Про вирус aadrive32.exe

Про вирус aadrive32.exe

На прошлой неделе нарвался на вирус, от которого еле избавился. Самое интересное, что антивирус был установлен, поэтому я даже не помню, когда последний раз подцеплял какую-то подобную гадость. На момент заражения ни Nod32, ни Avira, ни LiveCD drWeb’а этот вирус не признавали (хотя Avira ругался на следы жизнедеятельности этой твари). По реакции сайта virustotal.com оказалось, что еще несколько дней назад, эту гадость ловили только каждый четвертый антивирус (в их числе, кстати, были Касперский и Comodo). Вчера количество антивирусов, которые этот вирус ловили, уже заметно возросло, но Nod32, например, еще вчера еще пропускал.

Симптомы

Этот вирус распространяется через флешки, стоит их вставить в зараженный комп (или даже примонтировать какой-нибудь образ, например, из TrueCrypt), как вирус делает следующее:

  • Создает на флешке папку Recycler (якобы корзину), куда копирует свой exe-шник, судя по всему со случайным именем.
  • Все папки, находящиеся в корне флешки, делает скрытыми и системными.
  • Вместо папок создает ярлыки (*.lnk) с теми же именами, но суть их состоит в том, что при попытке их открыть будет не просто открыта папка, а будет запущен вирус из корзины (потом может быть нужная папка и откроется, запускать ярлык я не пробовал, но имя открываемой папки вирусу передается через командную строку).
  • В завершение всего создается файл autorun.ini в корне флешки, причем этот файл содержит какие-то бинарные данные.


Зараженный компьютер можно опознать по следующим признакам:

  • В списке процессов есть процесс aadrive32.exe (по крайней мере Process Explorer его без труда показывает и прибивает.
  • В папке windows расположен файл aadrive32.exe. Если этот файл удалить, то он восстановится во время следующей загрузки системы.
  • В папке windows\system32 есть файлы вида 14.exe, 38.exe и т.п. Что это за файлы я не понял, потому что после их удаления они не восстанавливаются.
  • В папке Documents and Settings\USERNAME\Application Data (под Windows XP, не помню, как эта папка называется под Windows 7) расположены файлы 3.tmp, 4.tmp и т.п. Эти файлы восстанавливаются после перезагрузки. Именно на них и ругался Avira, хотя в тот момент на основные файлы вирусов он не реагировал.
  • В одной из подпапок папки Recycler есть подозрительный exe-шник.
  • В папке Documents and Settings\USERNAME\Application Data расположен еще один файл *.exe (его имя скорее всего будет случайным). Причем этот файл я не видел под Windows (даже во FreeCommander’е, не говоря уж про проводник), а заметил, когда перезагрузился под Linux’ом.
  • С зараженного компьютера невозможно открыть сайты антивирусов и сайт virustotal.com. Причем, вирус как-то хитро блокирует эти сайты, а не просто добавляет свои записи в hosts.

Лечение

Избавиться от вируса можно довольно легко, если есть загрузочный диск с Linux’ом. Для этого после загрузки (например, с Live CD) нужно:

  • Удалить файлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
  • Удалить файлы вида 14.exe, 38.exe и т.п. из windows\system32.
  • Удалить файл windows\aadrive32.exe.
  • Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.

После этого перезагружаемся в винду (вирус уже не должен запускаться, можете для проверки зайти, например, на сайт Касперского, если сайт открывается, значит, вирус побежден), и можно почистить реестр от следов вируса. Самое простое — это запустить файл regedit и поудалять все записи, где содержится строка aadrive32.exe.

В реестре ссылка на aadrive32.exe будет как минимум в ветках:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver и

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup.

После этого радуемся, что вирус побежден, до момента, пока не попадется следующая зараза. Или переходим на Linux 🙂

Вы можете подписаться на новости сайта через RSS, Группу Вконтакте или Канал в Telegram.

Пожалуйста, оцените запись

УжасноПлохоТак себеХорошоОтлично (Количество голосов: 59, средняя оценка: 4,69)
Загрузка...

комментария 43

  1. sid:

    Перешел на линукс несколько лет назад, забыл про вирусы. Стоит для успокоения bitdefender scanner for unices, проверяю флешки или съемные винты товарищей иногда

  2. Алекс:

    А что, нельзя с помощью антивирусной проги его удалить?

