Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 74.

Обнаружен Heur.Backdoor.Generic и лезут подозрительные системные сообщения (заявка № 16362)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37

    Thumbs up Обнаружен Heur.Backdoor.Generic и лезут подозрительные системные сообщения

    При загрузке системы появляется окно с сообщением, что в модуле
    svchost.exe обнаружена ошибка и приложение будет закрыто.
    Затем последовательно до окончания загрузки системы появляются
    еще различные системные сообщения, информирующие о критических
    ошибках в системе, о выполнении не корректных операций и о не
    стабильности системы. Антивирус Касперского нашел трояна
    Heur.Backdoor.Generic в модуле svchost, однако не может его удалить.
    Кроме этого, AVP нашел еще 20 всяких зараз, например,
    троянов Trojan-Dropper.Win32.Aget.dgo, Trojan-Dropper.Win32.Aget.gwe,
    Trojan.MulDrop10006, рекламные программы
    not-a-virus:AdWare.Win32.Virtumonde.din,
    not-a-virus:Downloader.Win32.WinFix.ba и другие.
    Еще одной проблемой является то, что при попытке открыть контекстное меня
    любого файла или папки (правая кнопка мыши) сразу же запускается
    Windows Installer и после него следом программа конфигурирования
    Adobe Acrobat 8.0. Антивирус Касперского удалил большинство из найденного,
    но некоторые гадости не может найти, например, Heur.Backdoor.Generic,
    Trojan-Dropper.Win32.Aget.dgo, Trojan.Win32.Zapchast.dt.
    Помогите пож-та избавиться от этой нечисти и восстановить нормальное
    поведение системы?
    Вложения Вложения
    Последний раз редактировалось Макcим; 13.01.2008 в 23:22.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('Pcouffin');
     StopService('HN_Trial');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{469C7080-8EC8-43A6-AD97-45848113743C}');
     QuarantineFile('C:\WINDOWS\SYSTEM\Mra.EXE','');
     QuarantineFile('C:\WINDOWS\system32\rqopq.dll','');
     QuarantineFile('C:\WINDOWS\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\rqopq.exe','');
     QuarantineFile('C:\WINDOWS\system32\efcccbb.dll','');
     QuarantineFile('C:\DOCUME~1\gregar\LOCALS~1\Temp\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Pcouffin.sys','');
     QuarantineFile('C:\DOCUME~1\gregar\LOCALS~1\Temp\~Wrd01376.tmp','');
     QuarantineFile('C:\WINDOWS\system32\ywiokyqw.dll','');
     QuarantineFile('C:\WINDOWS\system32\win2pdfm.dll','');
     QuarantineFile('C:\WINDOWS\system32\mwfigpeq.dll','');
     QuarantineFile('C:\WINDOWS\system32\mtqfsawe.dll','');
     DeleteFile('C:\WINDOWS\system32\mtqfsawe.dll');
     DeleteFile('C:\WINDOWS\system32\mwfigpeq.dll');
     DeleteFile('C:\WINDOWS\system32\win2pdfm.dll');
     DeleteFile('C:\WINDOWS\system32\ywiokyqw.dll');
     DeleteFile('C:\DOCUME~1\gregar\LOCALS~1\Temp\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\efcccbb.dll');
     DeleteFile('C:\WINDOWS\system32\rqopq.exe');
     DeleteFile('efcccbb.dll');
     DeleteFile('mwfigpeq.dll');
     DeleteFile('C:\WINDOWS\system32\rqopq.dll');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Спасибо за оперативный ответ. После предложенных Вами мер упомянутые мной выше системные сообщения о нестабильности системы и возможных ошибках полностью перестали появляться. Однако сообщение анитвируска Касперского об обнаружении трояна
    Heur.Backdoor.Generic в модуле svchost.exe и не возможности удаления его, к сожалению, осталось.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Где повторные логи и карантин?

  6. #5
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Добавлено через 4 минуты

    Да я, вроде бы как, загрузил карантин как и изложено в правилах. Может чего не так сделал? Одно только, что не понял, так это какой карантин грузить нужно было? Тот который был сразу после проверки системы или тот который был после выполнения приведенных Вами скрипта и рекомендаций. После раздумий загрузил карантин, соответствующий второму случаю, т.к. карантин, соответствующий первому случаю "несколько" тяжеловат - примерно 146 Мб. Что касается логов, то загружу их ближайшим вечером после работы. Всего лучшего.
    Последний раз редактировалось gregar; 14.01.2008 в 02:49. Причина: Добавлено

