Обнаружен Heur.Backdoor.Generic и лезут подозрительные системные сообщения

[V_Bond]

нужно ставить обновления начните с этих ....
http://www.microsoft.com/downloads/d...3-612f3017efc7
http://www.microsoft.com/downloads/d...2-415e095e207f
http://www.microsoft.com/downloads/d...displaylang=ru

[gregar]

В прошедшие выходные установил все обновления для WinXP Pro SP2, которые оставались не установленными и доступными на Windows Update. Однако ничего не изменилось. Касперский продолжает детектировать, что модуль SVCHOST.EXE\svchost.exe инфицирован вирусом Heur.Backdoor.Generic. При этом исправно сообщает, что лечение не возможно. Также продолжает запускаться Windows Installer (с последующим переходом к конфигурации Adobe Acrobat 8.0) при щелчке правой кнопкой мыши на любом файле или папке. AVZ вирусов не находит и в карантин ничего не попадает. Что еще можно сделать? Где копать? Неужели нет никакого решения против этого?

[V_Bond]

виндовый фаервол включен ?

[gregar]

Да, виндовый фаервол включен.

[V_Bond]

сделайте новыйлог hijackthis

[gregar]

Выкладываю свеженький лог.

[V_Bond]

пофиксите ...

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: vtusspo - C:\WINDOWS\

выполните скрипт ....

Код:

begin
 BC_DeleteSvc('Adobe LM Service');
 BC_DeleteSvc('Aint2kc');     
 BC_DeleteSvc('Autodesk Licensing Service');         
 BC_Activate;
 RebootWindows(true);
end.

повторите последний лог ...

[gregar]

Пофиксил. Скрипт выполнил. Свежий лог прилагаю. При перезагрузке системы сообщение об ошибке в svchost.exe опять появилось, а вот сообщение Касперского о заражении вирусом Heur.Backdoor.Generic модуля SVCHOST.EXE\svchost.exe пока не было (правда оно не при каждой загрузке системы бывает, а, например, в 7-ми случаях из 10-ти). Windows Installer пока продолжает появляться от правой кнопки мыши.

[V_Bond]

у вас есть локальная сеть ?

[gregar]

Да. Это домашняя локалка, состоящая из 3-х компьютеров. Как правило два из них используются очень редко (например, в данный момент оба выключены). Кстати, когда начались проблемы, поднятые в этой теме, то началось то все с того, что исчезло соединение с Интернетом. После долгих поисков нашел, что в модеме ADSL (в роутере) в параметрах соединения с провайдером были ИЗМЕНЕНЫ!!! имя пользователя и пароль! А в 2-х компьютерах из 3-х были "затерты" IP и адреса DNS серверов. Вернул все к прежним данным и Интернет мгновенно появился. Еще раньше появилась такая лабуда. Подключаешься к Интернету и как положено в трее появляется иконка с 2-я дисплеями. Через некоторое время появляется вторая аналогичная и написано, что установлен мост с Интернетом через мой комп (появилось это несколько месяцев назад) на скорости 614 кб/с. После глобальных чисток компа , предпринятых в результате поднятия этой темы и удаления более 60-ти вирусов, вторая иконка с дисплеями перестала появляться. Вот что вспомнил в связи с Вашим вопросом.

[V_Bond]

остановим лишние службы долно полегчать ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('WinMBR', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[gregar]

Скрипт выполнил и перезагрузился. Визуальных изменений в поведении системы не заметил (может если только чуть быстрее грузиться стала), хотя уже относительно давно (три перезагрузки) Касперский молчит о заражении вирусом Heur.Backdoor.Generic модуля SVCHOST.EXE\svchost.exe. Проблема запуска Windows Installer и системное сообщение об ошибке в svchost.exe продолжают быть. А в чем должно выразиться "полегчание"?

[gregar]

Может кто-нибудь знает как с Windows Installer бороться, чтобы он не запускался при щелчке правой кнопкой мыши на любом файле или папке? Может это вовсе и не вирусные проделки?

[rubin]

Мышь стандартная или нет? Может стоит переустановить драйвер?

[gregar]

Мышь обычная - две кнопки и колесико между ними. Драйвер переустановлю, но думаю, что не в нем дело, т.к. раньше Windows Installer не запускался с этой же мышью и драйвером при попытке открыть контекстное меню любой папки или файла. Кстати, изменилась иконка диска C: везде где только можно. Вместо обычного символа диска C: появился крест, как в некоторых программах на кнопке для удаления чего-либо. Смотрится удручающе эта иконка диска C:. Что-то или кто-то же поменял ее. Как вернуть нормальную иконку диску C: ?

[V_Bond]

поиск по реестру Windows Installer .... все ключи что найдутся покажите ...

[drongo]

http://users.rcn.com/taylotr/icon_restore.html
попробуй
http://www.kellys-korner-xp.com/regs_edits/iconfix.reg

или вот такой вариант нашёл :
http://support.microsoft.com/kb/q132668/

[gregar]

поиск по реестру Windows Installer .... все ключи что найдутся покажите ...

Выкладываю файл со всеми найденными ключами. Есть очень подозрительные места.

[gregar]

http://users.rcn.com/taylotr/icon_restore.html
попробуй
http://www.kellys-korner-xp.com/regs_edits/iconfix.reg

или вот такой вариант нашёл :
http://support.microsoft.com/kb/q132668/

Первый предложенный вариант делает не то, что требуется. Эта прога предназначена не для восстановления иконок как таковых, а для восстановления их взаимного расположения и абсолютных координат на Рабочем столе в случае если эти координаты были предварительно сохраненеы с помощью самой же этой программки, а потом произошло изменение положения иконок, например, в результате изменения разрешения монитора. Это сообщение Касперского появляется в процессе проверки им объектов автозапуска.

Второрой вариант выполнил. Но каких-либо положительных или отрицательных последствий не заметил. Проще говоря, ничего визуально не изменилось - как был крест на диске С:, так он там и остался.

Третий вариант попробую сегодня вечером после работы.

Кстати, после двух дневного затишья сегодня при загрузке системы Касперский снова сообщил о зараженном модуле SVCHOST.EXE\svchost.exe вирусом Heur.Backdor.Generic и о невозможности лечения. Это сообщение Касперского появляется на этапе проверки объектов автозапуска.

[Макcим]

Сделайте повторно логи.