[решено] Вирусы aadrive32.exe, acleaner.exe и т.д. помогите.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Вирусы aadrive32.exe, acleaner.exe и т.д. помогите.

Здравствуйте, прошу помочь в лечении. После неоднократного удаления вирусных объектов с помощью mbam, они появляются снова и снова.
Переустановил систему несколько дней назад, все было нормально и вот сегодня опять появились те же вирусы. Лог mbam прилагаю.
Также логи AVZ и Rsit.
И еще компьютер постоянно атакуют через 135 порт. DCOM Exploit.

Смотрю логи, скоро отвечу

скачайте и установите все последние обновления для безопасности windows http://www.update.microsoft.com/wind...&&thankspage=5

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 TerminateProcessByName('C:\WINDOWS\aadrive32.exe');

 QuarantineFile('C:\WINDOWS\system32\56.exe','');

 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');

 QuarantineFile('C:\WINDOWS\aadrive32.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ssxyxq.exe','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\7.tmp','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\8.tmp','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\1.tmp','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\2.tmp','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\3.tmp','');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\Ssxyxq.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');

 DeleteFile('C:\WINDOWS\aadrive32.exe');

 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');

 DeleteFile('C:\WINDOWS\system32\56.exe');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\7.tmp');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\8.tmp');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\1.tmp');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\2.tmp');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\3.tmp');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ssxyxq');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму: http://www.oszone.net/virusnet . Укажите ссылку на тему и ник на форуме.

Пофиксите в HJT http://forum.oszone.net/post-1430293-2.html

Код:

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe

O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe

Удалите в MBAM все обнаруженное

сделайте повторные логи avz и rsit.

Цитата:

Цитата alex_sev

Пофиксите в HJT http://forum.oszone.net/post-1430293-2.html
Код:
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe »

Такие строки отсутствуют, фиксить нечего.
Можно mbam не скачивать, у меня уже стоит эта прога?

Удалите все найденное по первому логу в MBAM.

скачайте и установите все последние обновления для безопасности windows http://www.update.microsoft.com/wind...&&thankspage=5

Подготовьте повторный комплект логов.

Просканировался с mbab, нашел 19 объектов, удалил. Вот лог

Цитата:

Цитата alex_sev

скачайте и установите все последние обновления для безопасности windows http://www.update.microsoft.com/wind...&&thankspage=5 »

Перешел по ссылке "Центр загрузки Майкрософт" дальше все не по-русски, непонятно.

http://v4.windowsupdate.microsoft.com/ru/default.asp - попробуйте здесь, или включите функцию Автоматического обновления и установите все критические обновления безопасности.

Или попробуйте так:

http://safezone.cc/forum/showthread.php?t=14778

Я включил функцию Автом.обновления. Теперь мне что ждать 40 минут, я на 13-00 поставил?

Загрузилось обновление для Windows XP (КВ898461). Устанавливать его.

Как мне отличить критические обновления от некритических.

Если у Вас лицензионная копия Windows, то можете ставить все, если нет, то одновременно установится средство проверки подлинности ключа, которое будет надоедать сообщениями о покупке лицензионной копии, пропустите установку данного обновления KB905474.