Что такое aadrive32.exe ?
На одной из юзерских машин я столкнулся с новым для меня зверем по имени aadrive32.exe, нагрузка процессора, имя пользователя и объем ОЗУ сразу намекнули, что парень не добрый и нам совсем не нужный.
Так и оказалось, это был мерзкий вирусеныш.
Сначала выключил процесс aadrive32.exe в диспетчере, затем закрыл такой же сетевой процесс через НОД. Апотомпоинструкции:
Удалитьфайлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
Удалитьфайлывида 14.exe, 38.exe ит.п. из windows\system32.
Удалитьфайл windows\aadrive32.exe.
Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.
В реестре ссылка на aadrive32.exe будет как минимум в ветках:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver и HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup.
Также можно выполнить скрипт для AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Алексей.HOME-BC55B02239\Application Data\Lqjujf.exe','');
DeleteFile('C:\Documents and Settings\Алексей.HOME-BC55B02239\Application Data\Lqjujf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\autorun.wsh');
DeleteFile('C:\WINDOWS\aadrive32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
RebootWindows(true);
end.