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    efcccbb.dll - not-a-virus:AdWare.Win32.Virtumonde.dnm,
    mtqfsawe.dll - not-a-virus:AdWare.Win32.Virtumonde.dnl,
    mwfigpeq.dll - not-a-virus:AdWare.Win32.Virtumonde.dnn,
    rqopq.dll - not-a-virus:AdWare.Win32.Virtumonde.dno,
    ywiokyqw.dll - not-a-virus:AdWare.Win32.Virtumonde.dnp

    win2pdfm.dll - чист

    Ждем логов для контроля

  8. #7
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Цитата Сообщение от Maxim Посмотреть сообщение
    Где повторные логи и карантин?
    Цитата Сообщение от rubin Посмотреть сообщение
    efcccbb.dll - not-a-virus:AdWare.Win32.Virtumonde.dnm,
    mtqfsawe.dll - not-a-virus:AdWare.Win32.Virtumonde.dnl,
    mwfigpeq.dll - not-a-virus:AdWare.Win32.Virtumonde.dnn,
    rqopq.dll - not-a-virus:AdWare.Win32.Virtumonde.dno,
    ywiokyqw.dll - not-a-virus:AdWare.Win32.Virtumonde.dnp

    win2pdfm.dll - чист

    Ждем логов для контроля
    Выкладываю запрошенные логи. Карантин выслал раньше.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\rhvqsuwb.exe','');
     QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\urclqecd.exe','');
     QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\mofugclq.exe','');
     QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\qrjatydi.exe','');
     QuarantineFile('C:\WINDOWS\system\svchost.exe','');
     QuarantineFile('C:\WINDOWS\system32\tnihfisv.dll','');
     QuarantineFile('C:\WINDOWS\system32\bqpkpmcu.dll','');
     DeleteFile('C:\WINDOWS\system32\bqpkpmcu.dll');
     DeleteFile('C:\WINDOWS\system32\tnihfisv.dll');
     DeleteFile('C:\WINDOWS\system32\rqopq.exe');
     DeleteFile('C:\WINDOWS\system\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\ywiokyqw.dll');
     DeleteFile('C:\WINDOWS\system32\mwfigpeq.dll');
     DeleteFile('C:\WINDOWS\system32\rqopq.dll');
     DeleteFile('C:\WINDOWS\system32\efcccbb.dll');
     DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\qrjatydi.exe');
     DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\mofugclq.exe');
     DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\urclqecd.exe');
     DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\rhvqsuwb.exe');
     DelBHO('{CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134}');
     DelBHO('{b17f12da-e7a4-4235-badc-bef917a51bfc}');
     DelBHO('{B07246D8-2A77-47FB-BC48-16C78804AD06}');
     DelBHO('{AE7CD045-E861-484f-8273-0445EE161910}');
     DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
     DelBHO('{9b9206ac-8c8f-4c1a-85bf-ac91986f20a6}');
     DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
     DelBHO('{15a823ba-ea5f-4e9b-a33b-5fd8cd8b2a1f}');
     DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Папку C:\Documents and Settings\gregar\Local Settings\Temp очистите полностью.
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: efcccbb - C:\WINDOWS\
    O20 - Winlogon Notify: mwfigpeq - C:\WINDOWS\
    Сделайте еще раз новые логи.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Все сделал как посоветовали. Карантин отправил, а логи выложу вечером после работы.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    В карантин попали только tnihfisv.dll и bqpkpmcu.dll -
    как и ожидалось, это очередная модификация трояна Vundo aka Virtumonde.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Выкладываю запрошенные логи. Карантин выслал еще утром.


    1. К сожалению, до сих пор каждый раз при загрузке системы продолжает выскакивать системное сообщение о произошедшей ошибке в svchost.exe и его последующем закрытии с возможной потерей данных. Кроме того, иногда (не каждый раз, я бы сказал даже относительно редко) появляется сообщение антивируса Касперского о заражении модуля SVCHOST.EXE\svchost.exe вирусом Heur.Backdoor.Generic и о невозможности его удаления или лечения. О том, где находится сам вирус Каспер умалчивает.

    2. Кроме того, осталась проблема с открытием контекстного меня файлов или папок (правая кнопка мыши), которая заключается в запуске Windows Installer с последующим конфигурированием Adobe Acrobat 8.0.

    3. Кроме того, то появляется, а то исчезает еще одна проблема. Заключается она в том, что при попытке запустить браузер Mozilla Firefox выскакивает сообщение
    "Приложение или библиотека C:\Program Files\Mozilla Firefox\softokn3.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". В шапке этого сообщения указано "firefox.exe - Неверный образ". Сам браузер при этом естественно не запускается.


