Обнаружен Heur.Backdoor.Generic и лезут подозрительные системные сообщения
При загрузке системы появляется окно с сообщением, что в модуле
svchost.exe обнаружена ошибка и приложение будет закрыто.
Затем последовательно до окончания загрузки системы появляются
еще различные системные сообщения, информирующие о критических
ошибках в системе, о выполнении не корректных операций и о не
стабильности системы. Антивирус Касперского нашел трояна
Heur.Backdoor.Generic в модуле svchost, однако не может его удалить.
Кроме этого, AVP нашел еще 20 всяких зараз, например,
троянов Trojan-Dropper.Win32.Aget.dgo, Trojan-Dropper.Win32.Aget.gwe,
Trojan.MulDrop10006, рекламные программы
not-a-virus:AdWare.Win32.Virtumonde.din,
not-a-virus:Downloader.Win32.WinFix.ba и другие.
Еще одной проблемой является то, что при попытке открыть контекстное меня
любого файла или папки (правая кнопка мыши) сразу же запускается
Windows Installer и после него следом программа конфигурирования
Adobe Acrobat 8.0. Антивирус Касперского удалил большинство из найденного,
но некоторые гадости не может найти, например, Heur.Backdoor.Generic,
Trojan-Dropper.Win32.Aget.dgo, Trojan.Win32.Zapchast.dt.
Помогите пож-та избавиться от этой нечисти и восстановить нормальное
поведение системы?
Последний раз редактировалось Макcим; 13.01.2008 в 23:22.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Спасибо за оперативный ответ. После предложенных Вами мер упомянутые мной выше системные сообщения о нестабильности системы и возможных ошибках полностью перестали появляться. Однако сообщение анитвируска Касперского об обнаружении трояна
Heur.Backdoor.Generic в модуле svchost.exe и не возможности удаления его, к сожалению, осталось.
Да я, вроде бы как, загрузил карантин как и изложено в правилах. Может чего не так сделал? Одно только, что не понял, так это какой карантин грузить нужно было? Тот который был сразу после проверки системы или тот который был после выполнения приведенных Вами скрипта и рекомендаций. После раздумий загрузил карантин, соответствующий второму случаю, т.к. карантин, соответствующий первому случаю "несколько" тяжеловат - примерно 146 Мб. Что касается логов, то загружу их ближайшим вечером после работы. Всего лучшего.
Последний раз редактировалось gregar; 14.01.2008 в 02:49.
Причина: Добавлено
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\rhvqsuwb.exe','');
QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\urclqecd.exe','');
QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\mofugclq.exe','');
QuarantineFile('C:\Documents and Settings\gregar\Local Settings\Temp\qrjatydi.exe','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\tnihfisv.dll','');
QuarantineFile('C:\WINDOWS\system32\bqpkpmcu.dll','');
DeleteFile('C:\WINDOWS\system32\bqpkpmcu.dll');
DeleteFile('C:\WINDOWS\system32\tnihfisv.dll');
DeleteFile('C:\WINDOWS\system32\rqopq.exe');
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ywiokyqw.dll');
DeleteFile('C:\WINDOWS\system32\mwfigpeq.dll');
DeleteFile('C:\WINDOWS\system32\rqopq.dll');
DeleteFile('C:\WINDOWS\system32\efcccbb.dll');
DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\qrjatydi.exe');
DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\mofugclq.exe');
DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\urclqecd.exe');
DeleteFile('C:\Documents and Settings\gregar\Local Settings\Temp\rhvqsuwb.exe');
DelBHO('{CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134}');
DelBHO('{b17f12da-e7a4-4235-badc-bef917a51bfc}');
DelBHO('{B07246D8-2A77-47FB-BC48-16C78804AD06}');
DelBHO('{AE7CD045-E861-484f-8273-0445EE161910}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{9b9206ac-8c8f-4c1a-85bf-ac91986f20a6}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{15a823ba-ea5f-4e9b-a33b-5fd8cd8b2a1f}');
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Папку C:\Documents and Settings\gregar\Local Settings\Temp очистите полностью.
Пофиксите в HijackThis:
Выкладываю запрошенные логи. Карантин выслал еще утром.
1. К сожалению, до сих пор каждый раз при загрузке системы продолжает выскакивать системное сообщение о произошедшей ошибке в svchost.exe и его последующем закрытии с возможной потерей данных. Кроме того, иногда (не каждый раз, я бы сказал даже относительно редко) появляется сообщение антивируса Касперского о заражении модуля SVCHOST.EXE\svchost.exe вирусом Heur.Backdoor.Generic и о невозможности его удаления или лечения. О том, где находится сам вирус Каспер умалчивает.
