Журнал Программирование

ПРОГРАММИРОВАНИЕТЕХНОЛОГИИ

Про вирус aadrive32.exe

Опубликовано 24 мая 2011 Jenyay

На прошлой неделе нарвался на вирус, от которого еле избавился. Самое интересное, что антивирус был установлен, поэтому я даже не помню, когда последний раз подцеплял какую-то подобную гадость. На момент заражения ни Nod32, ни Avira, ни LiveCD drWeb’а этот вирус не признавали (хотя Avira ругался на следы жизнедеятельности этой твари). По реакции сайта virustotal.com оказалось, что еще несколько дней назад, эту гадость ловили только каждый четвертый антивирус (в их числе, кстати, были Касперский и Comodo). Вчера количество антивирусов, которые этот вирус ловили, уже заметно возросло, но Nod32, например, еще вчера еще пропускал.

Симптомы

Этот вирус распространяется через флешки, стоит их вставить в зараженный комп (или даже примонтировать какой-нибудь образ, например, из TrueCrypt), как вирус делает следующее:

  • Создает на флешке папку Recycler (якобы корзину), куда копирует свой exe-шник, судя по всему со случайным именем.
  • Все папки, находящиеся в корне флешки, делает скрытыми и системными.
  • Вместо папок создает ярлыки (*.lnk) с теми же именами, но суть их состоит в том, что при попытке их открыть будет не просто открыта папка, а будет запущен вирус из корзины (потом может быть нужная папка и откроется, запускать ярлык я не пробовал, но имя открываемой папки вирусу передается через командную строку).
  • В завершение всего создается файл autorun.ini в корне флешки, причем этот файл содержит какие-то бинарные данные.


Зараженный компьютер можно опознать по следующим признакам:

  • В списке процессов есть процесс aadrive32.exe (по крайней мере Process Explorer его без труда показывает и прибивает.
  • В папке windows расположен файл aadrive32.exe. Если этот файл удалить, то он восстановится во время следующей загрузки системы.
  • В папке windows\system32 есть файлы вида 14.exe, 38.exe и т.п. Что это за файлы я не понял, потому что после их удаления они не восстанавливаются.
  • В папке Documents and Settings\USERNAME\Application Data (под Windows XP, не помню, как эта папка называется под Windows 7) расположены файлы 3.tmp, 4.tmp и т.п. Эти файлы восстанавливаются после перезагрузки. Именно на них и ругался Avira, хотя в тот момент на основные файлы вирусов он не реагировал.
  • В одной из подпапок папки Recycler есть подозрительный exe-шник.
  • В папке Documents and Settings\USERNAME\Application Data расположен еще один файл *.exe (его имя скорее всего будет случайным). Причем этот файл я не видел под Windows (даже во FreeCommander’е, не говоря уж про проводник), а заметил, когда перезагрузился под Linux’ом.
  • С зараженного компьютера невозможно открыть сайты антивирусов и сайт virustotal.com. Причем, вирус как-то хитро блокирует эти сайты, а не просто добавляет свои записи в hosts.

Лечение

Избавиться от вируса можно довольно легко, если есть загрузочный диск с Linux’ом. Для этого после загрузки (например, с Live CD) нужно:

  • Удалить файлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
  • Удалить файлы вида 14.exe, 38.exe и т.п. из windows\system32.
  • Удалить файл windows\aadrive32.exe.
  • Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.

После этого перезагружаемся в винду (вирус уже не должен запускаться, можете для проверки зайти, например, на сайт Касперского, если сайт открывается, значит, вирус побежден), и можно почистить реестр от следов вируса. Самое простое – это запустить файл regedit и поудалять все записи, где содержится строка aadrive32.exe.

В реестре ссылка на aadrive32.exe будет как минимум в ветках:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver и

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup.

