Prezados amigos do Kaspersky:

Trabalho numa escola e temos o KAV 2010, versão em português, em todos os computadores conectados em rede. O sistema operacional é Windows XP Professional 2002, Service Pack 3.

Recentemente um pen-drive limpo foi plugado a um notebook que estava infectado e não sabíamos. O notebook contém uma versão oficial e atualizada do KAV 2010, e mesmo assim estava repleto de vírus, sem que o KAV desse qualquer alerta. Esse notebook passou a abrir janelas informando que "não foi possível encontrar o arquivo jauevac.exe"; essas janelas não desapareciam quando clicávamos em fechar ou em ok. Fizemos uma varredura com o KAV no HD, sendo detectado o vírus Trojan.Win32.Generic. O KAV não consegue eliminá-lo.

A maioria dos arquivos do pen-drive foi convertida em "Atalho" e ficaram inutilizados. Na esperança de salvar alguns arquivos e o próprio pen-drive, este foi retirado do notebook e plugado num dos PCs da rede, não para acessar os arquivos do pen-drive (pois temíamos que o vírus infectasse o PC), mas apenas para tentar limpar o pen-drive, usando o KAV do PC.

Mas, ao plugar o pen-drive, a tradicional janela do KAV que se abre perguntando se queremos fazer a verificação não se abriu... Ocorreu, estranhamente, de pela primeira vez o PC abrir direto todas as pastas do pen-drive, de modo que deduzimos que o vírus invadiu forçadamente o PC, independente de acessarmos ou abrirmos algum arquivo.

A partir de então, quase todos os computadores da rede têm apresentado esse vírus. Resolvemos desconectar um computador infectado da rede e tentar o seguinte procedimento:

1. Iniciar - Executar - services.msc
2. Serviço de restauração de sistema - Manual: Parar
3. Reinicia o computador
4. KAV: Configurações - Relatórios e armazenamentos - marcar todos os registros - Limpar - marca todos os relatórios - OK
5. Proceder verificação geral com o KAV

Feito isso, não apareceu mais nada, como se o KAV tivesse eliminado o vírus. No dia seguinte, porém, o Trojan.Win32.Generic estava de volta, sendo detectado pelo KAV, mas sem alertas de vírus, sendo visualizado somente no Relatório Detalhado, item "Proteção". E não é só isso: o "Generic" voltou junto com vários outros Trojan, como:

- Trojan.Win32.Fraudpack
- Trojan.Win32.VBKrypt.pls
- Trojan.Win32.VBKrypt.por
- Trojan.Win32.VBKrypt.plr
- Trojan-Dropper.Win32.TDSS.oor
- Trojan-Dropper.Win32.TDSS.pcl
- Worm.Win32.AutoIt.xl

Repetimos o procedimento descrito, na mesma máquina; de novo, pareceu limpar, mas na varredura seguinte se manteve um dos Trojan. No dia seguinte, ali estavam todos eles novamente. Desde então, não funciona mais a tentativa de acessar o Serviço de restauração do sistema e colocar em "Manual" e "Parar"; o "Parar" fica desabilitado, ficando como única opção viável o "Iniciar"; ao clicarmos sobre "Iniciar", abre-se uma janela dizendo: "O sistema de restauração foi iniciado e interrompido". Não funciona mais.

Hoje, uma nova verificação feita com o KAV no referido PC informa "Nenhuma ameaça detectada"; mas quando vemos o Relatório Detalhado, lá está uma quantidade muito maior de arquivos infectados com todos os vírus já descritos.

A seguir, uma cópia do Relatório Detalhado do KAV, de ontem e de hoje:

Data: Ontem (eventos: 36)
Proteção (eventos: 22)
25/10/2010 09:13:03 Foram detectadas ameaças Kaspersky Anti-Virus
25/10/2010 09:13:16 Detectados: Trojan-Dropper.Win32.TDSS.oor Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\dspro.exe
25/10/2010 09:13:27 Detectados: Trojan.Win32.VBKrypt.pls Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
25/10/2010 09:13:27 Detectados: Trojan.Win32.VBKrypt.por Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
25/10/2010 09:13:27 Detectados: Trojan.Win32.FraudPack.cgjb Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
25/10/2010 09:13:27 Detectados: Trojan-Dropper.Win32.TDSS.pcl Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
25/10/2010 09:13:31 Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE
25/10/2010 14:23:46 A proteção não está em execução Kaspersky Anti-Virus
Autodefesa (eventos: 2)
25/10/2010 10:25:03 Recusado Windows Explorer C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
25/10/2010 12:45:03 Recusado Windows Explorer C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe

Data: Hoje (eventos: 75)
Proteção (eventos: 43)
26/10/2010 07:32:38 Detectados: Trojan-Dropper.Win32.TDSS.oor Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\dspro.exe
26/10/2010 07:32:43 Detectados: Trojan.Win32.VBKrypt.pls Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
26/10/2010 07:32:44 Detectados: Trojan.Win32.VBKrypt.por Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
26/10/2010 07:32:44 Detectados: Trojan.Win32.FraudPack.cgjb Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
26/10/2010 07:32:44 Detectados: Trojan-Dropper.Win32.TDSS.pcl Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE/#
26/10/2010 07:32:47 Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus C:\Documents and Settings\Ricardomarques\HVIM.EXE
Autodefesa (eventos: 8)
26/10/2010 07:15:45 Recusado Windows Explorer C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
26/10/2010 07:15:47 Recusado Skype C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
26/10/2010 09:11:04 Recusado CTF Loader C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe

