IPB

Здравствуйте, гость ( Вход | Регистрация )


Youtube Vkontakte Mail Google KubaLibre Shareman Down-House

Скрыть объявления

Объявления

А у нас появился женский раздел^^ Приглашаем всех к себе в гостиsmile3.gif
С уважением, Ваши девушки flirt.gif

Основные Провайдеры и поставщики Телекоммуникационных услуг г. Казань
Обсуждаем, делимся опытом, решаем текущие вопросы с представителями операторов связи

 
Ответить в эту темуОткрыть новую тему
> Вирус aadrive32.exe
Boo-ga-ga
сообщение 2.6.2011, 14:54
Сообщение #1


Бугагашеньки
*******

Группа: Домовые
Сообщений: 4 841
Регистрация: 8.11.2007

Пол: Мужской


Репутация:   368  


Помогите с вирусом aadrive32.exe.

Недавно начал появляться в диспетчере, вместе с ним запускаются рандомные процессы, типо DFD6.tmp, 16.exe, причём только .exe или .tmp

Погуглил на эту тему вот что:
Нажмите, чтобы скрыть/показать...

взято из блога ЖЖ - http://jenyay.livejournal.com/224335.html
Про вирус aadrive32.exe
На прошлой неделе нарвался на вирус, от которого еле избавился. Самое интересное, что антивирус был установлен, поэтому я даже не помню, когда последний раз подцеплял какую-то подобную гадость. На момент заражения ни Nod32, ни Avira, ни LiveCD drWeb’а этот вирус не признавали (хотя Avira ругался на следы жизнедеятельности этой твари). По реакции сайта virustotal.com оказалось, что еще несколько дней назад, эту гадость ловили только каждый четвертый антивирус (в их числе, кстати, были Касперский и Comodo). Вчера количество антивирусов, которые этот вирус ловили, уже заметно возросло, но Nod32, например, еще вчера еще пропускал.

Симптомы

Этот вирус распространяется через флешки, стоит их вставить в зараженный комп (или даже примонтировать какой-нибудь образ, например, из TrueCrypt), как вирус делает следующее:
Создает на флешке папку Recycler (якобы корзину), куда копирует свой exe-шник, судя по всему со случайным именем.
Все папки, находящиеся в корне флешки, делает скрытыми и системными.
Вместо папок создает ярлыки (*.lnk) с теми же именами, но суть их состоит в том, что при попытке их открыть будет не просто открыта папка, а будет запущен вирус из корзины (потом может быть нужная папка и откроется, запускать ярлык я не пробовал, но имя открываемой папки вирусу передается через командную строку).
В завершение всего создается файл autorun.ini в корне флешки, причем этот файл содержит какие-то бинарные данные.

Нажмите, чтобы скрыть/показать...

Зараженный компьютер можно опознать по следующим признакам:
В списке процессов есть процесс aadrive32.exe (по крайней мере Process Explorer его без труда показывает и прибивает.
В папке windows расположен файл aadrive32.exe. Если этот файл удалить, то он восстановится во время следующей загрузки системы.
В папке windows\system32 есть файлы вида 14.exe, 38.exe и т.п. Что это за файлы я не понял, потому что после их удаления они не восстанавливаются.
В папке Documents and Settings\USERNAME\Application Data (под Windows XP, не помню, как эта папка называется под Windows 7) расположены файлы 3.tmp, 4.tmp и т.п. Эти файлы восстанавливаются после перезагрузки. Именно на них и ругался Avira, хотя в тот момент на основные файлы вирусов он не реагировал.
В одной из подпапок папки Recycler есть подозрительный exe-шник.
В папке Documents and Settings\USERNAME\Application Data расположен еще один файл *.exe (его имя скорее всего будет случайным). Причем этот файл я не видел под Windows (даже во FreeCommander’е, не говоря уж про проводник), а заметил, когда перезагрузился под Linux’ом.
С зараженного компьютера невозможно открыть сайты антивирусов и сайт virustotal.com. Причем, вирус как-то хитро блокирует эти сайты, а не просто добавляет свои записи в hosts.


По всем симптомам этот же вирус, что и у меня.

Тот же пользователь ЖЖ пишет, как он от него избавился:
Нажмите, чтобы скрыть/показать...

Лечение
Избавиться от вируса можно довольно легко, если есть загрузочный диск с Linux’ом. Для этого после загрузки (например, с Live CD) нужно:
Удалить файлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
Удалить файлы вида 14.exe, 38.exe и т.п. из windows\system32.
Удалить файл windows\aadrive32.exe.
Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.

После этого перезагружаемся в винду (вирус уже не должен запускаться, можете для проверки зайти, например, на сайт Касперского, если сайт открывается, значит, вирус побежден), и можно почистить реестр от следов вируса. Самое простое – это запустить файл regedit и поудалять все записи, где содержится строка aadrive32.exe.

В реестре ссылка на aadrive32.exe будет как минимум в ветках:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver и

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup.

После этого радуемся, что вирус побежден, до момента, пока не попадется следующая зараза. Или переходим на Linux


Но загрузочного диска Linux'а нету и никогда Линуксом не пользовался smile3.gif

Пытался удалять всё в ручную, как и написано в записи в блоге, но после перезагрузки файл появляется вновь.

Немного раньше у меня стоял бесплатный Аваст, он очень часто выдавал сообщения о "блокировке нежелательного соединения" или что-то в этом роде, жаловался на процессы 18.exe, 56.exe и т.п.

Сейчас установил лицензионный NOD32, он вообще ничего не находит и не жалуется :(

Сообщение отредактировал Boo-ga-ga - 2.6.2011, 14:55


--------------------
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Kluch
сообщение 3.6.2011, 4:49
Сообщение #2


iii ʁɔvʎнdǝʚǝdǝu dиW
*******

Группа: Неактивированные
Сообщений: 3 936
Регистрация: 29.10.2006
Живет: Ѿ Казань Ѿ

Пол: Мужской


Репутация:   117  


а веб курейт , как на это реагирует?


--------------------
Цветные сны это клинический признак латентного безумия
Изображение
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Boo-ga-ga
сообщение 3.6.2011, 11:18
Сообщение #3


Бугагашеньки
*******

Группа: Домовые
Сообщений: 4 841
Регистрация: 8.11.2007

Пол: Мужской


Репутация:   368  


Цитата(Kluch @ 3.6.2011, 6:21) *

а веб курейт , как на это реагирует?


Курейтом не успел воспользоваться, вылечился сам smile3.gif

Нод32 обновлться не хотел, т.к. вирус его блокировал, и так же блокировлись сайты антивирусников, типо virustotal и касперского.
Но я сделал так, как посоветовал тот пользователь ЖЖ:

Сначала выключил процесс aadrive32.exe в диспетчере, затем закрыл такой же сетевой процесс через НОД. А потом по инструкции -
Удалить файлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
Удалить файлы вида 14.exe, 38.exe и т.п. из windows\system32.
Удалить файл windows\aadrive32.exe.
Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.

Перезагрузил комп и НОД начал обновляться, хотя через пару минут вирус вновь появился в папке Виндус и в диспетчере задач. Но ещё через пару минут, когда он начал копировать свои файлы, НОД его обнаружил как ПНП, отправил на диагностику и определил как вирус.
Потом сделал полную проверку и нашёл остатки созданных файлов этим вирусом, и сейчас всё в норме, даже на сайт касперского заходит. superman.gif


--------------------
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 28.3.2024, 23:33