  3. Jenyay:

    На тот момент, когда подцепил этот вирус, ни Avira, ни Nod32 этот вирус не ловили. Да и файл *.exe в винде был не виден.

  4. Евгений:

    Обновите каспер верссии 6, он найдет и сам его удалит.

  5. Алсу:

    а без линукса никак?

  6. Jenyay:

    С линуксом по крайней мере все просто, достаточно с ним загрузиться и прибить нужные файлы. Может быть уже LiveCD от DrWeb (CureIt) умеет его лечить.

  7. AcRoss:

    Спасибо огромное за статью, очень помогло, почистил компьютер от этой гадости, живучей тварью оказалась. Следов вируса в реестре не обнаружил.
    Из-за вируса на компьютере отсутствовало VPN-соединение с провайдером, а также наблюдались дикие лаги. Ещё раз спасибо ^_^

  8. Стив:

    Даже на 18 июня НОД32 пропускает его. Точнее он показывает, что перехватил, но вирус заселяется и самое главное прописывается в реестре. При сканировании НОДом затем он удаляет вирусы, но реестр не правит. На сайты антивирусников доступа нет. Пока в ручную не прибил ветку в реестре, доступа не было. Сейчас все ок. Прошелся на всякий случай AVPTool после НОДа но ничего уже не найдено. Автору огромное спасибо за статью!

  9. Игорь:

    Спасибо за информацию, она мне помогла. Нарвался на похожую заразу (хотя, не исключено что их было несколько похожих одновременно). Отличия были следующие:

    * кроме процесса aadrive32.exe наблюдался процесс jodrive32.exe. Убивался менеджером задач легко, но также быстро (1-2 минуты) восстанавливался даже без перезагрузки системы.

    * в папке «Recycler» было две папки со сложными именами и, соответственно, двумя экзешниками со случайными именами.

    * такое ощущение, что пробрался вирь не через носители, как описано тут, а через внешнюю сеть: первое его появление было замечено антивирусом именно в тот момент, когда подключили шнур «домашней» сети. Флешек и других носителей вообще не подключали.

    Сложность лечения заключалась еще и в том, что комп находится в другом конце города и поехать к нему далеко, сложно и некогда. Доступ к рабочему столу был только посредством программы TeamViewer. Так что загрузить с другого диска было проблематично. Кроме того, система работала нестабильно: висла и ругалась сообщениями об ошибках запуска разных процессов.

    Штатный антивирус (avast 4.8) замечал файлы «41.exe» и подозрительную активность в направлении сети: попытки подключиться к другим адресам и т.д. Скачанный по этому поводу «Касперский» и «DR-WEB Cure IT» вирус видели и в других файлах но почему-то не лечили и не удаляли.

    Помог, как ни странно, свободный программный продукт «COMODO Internet Security». После установки и перезагрузки и сразу поместил 4 запускаемых процесса в «песочницу» как подозрительные и «отрубил» внешние соединения с нескольких адресов, расположенных в этой же сети. Стало много легче: процессы *drive32.exe перестали запускаться, их можно было удалить из реестра и с диска. Сканирование системы тем же COMODO Antivirus обнаружило еще 19 «подозрительных» файлов, часть из которых оказались кряками, а часть — «хвостами» описываемых вирусов. После их удаления было проведено «контрольное» сканирование DR-WEB Cure IT. Вирусов он не нашел. Система работает стабильно.

    Да, файерволл регулярно «рубит» попытки соединения от других адресов, расположенной в этой же «домашней» сети. Так что, возможно, мое предположение о способе заражения «из вне» верно.

  10. _Sojer:

    Спасибо автору))). У меня была эта проблема. Избавился сегодня с помощью диска с Ubuntu. Я хочу добавить описание к вирусу.

