winhelp32

Пофиксил, логи выслал.

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
- Не выключено системное восстановление.
[/COLOR]

Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Повторите 2 последних лога.
Спасибо за понимание.[/B]

Требования выполнил, логи вислал.:)

Если Вы не уверены, что все эти страницы должны быть в доверенной зоне -[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O15 - Trusted Zone: http://www.beonline.ru
O15 - Trusted Zone: http://www.megafoncenter.ru
O15 - Trusted Zone: http://www.megafondv.ru
O15 - Trusted Zone: http://www.megafonkavkaz.ru
O15 - Trusted Zone: http://sms.megafonmoscow.ru
O15 - Trusted Zone: http://www.megafonnw.ru
O15 - Trusted Zone: http://*.megafonsib.ru
O15 - Trusted Zone: http://www.megafonural.ru
O15 - Trusted Zone: http://www.megafonvolga.ru
O15 - Trusted Zone: http://sms.mts.ru
O15 - Trusted Zone: http://*.tele2.ru
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Uoso58.sys','');
DeleteService('Uoso58');
DeleteFile('C:\WINDOWS\system32\Drivers\Uoso58.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Uoso58');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.

Пофиксил, срипт выполнил, логи выслал.:)

[QUOTE=Игорь;279985]Пофиксил, срипт выполнил, логи выслал.:)[/QUOTE]Повторите поиск/удаление IceSword и скрипты из сообщения 6: [url]http://virusinfo.info/showpost.php?p=278663&postcount=6[/url]

В АйсСворде файлы не обнаружены, скрипты выполнил, логи выслал.:)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
[/CODE]

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
[/CODE]


После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.

Всё выполнил, логи выслал.:)

В логах чисто.
СП3 поставьте, возможно потребуется активация системы.
Напишите Грише в личку в форуме ЛК - пусть там тему уберет.

Большое СПАСИБО!!!:)

Пожалуста, помогите разобраться с другой проблемой (оченннннь нехорошая):
Параллельно появилась ещё проблема: бесконтрольно уменьшается свободное место на диске "С", за несколько часов с 2 Гб до 28Мб!!! Хотя я ничего туда не записывал!!! При этом в трее появлается сообщение "На диске "С" не достаточно места. Щелкните это сообщение, что бы очистить диск "С" от старых и не нужных файлов." . А в папке Мой компьютер, в разделе Другие, появился значёк "Веб-папки" (системная папка).
Вся опасность в том, что когда свободное место упало почти до "0", мне пришлось самому удалить файл на 100Мб, чтобы запустить ХайДжека, иначе он выдавал "Рантайм Эррор".
Что же будет дальше??? Мне прийдется самому постоянно что-то удалять, что бы было свободное место на диске "С"!!!
Это похоже на медленно затягивающуюся петлю!!!>:(

Удалите Ашампо: Он там чего-то конструирует.
Насчет Веб-Папок - скачайте, распакуйте, переименуйте в 123.reg и запустите файлик [url]http://virusinfo.info/attachment.php?attachmentid=71465&d=1219680687[/url]

За папки спасибо! А по поводу Ashampoo MagDef2 (это теневой дефрагментатор), она у меня уже давно стоит и такого не было, эта проблема появилась только вчера.:( Вот сейчас, я убил этот процесс Ashampoo MagDef2,а свободное место продолжает уменьшаться!!!
Что делать???:O

[QUOTE=Игорь;280046]( Вот сейчас, я убил этот процесс Ashampoo MagDef2[/QUOTE]ИМО он как служба запускается, нужно попробовать остановить службу.
Сделайте потом лог процессов и лог служб (АВЗ, Сервис/Диспетчер служб и процессов...)

Ашампу остановил, логи сделал. По моему есть какой-то подозрительный процесс:>:(

Имя файла: System, PID:4, Описание:нет, Copyright:нет, MD5:??, Информация: ошибка получения информации о файле, Командная строка:нет

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
clearquarantine;
end.[/CODE]
Попробуйте поискать по списку и прислать файлы (см. приложение 2 и 3 правил)
[CODE]%system%\tmpx\wnaspi32.dll
%system%\$sys$upgtool.exe
%system%\drivers\$sys$cor.sys
%system%\tmpx\apix.vxd
%system%\tmpx\aspienum.vxd
%system%\$sys$filesystem\unicows.dll
%system%\tmpx\wnaspi.dll
autorun.exe
codesupport.inf
codesupport.ocx
go.exe
softwareupdate.cab
%system%\$sys$caj.dll
%system%\$sys$filesystem\$sys$drmserver.exe
%system%\$sys$filesystem\$sys$parking
%system%\$sys$filesystem\aries.sys
%system%\$sys$filesystem\crater.sys
%system%\$sys$filesystem\dbghelp.dll
%system%\$sys$filesystem\lim.sys
%system%\$sys$filesystem\oct.sys
%windows%\cdproxyserv.exe
%system%\$sys$filesystem\unicows.dll
%system%\$sys$filesystem\dbghelp.dll
%system%\$sys$caj.dll
%system%\tmpx\wnaspi32.dll
%system%\tmpx\wnaspi.dll
%system%\$sys$upgtool.exe
%windows%\cdproxyserv.exe
%system%\$sys$filesystem\$sys$drmserver.exe[/CODE]

Скрипт выполнил, такие файлы не найдены. Место на диске тает как снег...

Сработала Проактивная защита KIS6.0: Подозрительное действие: "Keylogger" Модуль:\Driver\IsDrv122 Действие:"Обнаружен клавиатурный перехватчик. Процесс пытается перехватить данные, вводимые с клавиатуры." Кнопка "Завершить"-заблокирована, активная только кнопка "Разрешить"

это драйвер icesword

По диску "С" разобрался...:)
А вот адресок, с которого видимо меня посетил winhelp32 (KIS6.0 как-то перехватил до лечения):

Информация о процессе:
Имя процесса: WINHELP32.EXE
ID процесса: 2500 (432)
Файл приложения: C:\WINDOWS\system32\WINHELP32.EXE

Соединение:
Направление: Исходящее
Протокол: ТСР
Удалённый IP-адресс: 89.149.253.208 (internetserviceteam.com)

[QUOTE=Игорь;280355]
Удалённый IP-адресс: 89.149.253.208 [/QUOTE][url]http://samspade.org/whois/89.149.253.208[/url] ;)