил, сам никак не справлюсь с ним. Вот после переустановки виндовса снова залазит ко мне, причем постоянно, касперский в общей сложности продержался 19 дней. Прошу помочь в личении вируса и в дальнейшей профилактике, дабы снова ним не заразится.

Уважаемый(ая) [B]VEX[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\17.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fpbabf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]Компьютер перезагрузится[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Вот логи.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\3f.tmp');
TerminateProcessByName('c:\documents and settings\admin\application data\3e.tmp');
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\documents and settings\admin\application data\3f.tmp','');
QuarantineFile('c:\documents and settings\admin\application data\3e.tmp','');
DeleteFile('c:\documents and settings\admin\application data\3e.tmp');
DeleteFile('c:\documents and settings\admin\application data\3f.tmp');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fpbabf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFileMask('c:\RECYCLER\','true', ,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]Компьютер перезагрузится[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Перед повторными логами

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Также сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Снова доброго времени суток. После последней перезагрузки компьютера, вирус мне заблокировал доступ к сайтам антивирусных програм и в том числе к вашему сайту. Вот наконецто я курейтом удалил какойто 1 вредоносный файл и снова появился доступ.

Написаный вами скрипт АВЗ выполнять не хочет, говорит ошибка в позиции 33:40, не хватает ")". Пробовал добавить, как-то не помогло. Прошу вашей помощи.
Так же выполнил все обновления, поставил ИЕ 8. Провел полное сканирование мбам, удалил вагон вирусов, но при запуске системы тот же мбам снова блокирует темповские файлы. В папке C:\Documents and Settings\Admin снова появился подозрительный файл feds.exe. но ни курейт ни мбам на него не ругаются.
Отправляю новые логи, прошу помощи.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\37.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]Компьютер перезагрузится[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])


+ прикрепите лог MBAM

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

[quote="VEX;862656"]В папке C:\Documents and Settings\Admin снова появился подозрительный файл feds.exe.[/quote]
загрузите его в карантин согласно правилам.

Вот, все сделал.

чисто.

Спасибо Вам огромное!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\fpbabf.exe - [B]Backdoor.Win32.Floder.gmq[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.7148769, AVAST4: Win32:FakeAlert-BWZ [Trj] )[*] c:\\documents and settings\\admin\\application data\\fpbabf.exe - [B]Trojan.Win32.Jorik.IRCbot.gzf[/B] ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Gen:Variant.Kazy.54028, AVAST4: Win32:Bredolab-HC [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\scleaner.exe - [B]Backdoor.Win32.Floder.gmq[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Heur.Krypt.14, AVAST4: Win32:FakeAlert-BXH [Trj] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - [B]Trojan.Win32.Inject.ctrj[/B] ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:FakeAlert-BXP [Trj] )[*] c:\\windows\\aadrive32.exe - [B]Net-Worm.Win32.Kolab.bdpi[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Win32.Worm.Kolab.BJ, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:FakeAlert-BXP [Trj] )[*] c:\\windows\\system32\\12.exe - [B]Trojan.Win32.Jorik.IRCbot.gzd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] )[*] c:\\windows\\system32\\16.exe - [B]Trojan.Win32.Jorik.IRCbot.gzd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] )[*] c:\\windows\\system32\\17.exe - [B]Backdoor.Win32.Floder.gmq[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Heur.Krypt.14, AVAST4: Win32:FakeAlert-BXH [Trj] )[*] c:\\windows\\system32\\21.exe - [B]Trojan.Win32.Jorik.IRCbot.gzd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] )[*] c:\\windows\\system32\\37.exe - [B]Trojan.Win32.Jorik.IRCbot.gzd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] )[*] c:\\windows\\system32\\43.exe - [B]Trojan.Win32.Jorik.IRCbot.gzd[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] )[*] c:\\windows\\system32\\85.exe - [B]Backdoor.Win32.Floder.gmq[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Heur.Krypt.14, AVAST4: Win32:FakeAlert-BXH [Trj] )[/LIST][/LIST]