    В файле корзины у меня лежал acleaner.exe(антиудалитель)-он мешал полному удалению вируса. Он защищён от записи, и удалить его как раз можно только используя сторонние проги или OS. В папке «имя user-а» лежал cadjq.exe — его я удалял, но он появлялся вновь, и иногда он модифицировал своё название в caddwjq.exe. Там же лежали файлы с названиями типа 1С.tmp. В скрытой папке ApplicationsData лежал файл Xipupr.exe — после удаления восстанавливается. В папке windows я находил два файла — Aadrive32.exe и jodrive32.exe — эти файлы используют соединение с интернет. ZoneAlarm пресекал подключение jodrive32.exe к 115.239.230.68:Port6943 и Aadrive.exe к 89.151.190.213:DNS. Aadrive32.exe пытался скачать http://176.53.19.42/n4.exe — ZoneAlarm блокировал эту попытку. В этой же папке находились папки вида 10XX, где XX — натуральные числа, туда загружаются непонятные DLL файлы — не помню уже что точно — эти папки защищены от записи. в system32 накапливаются файлы вида XX.exe, XX — числа 0,1,…,9. Эти файлы легко удаляются, но они просто перемещаются в корзину, а именно в ту папку где acleaner.exe. после очистки корзины «стандартно» они остаются. Надо заходить в корзину через файлмэнэджер с включённым показом скрытых файлов и удалять delete-ом. В реестре у меня были прописаны файлы jodrive32.exe и Aadrive32.exe. После удаления соответствующих строчек, строчки восстанавливлись при перезагрузке. На сайты антивирусов, такие как http://www.virustotal.com зайти через обычный браузер было нельзя(можно через сайт подмены ip — но я не пробывал). Вирус маскирует маршрут по этим сайтам каким-то корявым адресом. Если в консоли Cmd.exe набирать route print >c:/log.txt то в появившемся логе эта подмена прослеживалась. сайт http://www.virustotal.com не пропинговывался. Сброс маршрутизации route -f не помогал — очевидно вирус при загрузке системы всякий раз маршрутизацию меняет. Ради прикола я сам пытался маскировать адреса к которым подключались вышеуказанные вирусы — вирус сбрасывал маршруты.

    Теперь сведения о моей системе — WinXp Sp3, установлен Nod32 2.7(древненький, но из принципа пользуюсь только им) — установлен после заражения, ZoneAlarm — тоже после заражения. Заражение произошло через интернет, я снёс винду, поставил снова, но не поставив антивирус, решил скачать себе браузер, проигрыватель — вот и попался.

    Вирус проявлял себя следующим образом: тормозил загрузку системы, отключал тему и графическое оформление рабочего стола, отключал звуковую карту, но последовательно: сначала только для медиапроигрывателя, потом весь звук напрочь. Он мешал корректному обновлению баз Nod32 — у меня он автоматически обновлялся каждый день, но версия баз всё время оставалась 20110609 — дата, когда я его установил и обновил с зеркала. Если переудалять, все файлы, которые удаляются, почистить реестр, отсоединить интернет и перезагрузиться — то всё нормализуется, кажется, что вирус побеждён, в Диспетчере подозрительных файлов не прослеживается. При присоединении к интернету последовательно в диспетчере появляются файлы: cadjq.exe(сразу исчезает), Xpupr(сразу исчезает), 1C.tmp(их обычно 4 штуки, может быть любое название), XX.exe(XX — натуральные числа и 0, несколько процессов, загружаются и пропадают), Aadrive32.exe(остаётся), jodrive32.exe(остаётся). Если при появлении этих процессов сразу снимать их задачи, и удалить появившиеся файлы, то «вторжение» прекращается и до следующей загрузки всё будет спокойно. Если загружать комп с включёным интернетом, то загрузка до конца в 50% случаях не пойдёт. Прийдётся вручную запускать explorer и антивирус с файрволом.

    Примечания.
    Есть такая фишка в XP: можно в gpedit.msc заблокировать запуск некоторых программ. Если прописать в список Aadrive32.exe, jodrive32.exe, cadqj.exe, Xpupr.exe — то они всё равно будут грузиться. Предполагаю, что их названия содержат кириллицу, потому что я сам прописывал латинскими буквами. Я ещё не пробывал туда прописывать acleaner.exe — хотя этот файл, я думаю, самый основной в этом вирусе.

    Проверял через tasklist системные процессы, думал увижу вирус и убью taskkill-ом — ничего не нашёл.

    На флешке я удалил autorun.inf с помощью Nod32, но это получилось в первый и последний раз, потом вдруг Nod стал беспомощным. Я создал пустой Autorun, чтобы больше не происходило заражения — не помогло, вирусный Autorun
    снова прописался.

