Обнаружен Heur.Backdoor.Generic и лезут подозрительные системные сообщения

**V_Bond** · 25.01.2008, 11:14

посмотрите параметры в этих ключах .... ( они отвечают за контекстное меню)
HKEY_CLASSES_ROOT\Directory\shell
HKEY_CLASSES_ROOT\Folder\shell
HKEY_CLASSES_ROOT\Folder\shellex

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**gregar** · 25.01.2008, 12:10

Сообщение от Maxim

Сделайте повторно логи.

Сделаю в субботу и выложу

Добавлено через 51 минуту

Добавлено через 1 минуту

Сообщение от V_Bond

посмотрите параметры в этих ключах .... ( они отвечают за контекстное меню)
HKEY_CLASSES_ROOT\Directory\shell
HKEY_CLASSES_ROOT\Folder\shell
HKEY_CLASSES_ROOT\Folder\shellex

Посмотрю вечером.

А какое мнение по поводу следующих ключей?

HKEY_CLASSES_ROOT\ISScriptHandler.ScriptWrapper
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer ScriptWrapper

HKEY_CLASSES_ROOT\ISScriptHandler.ScriptWrapper.1
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer ScriptWrapper

HKEY_CLASSES_ROOT\ISScriptHandler.StringTable
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer String Table

HKEY_CLASSES_ROOT\ISScriptHandler.StringTable.1
Имя: (по умолчанию))
Значение: InstallShield for Windows Installer String Table

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ISScriptHandle r.ScriptWrapper
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer ScriptWrapper

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ISScriptHandle r.ScriptWrapper.1
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer ScriptWrapper

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ISScriptHandle r.StringTable
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer String Table

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ISScriptHandle r.StringTable.1
Имя: (по умолчанию)
Значение: InstallShield for Windows Installer String Table

**gregar** · 26.01.2008, 00:55

Сообщение от V_Bond

посмотрите параметры в этих ключах .... ( они отвечают за контекстное меню)
HKEY_CLASSES_ROOT\Directory\shell
HKEY_CLASSES_ROOT\Folder\shell
HKEY_CLASSES_ROOT\Folder\shellex

Посмотрел. Результат такой:

HKEY_CLASSES_ROOT\Directory\shell
Имя: (по умолчанию)
Значение: none

HKEY_CLASSES_ROOT\Folder\shell
Имя: (по умолчанию)
Значение: (значение не присвоено)

HKEY_CLASSES_ROOT\Folder\shellex
Имя: (по умолчанию)
Значение: (значение не присвоено)

**V_Bond** · 26.01.2008, 01:09

rкокретно что там ... HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandle rs

**gregar** · 26.01.2008, 01:21

Вот все, что там есть:

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{0 D2E74C4-3C34-11d2-A27E-00C04FC30871}
Имя: (по умолчанию)
Значение:

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{2 4F14F01-7B1C-11d1-838f-0000F80461CF}
Имя: (по умолчанию)
Значение:

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{2 4F14F02-7B1C-11d1-838f-0000F80461CF}
Имя: (по умолчанию)
Значение:

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{4 98F800E-0DFE-4F2A-984D-ED9E79BC4275}
Имя: (по умолчанию)
Значение: ViewFolderSize column ext

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{6 6742402-F9B9-11D1-A202-0000F81FEDEE}
Имя: (по умолчанию)
Значение:

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers\{F 9DB5320-233E-11D1-9F84-707F02C10627}
Имя: (по умолчанию)
Значение: PDF Column Info

**V_Bond** · 26.01.2008, 01:47

сделайте экпорт этой ветки реестра в текстовый файл ...

**gregar** · 26.01.2008, 15:04

Выкладываю три файла содержащих экспорт запрошенных веток реестра.

**V_Bond** · 26.01.2008, 16:22

- кликните правой кнопкой по ContextMenuHandlers - экспортировать - сохраните в текстовом файле ...

**gregar** · 26.01.2008, 16:59

Сделано.

**V_Bond** · 26.01.2008, 20:03

UltraISO и htm2chm - необходимые вещи ... ?

