На одной из юзерских машин я столкнулся с новым для меня зверем по имени aadrive32.exe, нагрузка процессора, имя пользователя и объем ОЗУ сразу намекнули, что парень не добрый и нам совсем не нужный.

Так и оказалось, это был мерзкий вирусеныш.

Сначала выключил процесс aadrive32.exe в диспетчере, затем закрыл такой же сетевой процесс через НОД. А потом по инструкции:

1. Удалить файлы *.exe и *.tmp из Documents and Settings\USERNAME\Application Data.
2. Удалить файлы вида 14.exe, 38.exe и т.п. из windows\system32.
3. Удалить файл windows\aadrive32.exe.
4. Удалить все подозрительные файлы из папки c:\Recycler. Там внутри будут папки вида S-1-5-21-1229272821-1390067357-839522115-1003, по ним надо пройтись, хотя можно грохнуть прям эти папки, если у вас в Корзине не лежит ничего ценного.

В реестре ссылка на aadrive32.exe будет как минимум в ветках:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver и HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup.

Также можно выполнить скрипт для AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
 QuarantineFile('C:\autorun.wsh','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
 QuarantineFile('C:\Documents and Settings\Алексей.HOME-BC55B02239\Application Data\Lqjujf.exe','');
 DeleteFile('C:\Documents and Settings\Алексей.HOME-BC55B02239\Application Data\Lqjujf.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
 DeleteFile('C:\autorun.wsh');
 DeleteFile('C:\WINDOWS\aadrive32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
RebootWindows(true);
end.