    Предположения.
    Похоже, что вирус специально заточен под Nod32(я ставил кроме 2.7 ещё и новую 5-ю) — у обоих были заблокированы функции — они не всегда «видели» Autorun.inf на моих флешках.
    Возможно заражение произошло в ходе установки броузера GoogleChrome. В Диспетчере задач GoogleUpdate.exe появлялся вместе с вирусными файлами в нескольких экземплярах.

  11. Sturm:

    Ни Nod32 SmSec4, ни Dr.Web 6 его конечно не видели, причем при обновленных базах и при проверке не ругались ни на один из файлов.
    Вирус прописывал себя в реестре, из автозагрузки себя удалить не давал (сначала пробовал Ccleaner’ом — в итоге сама утилита была удалена зловредом), затем пробовал стандартным msconfig.exe результата не было, вирус сам себя восстанавливал в автозагрузке. Так же вирус блокировал любые попытки выхода в интернет (браузеры выдавали ошибку 404). Зайти в интернет удалось после завершения процесса (стандартным таскменеджером windows) aadrive32.exe.
    На момент написания комментария (6 июля) dr.web 6.0 при обновленных базах видит и распознает, но почему-то удалив, снова его находит.

  12. Sturm:

    Ааа кстать этого товарища подхватил с флешки, не посмотрев в атрибутах, что это исполняемый файл, решил открыть «Новая папка», иконка выглядела как папка.

  13. Sturm:

    а *.exe оказывается были

    http://www.imageup.ru/img131/bezymyannyjj699003.jpg.html

  14. Sturm:

    http://www.imageup.ru/img131/bezymyannyjj699003.jpg.html

  15. Sturm:

    Исп. файлы с названием в виде чисел — Trojan.Packed21784 (DR.Web)

  16. Николай:

    AVG 2011 Free его тоже то видит, то не видит. Я постоянно вычищаю систему от этого вируса, но проходит некоторое время и он опять пытается сесть в систему.
    Что я делал для его удаления:
    1) Чистил его в ветках реестра:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run — там была запись такого рода как Tnaaw — C\RECYCLED\S-0145-145-2121-45587\acleaner.exe и еще несколько ей подобных.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon — там была запись Shell Explorer.exe C\RECYCLED\S-0145-145-2121-45587\acleaner.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run — удалил запись Microsoft Driver Setup — C:\Windows\aadrive32.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — та же самая запись Microsoft Driver Setup — C:\Windows\aadrive32.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — удалил запись Taskman — C\RECYCLED\S-0145-145-2121-45587\acleaner.exe

    2. Удалил файлы вируса в следующих папках:
    C:\Documents and Settings\%UserName%\Application Data\ там было несколько файлов с произвольными именами.
    C:\Documents and Settings\%UserName%\Local Settings\ — удалил файлы типа 1.tmp 2.tmp и т.д.
    C:\Documents and Settings\%UserName%\Local Settings\Application Data — там еще был какой-то файл с произвольным именем.
    C:\WINDOWS\system32\ — файлы 10.exe 50.exe и им подобные
    C:\WINDOWS\ — собственно сам файл aadrive32.exe
    C:\WINDOWS\Temp — почистил папку полностью.
    C:\Documents and Settings\%UserName%\Local Settings\Temp\ — также удалил все из нее.
    C:\Documents and Settings\%UserName%\Local Settings\Temporary Internet Files\Content.IE5\ — удалил все папки с временными файлами IE8.

    3. Отключил восстановление системы.
    4. Переустановил AVG 2011 Free Edition.

    Вроде вирус ушел. Но теперь периодически, спонтанно AVG начинает ругаться на появляющиеся файлы 1.tmp, 2.tmp, 10.exe, 12.exe и постоянно удаляет их. Так же в корзине периодически появляется тот злополучный файл acleaner.exe, который удаляется только если убрать его из списка handle-процессов explorer.exe с помощью утиллиты ProcessExplorer. Даже не знаю откуда он берется. Скорее всего в системе что-то еще неприметное висит которое дает дорогу для беспрепятственного проникновения вируса в систему.