**gregar** · 27.01.2008, 03:46

Можно расстаться с ними без особого сожаления. А чем они не понравились? Мешает Acrobat, а вот с ним то расставаться ну никак бы не хотелось :-).

Добавлено через 3 часа 28 минут

Сообщение от gregar

Кстати, изменилась иконка диска C: везде где только можно. Вместо обычного символа диска C: появился крест, как в некоторых программах на кнопке для удаления чего-либо. Смотрится удручающе эта иконка диска C:. Что-то или кто-то же поменял ее. Как вернуть нормальную иконку диску C: ?

Иконку диска С: за полминуты успешно вернул на свое место с помощью программы Icon Phile 2.1. Так что это вопрос пока снялся.

**V_Bond** · 27.01.2008, 11:03

наверно стоит удалить ключ .... HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandle rs\Adobe.Acrobat.ContextMenu
особо на работе Acrobat это не скажется ... но проблема возможно решится ...

**gregar** · 27.01.2008, 16:12

Спасибо за совет. После удаления этого ключа действительно сразу же перестал запускаться Windows Installer (и после него перстала запускаться программа конфигурации Adobe Acrobat) при попытке открыть контекстное меню любой папки или файла в Проводнике, либо в любом другом открытом окне Windows или в Internet Explorer. Однако все же осталось одно место, где данная проблема сохранилась. Это Рабочий Стол. При попытке открыть контекстное меню любой папки или файла, находящихся на Рабочем Столе, продолжает запускаться Windows Installer с последующим запуском программы конфигурации Adobe Acrobat. Возможно за контекстные меню объектов Рабочего Стола отвечает какая-то другая ветка реестра?

**V_Bond** · 27.01.2008, 19:32

сделайте экспорт HKEY_CLASSES_ROOT\Directory

**gregar** · 27.01.2008, 23:49

Сделал. Размер текстового файла превысил допустимый предел. Поэтому упаковал его WinRAR'ом.

**gregar** · 28.01.2008, 01:16

Сообщение от gregar

Если по времени, то примерно неделю назад полезли сообщения о заражении модуля SCHOST.EXE\svchost.exe вирусом Heur.Backdoor.Generic. Если же по хронологии событий, то точно сказать не могу после чего именно, как-то не запомнил, но вроде ничего не устанавливал. Что касается прислать файл для проверки, так в этом то и сложность, что нет никакого конкретного файла, на который ругается Касперский. При загрузке системы происходит следующее:

1. Сначала появляется системное сообщение (т.е. сообщение операционной системы, а не Касперского), в котором дословно написано следующее "svchost.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извенения за неудобства. Если работа не была закончена, рабочие данные могут быть утеряны. Для получения дополнительных данных об этой ошибке щелкните здесь (дается ссылка).

2. После этого по времени пояляется сообщение Касперского в котором дословно написано следующее "Модуль содержит вирус. Лечение невозможно. Вирус Heur.Backdoor.Generic. Модуль SVCHOST.EXE\svchost.exe. Пропустить. Модуль не будет изменен"

Таким образом, Касперский не указывает на конкретный файл и где он находится, а указывает на МОДУЛЬ. Подскажите, что конкретно высылать на анализ в этом случае и где искать этот модуль.

Запустил на ночь Касперского на проверку всех дисков на вирусы. Утром посмотрел отчет. Касперский нашел в 2-х папках 147 различных файлов, инфицированных трояном Trojan-Dropper.Win32.Agent.dmy. Размер всех файлов был одинаков - примерно 1101кб. После удаления всех инфицированных 147 файлов полностью перестали появляться указанные выше системное сообщение (п.1) и сообщение Касперского (п.2). Так что обе эти проблемы похоже, что решились. Странно тут то, что все эти 147 файлов, зараженных трояном Trojan-Dropper.Win32.Agent.dmy, были в формате .rar, т.е. вроде бы не должны были представлять собой активные угрозы. Ну хорошо то, что хорошо кончается.

**pig** · 28.01.2008, 02:19

Повторите логи.

**gregar** · 28.01.2008, 23:57

Из логов выкладываю только лог, сделанный HijackThis. AVZ после сканирования пишет, что ничего не найдено и логов не создает, даже не создает папку LOG. Так что чем богаты...