Junior Member
Вес репутации
48
aadrive32 вирус
Доброго времени суток. У меня стоял антивирус касперского. Постоянно кричал, что идут сетевые атаки. Удалил пару вирусов. Почистил флешки. Потом через несколько дней (5-6) при очередном крике о сетевой атаке он слетел. Сказал что базы повреждены, обновится не может, ключ потерян и тд. До этого отражал атаки нормально, блокировал компы. После того как он слетел, в процессах заметил aadrive32 и темповские с именами 32.tmp и тому подобные (*.tmp). Такой вирус я у вас уже лечил, сам никак не справлюсь с ним. Вот после переустановки виндовса снова залазит ко мне, причем постоянно, касперский в общей сложности продержался 19 дней. Прошу помочь в личении вируса и в дальнейшей профилактике, дабы снова ним не заразится.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) VEX , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\17.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\scleaner.exe');
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fpbabf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Junior Member
Вес репутации
48
Вложения
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('c:\documents and settings\admin\application data\3f.tmp');
TerminateProcessByName('c:\documents and settings\admin\application data\3e.tmp');
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\52.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\33.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\documents and settings\admin\application data\3f.tmp','');
QuarantineFile('c:\documents and settings\admin\application data\3e.tmp','');
DeleteFile('c:\documents and settings\admin\application data\3e.tmp');
DeleteFile('c:\documents and settings\admin\application data\3f.tmp');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fpbabf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFileMask('c:\RECYCLER\','true', ,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Перед повторными логами
Установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)
Также сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
48
Снова доброго времени суток. После последней перезагрузки компьютера, вирус мне заблокировал доступ к сайтам антивирусных програм и в том числе к вашему сайту. Вот наконецто я курейтом удалил какойто 1 вредоносный файл и снова появился доступ.
Написаный вами скрипт АВЗ выполнять не хочет, говорит ошибка в позиции 33:40, не хватает ")". Пробовал добавить, как-то не помогло. Прошу вашей помощи.
Так же выполнил все обновления, поставил ИЕ 8. Провел полное сканирование мбам, удалил вагон вирусов, но при запуске системы тот же мбам снова блокирует темповские файлы. В папке C:\Documents and Settings\Admin снова появился подозрительный файл feds.exe. но ни курейт ни мбам на него не ругаются.
Отправляю новые логи, прошу помощи.
Вложения
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\43.exe','');
QuarantineFile('C:\WINDOWS\system32\37.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\12.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fpbabf.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\37.exe');
DeleteFile('C:\WINDOWS\system32\43.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+ прикрепите лог MBAM
Добавлено через 10 минут
Сообщение от
VEX
В папке C:\Documents and Settings\Admin снова появился подозрительный файл feds.exe.
загрузите его в карантин согласно правилам.
Последний раз редактировалось regist; 30.01.2012 в 12:55 .
Причина: Добавлено
Junior Member
Вес репутации
48
Вложения
Junior Member
Вес репутации
48
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 38 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\admin\\application data\\fpbabf.exe - Backdoor.Win32.Floder.gmq ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Trojan.Generic.7148769, AVAST4: Win32:FakeAlert-BWZ [Trj] ) c:\\documents and settings\\admin\\application data\\fpbabf.exe - Trojan.Win32.Jorik.IRCbot.gzf ( DrWEB: BackDoor.IRC.Bot.896, BitDefender: Gen:Variant.Kazy.54028, AVAST4: Win32:Bredolab-HC [Trj] ) c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\scleaner.exe - Backdoor.Win32.Floder.gmq ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Heur.Krypt.14, AVAST4: Win32:FakeAlert-BXH [Trj] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - Trojan.Win32.Inject.ctrj ( DrWEB: BackDoor.Siggen.637, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:FakeAlert-BXP [Trj] ) c:\\windows\\aadrive32.exe - Net-Worm.Win32.Kolab.bdpi ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Win32.Worm.Kolab.BJ, NOD32: Win32/AutoRun.IRCBot.FC worm, AVAST4: Win32:FakeAlert-BXP [Trj] ) c:\\windows\\system32\\12.exe - Trojan.Win32.Jorik.IRCbot.gzd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] ) c:\\windows\\system32\\16.exe - Trojan.Win32.Jorik.IRCbot.gzd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] ) c:\\windows\\system32\\17.exe - Backdoor.Win32.Floder.gmq ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Heur.Krypt.14, AVAST4: Win32:FakeAlert-BXH [Trj] ) c:\\windows\\system32\\21.exe - Trojan.Win32.Jorik.IRCbot.gzd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] ) c:\\windows\\system32\\37.exe - Trojan.Win32.Jorik.IRCbot.gzd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] ) c:\\windows\\system32\\43.exe - Trojan.Win32.Jorik.IRCbot.gzd ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Variant.Kazy.52959, AVAST4: Win32:Bredolab-HC [Trj] ) c:\\windows\\system32\\85.exe - Backdoor.Win32.Floder.gmq ( DrWEB: BackDoor.Ddoser.131, BitDefender: Gen:Heur.Krypt.14, AVAST4: Win32:FakeAlert-BXH [Trj] )