  17. Jenyay:

    Николай, попробуйте все-таки загрузиться с liveCD какого-нибудь линукса, и посмотрите папку C:\Documents and Settings\%UserName%\Application Data\. У меня там был файл, который не был виден из винды.

  18. AVK-DareM:

    сталкивался с подобным вирусом.
    В середине мая, когда он мн попался, с ним не справились: Avira(база данных последняя), Dr.Web Cureit(последний), KAV 2011 и KIS 2011… Jтличие моего вирусика от вашего, заключается в том что он не много по другому себя вел: не блокировал сайты антивирусов(а нахрен их блокировать, если они его не видят), не создавал кучу файлов для восстановления. Помогло несколько вещей: запись на флешку папки авторан, что бы в дальнейшем не было проблем, удаление процесса conhost.exe и удаление 4 папок связанных с этим процессом(нашел их с помощью поиска по диску C).
    Система Windows 7…
    эх. вовремя я тогда линукс решил обновить, нечего под рукой не было…

  19. Serg:

    Спасибо автору избавился от проблемы. Avira увидела: aadrive32.exe,3.tmp, 4.tmp и т.п. На последок посмотрел автозагрузки и отключил эти файлы.

  20. Дима:

    Спасибо автору) …благодаря твоей статье я избавился от этого вирусяна буквально за минуты! Поставил старый добрый «комод», который то и помог, даже базы не пришлось обновлять, а довершил зачистку прогой Ccleaner и прямыми руками=b

  21. Duke:

    Советую, перед началом выполнения выше указанных действий, отключить «восстановление системы».

  22. SK:

    Спасибо ребята, щас попробую удалить заразу.Первый раз когда поймал,вручную из винды его забил, а щас никак. DR-WEB Cure IT 14,10,2011 не удаляет полностью……….

  23. Дмитрий:

    Сделал всё, что тут написанно. Вроде бы убралось. Но Avast всё-равно иногда ругается. Блокирует какие-то екзешники от каких-то IP, хотя я в это время в инете нигде не лазию. Получается, что остатки этого вируса что-то пытаются сделать. Не подскажите в чём может быть проблема?

  24. Jenyay:

    > Но Avast всё-равно иногда ругается

    А на какие файлы ругается?

  25. Дмитрий:

    237.tmp например. После пары таких сообщений от аваста процесыы *.tmp снова появляются. Сегодня переустановил винду. Не помогло. Уже неделю борюсь с этой фигнёй, никак не могу убить. Всё перепробовал.

  26. Jenyay:

    Проверьте не из под Windows, точно нет никаких подозрительных файлов в C:\Documents and Settings\USERNAME\Application Data?

  27. Дмитрий:

    Всё через Ubuntu проверял. Около часа всё нормально работает, потом снова начинается веселье. Может ли вероятность, что эта гадость на другие диски проникает?

  28. Jenyay:

    С флешек ничего не может за это время переползти? Потому что, когда я сталкивался с этим вирусом, то антивирус ругался на файлы 237.tmp сразу после перезагрузки.

    Или может быть сейчас появилась какая-то другая версия вируса, которая где-то еще гадит?

  29. Дмитрий:

    Я на других жёстких дисках нашёл только странные файлы папках Recycler но всё через линукс удалил. Остальное на первый взгляд всё чисто. Во всех папках я не лазил, ибо это заняло бы пол дня. Меня смущает то, что всё это появляется даже после переустановки винды. Ведь диск на который ставлю винду форматируется. Откуда тогда вирус берётся понятия не имею.

  30. Дмитрий:

    Поставил каспера пробну версию. Он показывает что каждые 3-4 минуты на мой комп с IP 235.234.236.79 пытается пролезть файл 40.zip, но он его держит. И всегда всё начинается с этого. Другие антивирусы вообще его не держат. Срабатывают 2 раза, а на 3-ий всё начинается. Появляется aadrive32, jodrive32 ну и все признаки что выше описанны.

  31. Александр:

    Всем привет. Вот еще способ лечения вируса aadrive32.exe быстрый и простой.
    http://alexborbi.narod2.ru/forumi/bezapasnost_pk/

  32. traglod1t1:

    Спасибо помогло. В папке Documents and Settings\USERNAME\Application Data убил этот вирус через безопасный режим.

