Показано с 1 по 19 из 19.

aadrive.exe (заявка № 102909)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25

    Thumbs up aadrive.exe

    Здравствуйте, пожалуйста помогите. Появился внезапно не понял где и подцепил? Удалял с помощью приложения regedit из папки Windows. Не помогло, появляется в автозагрузке. Что посоветуете?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Triforce, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Посоветую сделать логи по правилам.

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    hedgars, HiJackThis блокирует выход. Не могу загрузить

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Сделайте хотя бы логи AVZ.

  7. #6
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    Если программа не запускается или прекращает работу после запуска, скачайте переименованный файл программы HijackThis здесь и в дальнейшем используйте его. Скачал отсюда, пойдет? Извиняюсь что нуб)

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от Triforce Посмотреть сообщение
    Скачал отсюда, пойдет?
    Да, пойдет.

  9. #8
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    Во время процесса Avira обнаружила avz_3520_raw.tmp and avm_3520_1.tmp. Ни чего с ними не делал.

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Здравствуйте.
    Отключите:
    -Все защитные приложения
    -ПК от интернета
    Подключите:
    -Диск Е:\
    Выполните скрипт в AVZ:
    Код:
    procedure WhatService(AServiceName : string);
    var
    dllname, servicekey : string;
    begin
    servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
    RegKeyResetSecurity( 'HKLM', servicekey);
    RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
    AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
    AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
    AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
    dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
    AddToLog('ServiceDll: '+dllname);
    QuarantineFile(dllname,'');
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    TerminateProcessByName('c:\windows\aadrive32.exe');
    QuarantineFile('C:\WINDOWS\system32\MicrSoft.exe','');
    QuarantineFile('C:\WINDOWS\system32\12.exe','');
    QuarantineFile('E:\AUTORUN\AutoRun','');
    QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
    QuarantineFile('C:\WINDOWS\aadrive32.exe','');
    QuarantineFile('C:\Documents and Settings\Dima\Application Data\Dgxkxn.exe','');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
    DeleteFile('C:\WINDOWS\system32\MicrSoft.exe');
    DeleteFile('C:\Documents and Settings\Dima\Application Data\Dgxkxn.exe');
    DeleteFile('C:\WINDOWS\aadrive32.exe');
    DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
    DeleteFile('E:\AUTORUN\AutoRun');
    DeleteFile('C:\WINDOWS\system32\12.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dgxkxn');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ManualRun');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
    WhatService('diovwx');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(9);
    ExecuteWizard('TSW',2,3,true);
    SaveLog(GetAVZDirectory+'diovwx.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Обновите базы AVZ (Файл->Обновление баз).
    Сделайте повторные логи.
    Файл diovwx.log из папки AVZ приложите к следующему сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    Cделал

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Отключите:
    -Все защитные приложения
    -ПК от интернета
    Выполните скрипт в AVZ:
    Код:
    Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
    var
    i : integer; 
    KeyList : TStringList;
    KeyName : string;                           
    begin
    RegKeyResetSecurity(ARoot, AName);
    KeyList := TStringList.Create;
    RegKeyEnumKey(ARoot, AName, KeyList);
    for i := 0 to KeyList.Count-1 do
     begin
     KeyName := AName+'\'+KeyList[i];
     RegKeyResetSecurity(ARoot, KeyName);
     RegKeyResetSecurityEx(ARoot, KeyName);
     end;
    KeyList.Free;
    end;
    Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
    var
     i : integer;
     KeyList : TStringList;
     KeyName : string;                           
    begin
     Result := 0;
     if StopService(AServiceName) then Result := Result or 1;
     if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
     KeyList := TStringList.Create;
     RegKeyEnumKey('HKLM','SYSTEM', KeyList);
     for i := 0 to KeyList.Count-1 do
      if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
       KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
       if RegKeyExistsEx('HKLM', KeyName) then begin
        Result := Result or 4;                  
        RegKeyResetSecurityEx('HKLM', KeyName);
        RegKeyDel('HKLM', KeyName);
        if RegKeyExistsEx('HKLM', KeyName) then               
         Result := Result or 8;                  
       end;
      end;                 
     if AIsSvcHosted then
      BC_DeleteSvcReg(AServiceName)
     else
      BC_DeleteSvc(AServiceName);
     KeyList.Free;
    end;
    
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    QuarantineFile('C:\WINDOWS\system32\40.exe','');
    QuarantineFile('C:\WINDOWS\system32\38.exe','');
    DeleteFile('C:\WINDOWS\system32\qsuszum.dll');
    DeleteFile('C:\WINDOWS\system32\38.exe');
    DeleteFile('C:\WINDOWS\system32\40.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_ServiceKill('diovwx');
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Затем выполните ещё один скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
    Сделайте повторные логи.

  13. #12
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    Выполнил

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Чисто.
    Что с проблемой?
    Установите:
    -Service Pack 3 (может потребоваться активация, перед установкой выгрузите все приложения) + все обновления отсюда.
    -Internet Explorer 8.
    Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.

  15. #14
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    В принципе все работает как раньше, в смысле нормально. Только Авира периодически выбивает был обнаружен вирус или вредоносная программа 'TR/Crypt.XPACK.Gen2' [trojan]. и C:\Documents and Settings\Dima\Local Settings\Temporary Internet Files\Content.IE5\LL0C0TUV\w[1].exe'
    был обнаружен вирус или вредоносная программа 'TR/Crypt.XPACK.Gen2' [trojan], не может это быть остатки вируса. Обязательно устанавливать СП3? Можно просто обновления, и выполнить ScanVuln.txt скрипт?

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.05.2009
    Сообщений
    2,655
    Вес репутации
    228
    Цитата Сообщение от Triforce Посмотреть сообщение
    Обязательно устанавливать СП3?
    Обязательно.
    Цитата Сообщение от Triforce Посмотреть сообщение
    Только Авира периодически выбивает был обнаружен вирус или вредоносная программа
    Сделайте лог MBAM.

  17. #16
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    Все сделал. Жду дальнейшых инструкций. По поводу Malwarebytes Antimalware, можно ей поудалять и потом удалить?

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,564
    Вес репутации
    3022
    Удалите в МВАМ все найденное
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    31.05.2011
    Сообщений
    22
    Вес репутации
    25
    Все проблема решена. Огромное Вам всем спасибо, помогли в кротчайшие строки. Желаю вам дальнейшего развития, вы действительно делаете хорошее дело. И ище раз спасибо.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\dima\\application data\\dgxkxn.exe - Trojan.Win32.Menti.jew ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.7004699, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Malware-gen )
      2. c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
      3. c:\\windows\\aadrive32.exe - Packed.Win32.TDSS.c ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, NOD32: IRC/SdBot trojan, AVAST4: Win32:Dorkbot [Wrm] )
      4. c:\\windows\\system32\\12.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
      5. c:\\windows\\system32\\38.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )
      6. c:\\windows\\system32\\40.exe - Trojan.Win32.Agent.hurx ( DrWEB: Trojan.Inject.44780, BitDefender: Trojan.Generic.KD.236026, AVAST4: Win32:Dorkbot [Wrm] )


  • Уважаемый(ая) Triforce, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Безсмертный aadrive
      От Dan4ik в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 14.01.2012, 12:20
    2. aadrive
      От pilotus в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.01.2012, 10:58
    3. aadrive.exe & syitm.exe
      От Informer в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 19.08.2011, 14:52
    4. Заразился aadrive.32.exe
      От aoscar в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.08.2011, 14:52
    5. aadrive+syitm
      От GUDMAN в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 01.06.2011, 00:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00444 seconds with 16 queries