Adotamos o Kaspersky porque nos informaram que é o melhor antivírus do mercado. Entretanto, estamos descobrindo, sob altíssimo risco, que talvez isso não seja verdade, pois quando pensamos no melhor antivírus, pensamos em algo que de fato proteja nossos computadores de qualquer ameaça. No entanto, aqui estamos nós, que tanto cuidado temos com a segurança, e com KAV instalado em várias máquinas, todos com licença oficial, comprada e paga, tendo nossos computadores invadidos por trojans e worms que deveriam ter sido detectados e eliminados pelo KAV...

Fazemos diariamente operações diversas em rede e pela Internet, inclusive operações bancárias. Estamos muito preocupados com essa infecção inicialmente com o Trojan.Win32.Generic que o KAV é incapaz de eliminar, e que agora se perpetua pela rede acompanhada de vários outros Trojan e Worms. Isso sem falar no risco de perdermos arquivos valiosos, e tememos até que nossos backups tenham sido comprometidos também. Por que o KAV não consegue lidar com todos esses vírus? Fica a pergunta.

Já enviamos pedido de ajuda ao Suporte do KAV, mas só recebemos mensagens automáticas como resposta. Diante disso, pedimos a ajuda de vocês, nesse fórum, para que consigamos resolver esse problema de uma vez por todas. COmo eliminar esses vírus, seja de máquinas isoladas, seja de máquinas em rede? E como fazer para que não retornem mais?

Aguardamos ansiosamente por respostas urgentes e precisas.

Por favor, quem responder, procure usar linguagem para leigo, pois não somos profissionais de informática e achamos as linguagens nos fóruns dessa área por demais complicada.

Atenciosamente grato,

Prof. Ricardo.

Com relação ao Trojan.Win32.Generic, leia este tópico.
Atualize o banco de dados do Kaspersky e faça uma verificação completa em modo de segurança.

Obrigado pela resposta, mas de nada me adianta.

Primeiro porque o vírus se instala em arquivos que não conseguimos encontrar. Já vi fóruns referindo-se a ele como instalando-se no serviço de restauração e outros locais que não dá para compactar e enviar.

Segundo, porque não acredito muito nesses suportes. Postei meu "pedido de socorro" no próprio Kaspersky, compartilhando detalhes e falando do risco e da urgência, e tudo que recebi foi uma resposta automática. Espero até hoje que me ajudem, mas pelo visto não esse serviço não existe de fato...

Já encontrei indicações em outros fóruns sobre como lidar com esse vírus, mas como sou apenas um usuário e entendo pouco de informática, as indicações tornam-se uma via crucis, com centenas de ações técnicas que só um programador consegue entender. Manda-se baixar vãrios programas, entrar aqui e ali, digitar isso e aquilo, coletar tantos relatórios, postar os relatórios, depois baixa-se outros programas, desabilita não sei o quê, rod aquilo outro, mais relatórios, mais deleções, mais digitações... E, no final, nem sempre dá certo.

A verdade é que o Kaspersky deveria se antecipar a tudo isso, pesquisar os novos vírus de imediato - especialmente este, que consta nos sites especializados como o de maior incidência nos últimos meses, portanto já deveria ser muito bem conhecido por todos os AV -, encontrar as soluções e dispô-las nas atualizações do KAV e também de forma avulsa.

Alguém poderia me explicar por que um antivírus que se diz tão bom não tem esse tipo de procedimento, deixando seus usuários pagantes à mercê das pragas, completamente negligenciados?

Uma parcela de culpa deve ser atribuída também ao usuário do computador, que deve ter o seu computador com o Windows atualizado, não abrir qualquer arquivo enviado, que site está navegando, etc. Não existe um Anti-Vírus que detecta 100%.
Qual a configuração do Kaspersky para fazer a verificação do pen drive ?
Abra a tela principal do Kaspersky, clique em Configurações>Verificação.
Segundo o seu relatório, o Trojan.Win32.Generic está localizado em C:\Documents and Settings\Ricardomarques\HVIM.EXE
Siga o procedimento que eu postei acima e envie este arquivo para a análise da Kaspersky.
Abra a tela de relatório dos arquivos infectados e coloque aqui para podermos analisar.

Na verdade, o Windows do meu omputador está sempre atualizado, arquivos enviados raramente são abertos e, quando o são, primeiro são verificados com o KAV, e só navego em sites aparentemente seguros, mesmo assim convicto eu era de que se houvesse alguma tentativa de infecção, o KAV pegaria.

Como eu disse, a infecção deu-se através de pen-drive, que foi plugado ao computador e foi verificado com o KAV, com as configurações de verificação de pen-drive absolutamente corretas (sou muito cuidadoso nesse ponto). Mesmo assim, o vírus entrou.