    В общем целом с момента поднятия темы было обнаружено около 60 вирусов, троянов и прочей нечести с помощью Касперского, AVZ и CureIT . Поголовное большинство из этого удалено указанными программами и советами Helper'ов, однако борьба с Heur.Backdoor.Generic продолжается. Счет пока 1:0 в пользу Heur.Backdoor.Generic.
    Вложения Вложения
    Последний раз редактировалось gregar; 01.02.2008 в 10:24.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт ...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\wupdmgr.exe','');  
     QuarantineFile('C:\WINDOWS\System32\Drivers\<NtDriverName>.sys','');
     DeleteFile('C:\WINDOWS\system32\rqopq.exe');
     BC_QrSvc('Iomega Activity Disk2');
     BC_QrSvc('HN_Trial');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    end.
    пришлите карантин согласно приложения 3 правил ...

  14. #13
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Каратнин отправил.

    Не знаю важно это или нет, но тем не менее. В логе AVZ при выполнении вышеуказанного скрипта было указано следующее:

    "Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\<NtDriverName>.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\<NtDriverName>.sys)
    Карантин с использованием прямого чтения - ошибка"

    Да, существенных изменений в поведении системы пока нет.
    Последний раз редактировалось gregar; 16.01.2008 в 08:34.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    wupdmgr.exe - найдите при помощи авз - сервис - поиск файлов на диске и пришлите по правилам ....

  16. #15
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Через AVZ нашел два файла wupdmgr.exe. Но по стандартной процедуре добаления их в карантин через AVZ ни один из них в карантин не добавляется. Хотя файлы можно добавить в папку Quarantine методом прямого копирования или перемещения из Проводника. Более того, выяснилось, что у этих файлов дата создания 1980 год (кстати при более пристальном изучении содержимого папки system32 оказалось, что в ней файлов с датой создания 1980 год оказалась относительно не мало), т.е. тогда, когда еще и компьютеров то не было. Это наводит на грустные мысли. Что делать? Как отправить оба файла wupdmgr.exe в форум?

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    если не копируются авз значит в базе безопасных ....

  18. #17
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    А как с годом их рождения быть? Он явно не соответствует никакой действительности, впрочем как и у многих других файлов 1980-го года создания. Да, вот теперь сижу и чешу репу и не знаю, что дальше делать. Может у кого есть свежие идеи и мысли вслух?
    Последний раз редактировалось gregar; 16.01.2008 в 23:55.

  19. #18
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Посмотрел вчера и сегодня в Интернете про вирус Heur.Backdoor.Generic, который инфицировал у меня модуль SCHOST.EXE\svchost.exe и стало как-то грустно. Судя по сообщениям тех, у кого был обнаружен аналогичный результат воздействия этого вируса, практически никому от него избавиться не удалось. Не понятно с чем связаны эти отрицательные результаты и что это за вирус такой хитрый

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    heur.xxxx.generic - это вообще не обязательно вирус, это обобщенный вердикт проактивной защиты на возможную угрозу процесса...
    с какого момента начали появляться такие сообщения? на какой конкретно файл ругается антивирус? пришлите этот файл сюда - http://virusinfo.info/upload_virus.php?tid=16362

  21. #20
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    39
    Вес репутации
    37
    Если по времени, то примерно неделю назад полезли сообщения о заражении модуля SCHOST.EXE\svchost.exe вирусом Heur.Backdoor.Generic. Если же по хронологии событий, то точно сказать не могу после чего именно, как-то не запомнил, но вроде ничего не устанавливал. Что касается прислать файл для проверки, так в этом то и сложность, что нет никакого конкретного файла, на который ругается Касперский. При загрузке системы происходит следующее:

    1. Сначала появляется системное сообщение (т.е. сообщение операционной системы, а не Касперского), в котором дословно написано следующее "svchost.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извенения за неудобства. Если работа не была закончена, рабочие данные могут быть утеряны. Для получения дополнительных данных об этой ошибке щелкните здесь (дается ссылка).

    2. После этого по времени пояляется сообщение Касперского в котором дословно написано следующее "Модуль содержит вирус. Лечение невозможно. Вирус Heur.Backdoor.Generic. Модуль SVCHOST.EXE\svchost.exe. Пропустить. Модуль не будет изменен"

    Таким образом, Касперский не указывает на конкретный файл и где он находится, а указывает на МОДУЛЬ. Подскажите, что конкретно высылать на анализ в этом случае и где искать этот модуль.

  • Уважаемый(ая) gregar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 4 1234 Последняя

    Похожие темы

    1. Heur.Backdoor.Generic 32 или 64
      От Testerekb в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 18.07.2012, 11:02
    2. HEUR.backdoor.win32 generic virus
      От faraz в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 06.08.2010, 14:28
    3. Ответов: 9
      Последнее сообщение: 09.03.2009, 00:30
    4. Heur.Backdoor.Generic
      От paulie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 08:40
    5. Обнаружен вирус Heur.Backdoor.Generic
      От Dow в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 03:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00523 seconds with 17 queries