После этого радуемся, что вирус побежден, до момента, пока не попадется следующая зараза. Или переходим на Linux Про вирус aadrive32.exe icon smile

Похожие записи

Vous pourriez être intéressé par :

Добавить комментарий Сообщить о нарушениях Распечатать эту статью Поделиться на Facebook См. оригинал статьи
Вернуться к Избранному в категории Logo Paperblog

Эти статьи могут вас заинтересовать :

  • Virtual Box и Parallels Desktop

    Честное слово – я был впечатлён. Конечно, окончательные выводы делать пока рано. Но то, что виртуальная машина Virtual Box предлагает забесплатно –... Подробнее

    с 31 Август 2012   Denismajor
    WEB, ИНТЕРНЕТ, ТЕХНОЛОГИИ
  • Германия: IFA.

    Что такое IFA в Берлине? Это шоу инноваций в бытовой технике. То есть в телевизорах, холодильниках, компьютерах, стиральных машинках и зубных щётках. Такая вот... Подробнее

    с 02 Сентябрь 2012   Kitya
    ГАДЖЕТЫ, ТЕХНОЛОГИИ
  • Германия: Картинки с выставки.

    Перед выставкой было страшно. Оправдаю ли я ожидания? Смогу ли я написать о зубных щётках? Что он них вообще можно написать, гадал я.***Многие технические обзор... Подробнее

    с 02 Сентябрь 2012   Kitya
    ГАДЖЕТЫ, ТЕХНОЛОГИИ
  • Вечеринка у Касперского в MOD Design

    Давно в этом блоге не было фотографий, так что я решил всё-таки выложить наиболее понравившиеся фотографии с позавчерашнего мероприятия, организованного... Подробнее

    с 30 Август 2012   Denismajor
    ИНТЕРНЕТ, ТЕХНОЛОГИИ
  • Тестируем Samsung DIVE или: “Как потерять Galaxy Note”.

    История произошла буквально в эти выходные, на дне рождения Серёги Кузнецова. Устроил Серёга шашлыки, да не где-нибудь, а в лесу возле озера. Место –... Подробнее

    с 03 Сентябрь 2012   Denismajor
    ГАДЖЕТЫ, ТЕХНОЛОГИИ

КОММЕНТАРИИ (1)

Par Michealloogs
Опубликовано Птн Октябрь в Н: В
Сообщить о нарушениях

Компания быстро росла, и сегодня, занимая одну из ведущих позиции на этом рынке, мы не стоим на месте. В основе проекта ООО «ЛАБ-Медика»: самые современные лабораторные технологии, накопленные за годы работы аналитической и статистической информации по рынку.

В 2020 году ООО «ЛАБ-Медика» исполнилось 13 лет. Несомненно, главное достояние компании — это высококвалифицированный коллектив, богатый опыт работы с самыми крупными производителями лабораторной диагностики. Благодаря этому компания всегда остается на шаг впереди конкурентов обеспечивая своим клиентам самый лучший подход, чтобы они были довольны нашей работой.

Наши специалисты – это профессиональные менеджеры, постоянно повышающие свою квалификацию. Наши сотрудники являются действующими членами института профессиональных менеджеров.

Наши клиенты – это организации и индивидуальные предприниматели с различными направлениями медицинской деятельности. Мы гарантируем внимание и индивидуальный подход каждому клиенту.

Наши основные принципы – профессионализм, качество, ответственность, индивидуальный подход, конфиденциальность, доброжелательность.

Наши клиенты рекомендуют нас своим друзьям, партнерам – это лучшая реклама нашей компании!!!
https://lab-medica.ru/magazin/tag/cormay Наша компания предлагает вакуумные пробирки в широком ассортименте. Эти изделия являются основными компонентами, использующимися для взятия венозной крови. Наличие в них вакуума обеспечивает возможность забора нужного количества материала для анализа, а также точной дозировки реагентов.Эти элементы также могут являться составной частью многокомпонентных систем забора и анализа крови. Благодаря их использованию удается минимизировать ошибки уже на этапе сбора материала для проведения исследования и значительно облегчить работу занимающегося этим персонала.

Существует множество разновидностей вакуумных пробирок. И все из них представлены у нас: возможно осуществить заказ любой по объему оптовой партии. Рассмотрим, как классифицируются такие изделия, какие каждая из разновидностей имеет особенности, и порядок их применения.

Добавить комментарий