Repito: o procedimento por você sugerido nao funciona para o Trojan.Win32.Generic. Ele fica em arquivos não identificáveis e, portanto, é-me impossível localizá-lo e compactá-lo para enviar-lhes. Em alguns relatórios ele é localizado pelo KAV em C:\Documents and Settings\Ricardomarques\HVIM.EXE. Na verdade só existe C:\Documents and Settings\Ricardo, e não Ricardomarques. Mesmo assim, fiz várias buscas em todo o drive C:\ e nada apareceu sobre Ricardomarques nem sobre o executável HVIM.EXE.

Outras vezes - como hoje - o KAV informa que o Trojan.Win32.Generic está num drive I:\, em arquivos de nomes "jaueva.exe" e "jauevacx.exe". Nem esse drive I:\ existe de verdade, nem a busca no computdor encontra qualquer referência a ele ou aos executáveis mencionados.

Portanto, estou com uma máquina em perigo, com um vírus altamente destrutivo, sem um procedimento que consiga removê-lo, e "protegido" pelo "mais poderoso antivírus do mercado". E agora?

Ricardo.

Abra o Kaspersky.
Clique em Relatórios>Ameaças detectadas.
Coloque o print da tela com as detecções.

Ameaças Detectadas só mostram detecções do dia 19/10, quando o KAV disse ter posto em quarentena. Consta assim:

19/10/2010 06:45:50 Em Quarentena vírus HEUR: Trojan.Win32.Generic Arquivo I:\ jauevacx.exe
19/10/2010 06:44:42 Em Quarentena vírus HEUR: Trojan.Win32.Generic Arquivo I:\ jauevac.exe

Outras detecções ocorridas depois dessa data não aparecem em Ameaças Detectadas, mas apenas em Relatório Detalhado, conforme a seguir:

Data: Hoje (eventos: 13916)
Proteção (eventos: 11)
1/11/2010 12:19:46 A proteção está desativada Kaspersky Anti-Virus
1/11/2010 11:15:11 A proteção não está em execução Kaspersky Anti-Virus
1/11/2010 12:19:46 Alguns componentes estão desativados Kaspersky Anti-Virus
1/11/2010 08:08:08 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevac.exe
1/11/2010 08:08:19 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevacx.exe
1/11/2010 10:27:49 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevac.exe
1/11/2010 10:28:00 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevacx.exe
1/11/2010 13:12:06 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevac.exe
1/11/2010 13:12:17 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevacx.exe
1/11/2010 15:18:10 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevac.exe
1/11/2010 15:18:23 Detectados Vírus HEUR:Trojan.Win32.Generic Alto Provável Kaspersky Anti-Virus Arquivo I:\jauevacx.exe

Não compreendo por que o KAV não põe mais o vírus em quarentena, mesmo considerando que ele não ficava realmente em quarentena, mas sempre presente nas varreduras posteriores, aparecendo no Relatório Detalhado. Também não sei por que, em Ameaças Detetadas, a opção "Neutralizar tudo" aparece desabilitada.

Agradeço sua atenção em me ajudar, estou realmente preocupado e me desculpo por quaisquer colocações que possam ter soado deseducadas.

De acordo com o seu relatório, todos estes arquivos estão no drive I.
Este drive não é o seu pen drive ?
Atualize o banco de dados do Kaspersky.
Clique com o botão direito em cima de qualquer ameaça e escolha a opção Limpar lista.
Reinicie o seu computador em modo de segurança, não conecte nenhum pen drive, faça uma verificação completa e coloque a tela novamente.

Não, o drive I não é meu pendrive. Na verdade, desde a infecção não conecto mais pendrives no meu PC. Mesmo assim, o KAV fica detectando o vírus nesse drive I. Já fiz busca por esse drive no sistema e é dito que ele não existe, mas como é que o KAV detecta vírus em um drive que não existe?

Estava olhando os relatórios do KAV e observei que a o vírus havia sido posto na quarentena por três vezes no dia 19/10, e o resgistro continuou ali. Me perguntei por que, desde então, o KAV continua detectando o vírus, mas não o pôs mais em quarentena. No canto inferior esquerdo do setor de quarentena do KAV há uma opção de "desinfetar tudo" que sempre aparece desabilitada - vocês sabem por quê fica desabilitada? Mesmo assim, resolvi deletar manualmente os três registros do vírus na quarentena.

Depois disso, o KAV não mais detectou o Trojan.Win32.Generic. Será possível que todo esse problema de o KAV ficar detectando o mesmo vírus todos os dias, repetidamente, nesse drive I e num arquivo HVIM.EXE (que também não existe em lugar nenhum) era, na verdade, uma falha de arquitetura do KAV, que supostamente estaria detectando o registro da quarentena?

Siga este procedimento.
Clique com o botão direito em cima de qualquer ameaça e escolha a opção Limpar lista.
Atualize a base de dados, reinicie o seu computador em modo de segurança, não conecte nenhum pen drive, faça uma verificação completa e coloque a tela novamente.