  33. Shanek:

    привет=)а можно просто переставить виндовс для удаления вируса?или он снова появится?

  34. Саша:

    У меня возникла, таже проблема… Лечил способами описаными выше, но со временем вирус появлялся снова. Пере установил винду и не подключал ничего к компу, но антивирус снова заматерился(‘C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\AWBO7NUT\n[1].exe’ и ‘C:\WINDOWS\system32\71.exe’
    был обнаружен вирус или вредоносная программа ‘TR/Gendal.kdv.394833’ [trojan].), хотя и удалил ехе фаил, пока что вирус не появился… Интересно откуда он появляется, есть подозрения на googl chrom… Думаю поставить фаервол… Кто подскажет???

  35. Александр:

    googl chrom точно не причем. У меня стоит опера и та же ерунда. Вирус висит где то в местной сети, и уже видимо на большенстве компов. Притом он как то модернизируется, в этой папке C:\WINDOWS\system32\71.exe он раньше был с расширением XX.tmp, а теперь exeшники лезут, стоит только отключить брэндмауер. Местный провайдер ни чем помочь не может.

  36. Сергей:

    Огромное спасибо авторы статьи!
    Загрузился через Live CD от Нода32. Удалил этот коварный экзэшник.
    Нод32 перестал ругаться. Перестал блокировку подозрительных IP из инета.
    Страницы стали открываться мгновенно.
    И при закачке через мюТорерент, перестало сбрасывать скорость закачки (выше 1 мб/с не поднималось. сейчас до 10 Мб/с доходит, т.е. почти 80 Мбит/с) и информация, что диск перегружен пропало.
    В общем оперативная память сейчас в норме.

    Ещё раз огромное СПАСИБО!!!!!!!!!!!!!!!

  37. Ризат:

    А как удалить этот вирус с флешки не потеряв данные на нем? Касперский, Нод32 удаляют полностью папки… Или я что-то неправильно смотрю?

  38. Jenyay:

    Можно удалить ярлыки (*.lnk) в любом файловом менеджере вроде TotalCommander’а, а потом поменять атрибуты папок, чтобы они перестали быть скрытыми.

  39. Иван:

    Всем привет. Вот еще способ лечения вируса aadrive32.exe быстрый и простой.
    http://alexborbi.narod2.ru/forumi/bezapasnost_pk/

    спасибо у меня он около 3-4 дней висит при загрузки системы всегда пишит ошибку с непонятным адресом (я его забыл так-как удалил напрочь) и он постоянно вставал назад система висла до белой ручки. удалял все файлы с окончанием tmp у меня стоит панда но открыть я её не мог пок не дошло что можно поставить проверку системы в итоге я проверил все диски и нашол этого вируса около 2-3 сотен!!! хоть я и флешку фарматировал не раз а зловредная папка оставалась!!!

  40. Иван:

    а вот что он пишит
    Windows — Устройство не готово

    Exception Processing Message c00000a3 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

    что он пытается включить я не понимаю но ясно Одно это первый симптом вируса!!!

  41. Иван:

    ухты я нашел 1 интересную деталь есть 1 dll файл без которого сам аадриве запустится не может это CMDIL32.DLL Он потребовал повторную установку чтоб запустить его=))

  42. Makc:

    Заразился вирусом этим около 5 месяцев назад.Сначала я заметил какой-то странный процесс. Далее я понял что когда я его отключаю комп начинает работать быстрее и грузит интернет.Облазил кучу форумов ,но переустанавливать винду не хотелось.Почистил весь реестр,удалил все файлы в windows/system32 также в application data удалил все папки recycler oчистил полностью .После перезапуска еще раз чистил реестр и удалял этот чертов вирус.Далее в 3 перезапуск он изменил название(вот тварь)но я его еще раз удалил (однако в реестре не осталось упоминаний о нем.Перезапустил комп в 4 раз ничего нет.Ужасно обрадовался и пошел спать.Все этого дерьма как не бывало.Проклинаю разработчиков этого вируса!

  43. иван:

    заходим в реестр.в панели пуск в строке выполнить вводим regedit.появится окно.там вводим aadrive он находит его и удаляем его.мне помогло

Leave a comment

Subscribe without commenting