2. Кроме того, осталась проблема с открытием контекстного меня файлов или папок (правая кнопка мыши), которая заключается в запуске Windows Installer с последующим конфигурированием Adobe Acrobat 8.0.
3. Кроме того, то появляется, а то исчезает еще одна проблема. Заключается она в том, что при попытке запустить браузер Mozilla Firefox выскакивает сообщение
"Приложение или библиотека C:\Program Files\Mozilla Firefox\softokn3.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". В шапке этого сообщения указано "firefox.exe - Неверный образ". Сам браузер при этом естественно не запускается.
В общем целом с момента поднятия темы было обнаружено около 60 вирусов, троянов и прочей нечести с помощью Касперского, AVZ и CureIT . Поголовное большинство из этого удалено указанными программами и советами Helper'ов, однако борьба с Heur.Backdoor.Generic продолжается. Счет пока 1:0 в пользу Heur.Backdoor.Generic.
Последний раз редактировалось gregar; 01.02.2008 в 10:24.
Не знаю важно это или нет, но тем не менее. В логе AVZ при выполнении вышеуказанного скрипта было указано следующее:
"Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\<NtDriverName>.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\<NtDriverName>.sys)
Карантин с использованием прямого чтения - ошибка"
Да, существенных изменений в поведении системы пока нет.
Последний раз редактировалось gregar; 16.01.2008 в 08:34.
Через AVZ нашел два файла wupdmgr.exe. Но по стандартной процедуре добаления их в карантин через AVZ ни один из них в карантин не добавляется. Хотя файлы можно добавить в папку Quarantine методом прямого копирования или перемещения из Проводника. Более того, выяснилось, что у этих файлов дата создания 1980 год (кстати при более пристальном изучении содержимого папки system32 оказалось, что в ней файлов с датой создания 1980 год оказалась относительно не мало), т.е. тогда, когда еще и компьютеров то не было. Это наводит на грустные мысли. Что делать? Как отправить оба файла wupdmgr.exe в форум?
А как с годом их рождения быть? Он явно не соответствует никакой действительности, впрочем как и у многих других файлов 1980-го года создания. Да, вот теперь сижу и чешу репу и не знаю, что дальше делать. Может у кого есть свежие идеи и мысли вслух?
Последний раз редактировалось gregar; 16.01.2008 в 23:55.
Посмотрел вчера и сегодня в Интернете про вирус Heur.Backdoor.Generic, который инфицировал у меня модуль SCHOST.EXE\svchost.exe и стало как-то грустно. Судя по сообщениям тех, у кого был обнаружен аналогичный результат воздействия этого вируса, практически никому от него избавиться не удалось. Не понятно с чем связаны эти отрицательные результаты и что это за вирус такой хитрый
heur.xxxx.generic - это вообще не обязательно вирус, это обобщенный вердикт проактивной защиты на возможную угрозу процесса...
с какого момента начали появляться такие сообщения? на какой конкретно файл ругается антивирус? пришлите этот файл сюда - http://virusinfo.info/upload_virus.php?tid=16362
Если по времени, то примерно неделю назад полезли сообщения о заражении модуля SCHOST.EXE\svchost.exe вирусом Heur.Backdoor.Generic. Если же по хронологии событий, то точно сказать не могу после чего именно, как-то не запомнил, но вроде ничего не устанавливал. Что касается прислать файл для проверки, так в этом то и сложность, что нет никакого конкретного файла, на который ругается Касперский. При загрузке системы происходит следующее:
1. Сначала появляется системное сообщение (т.е. сообщение операционной системы, а не Касперского), в котором дословно написано следующее "svchost.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извенения за неудобства. Если работа не была закончена, рабочие данные могут быть утеряны. Для получения дополнительных данных об этой ошибке щелкните здесь (дается ссылка).
2. После этого по времени пояляется сообщение Касперского в котором дословно написано следующее "Модуль содержит вирус. Лечение невозможно. Вирус Heur.Backdoor.Generic. Модуль SVCHOST.EXE\svchost.exe. Пропустить. Модуль не будет изменен"
Таким образом, Касперский не указывает на конкретный файл и где он находится, а указывает на МОДУЛЬ. Подскажите, что конкретно высылать на анализ в этом случае и где искать этот модуль.
Уважаемый(ая) gregar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: