winhelp32

Помогите избавиться от зверя :(

[url]http://virusinfo.info/showthread.php?t=1235[/url]

Пункты 1-6 выполнил, пункт 7-нет, так как, не запускается панель "Свойства" Моего компьютера. Можно продолжать без пункта 7, или есть другой способ выполнить пункт 7 ?

Продолжайте.

Выполнил п.8-13. Высылаю файлы логов.

Вставьте дистрибутив в CD-ROM - драйв.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1 [/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\basemuqw32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\Uoso58.sys','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\clbcat.dll','');
DeleteService('msupdate');
DeleteFile('C:\WINDOWS\system32\clbcat.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\Uoso58.sys');
DeleteFile('C:\WINDOWS\system32\basemuqw32.dll');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 2 [/URL]
[CODE]begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
[CODE]copy C:\i386\svchost.exe C:\WINDOWS\system32\svchost.exe[/CODE]
Переписывание подтвердите

Если такого файла нет:
На приглашение введите строку:
[CODE]expand X:\i386\svchost.ex_ C:\WINDOWS\system32\svchost.exe[/CODE]
где вместо X подставьте букву CD-ROM-драйва.
Переписывание подтвердите

4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Куда нужно скопировать файлы?

[QUOTE=Игорь;278754]Куда нужно скопировать файлы?[/QUOTE]В любое место на диске, напр. C:\Files


[B]
[COLOR="Red"]
- Скачайте последнюю версию Hijackthis по ссылке в правилах.
[/COLOR]
[/B]

:) БОЛЬШОЕ спасибо за помощь!!!
Теперь по порядку.
1. Лечение провел по всем пунктам, за исключением:
а) не смог отключить систему восстановления
б) в консоле восстановления не смог написать код, так как, в английской раскладке вместо обратной черты пишет решётку, клаву менял не помогает :(.
в) Что такое кэш проводников?
2. После лечения:
а) Запускается панель управления
б) Загрузка процессора 0% (раньше 100%) :D
в) Автозапуск прошёл только у KIS6.0 и языковой панели
г) Проактивная защита KIS6.0 блокирует запуск диспетчера задач :?
д) Логи прикрепил, zip-virus закачал.
Жду дальнейших указаний :)
(зверьки ещё остались: keyloger какой-то)

[QUOTE]
б) в консоле восстановления не смог написать код, так как, в английской раскладке вместо обратной черты пишет решётку, клаву менял не помогает [/QUOTE]Это сделать [B]необходимо[/B]: у Вас заражен системный файл. Его можно заменить только таком образом. Потыкайте клавиши, пока не найдете необходимый обратный слэш. Вы можете воспользоваться LiveCD - если есть под рукой - там все можно сделать через ГУИ.
[QUOTE]в) Что такое кэш проводников?[/QUOTE]
Вы на ссылку нажимали? :O Temporary Internet Files для ИЕ, в других браузерах называется Cache.
[QUOTE](зверьки ещё остались: keyloger какой-то)[/QUOTE]
Логи могу не смотреть - пока не замените svchost.exe - все до фени.

LiveCD - под рукой нет, будем искать. Не подскажете где? :?
А клава на другом компе выдаёт обратный слэш, как положено :(
Значит дело не в клаве? >:(

[QUOTE=Игорь;278983]LiveCD - под рукой нет, будем искать. Не подскажете где? :?[/QUOTE][url]http://www.bartpe.ru/[/url]
[QUOTE=Игорь;278983]Значит дело не в клаве?[/QUOTE]
Конечно нет. Из какой страны у Вас дистрибутив? Драйвер клавы с него грузится.
Судя по Вашему описнаию у Вас почему-то немецкая раскладка. Попробуйте набрать обр. слэш: Правый Alt + какая-то из клавиш справа от 0 в верхнем ряду.

За ссылочку спасибо:), а с клавой я разобрался;), язык то один, Аглицкий, а страны то, ДВЕ!!! У меня стояла Великобритания, а нужно ставить США и тогда всё отлично работает!!! ;)

Perfect! :) Скрипт + Меняйте файл + логи - в студию.

Снова смог зайти на сайт!!!:D
1) заменил userinit.exe из Акрониса
2) Высылаю логи и карантин

давайте посмотритм на что вы заменили ...
C:\WINDOWS\system32\userinit.exe - пришлите согласно приложения 2 правил ...

Высылаю то, что в карантине. Файл userinit.ехе в карантин не добавляется!!!:O

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
- Не выключено системное восстановление.
[/COLOR]

Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.[/B]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\userinit.exe');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Файл должен попасть в карантин

Файл userinit.ехе в карантин добавил и отправил

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]
- Сделайте повторные логи начиная от п.10 правил.

Пофиксил, логи выслал.

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.
- Не выключено системное восстановление.
[/COLOR]

Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Повторите 2 последних лога.
Спасибо за понимание.[/B]

Требования выполнил, логи вислал.:)

Если Вы не уверены, что все эти страницы должны быть в доверенной зоне -[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O15 - Trusted Zone: http://www.beonline.ru
O15 - Trusted Zone: http://www.megafoncenter.ru
O15 - Trusted Zone: http://www.megafondv.ru
O15 - Trusted Zone: http://www.megafonkavkaz.ru
O15 - Trusted Zone: http://sms.megafonmoscow.ru
O15 - Trusted Zone: http://www.megafonnw.ru
O15 - Trusted Zone: http://*.megafonsib.ru
O15 - Trusted Zone: http://www.megafonural.ru
O15 - Trusted Zone: http://www.megafonvolga.ru
O15 - Trusted Zone: http://sms.mts.ru
O15 - Trusted Zone: http://*.tele2.ru
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Uoso58.sys','');
DeleteService('Uoso58');
DeleteFile('C:\WINDOWS\system32\Drivers\Uoso58.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Uoso58');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.

Пофиксил, срипт выполнил, логи выслал.:)

[QUOTE=Игорь;279985]Пофиксил, срипт выполнил, логи выслал.:)[/QUOTE]Повторите поиск/удаление IceSword и скрипты из сообщения 6: [url]http://virusinfo.info/showpost.php?p=278663&postcount=6[/url]

В АйсСворде файлы не обнаружены, скрипты выполнил, логи выслал.:)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.
[/CODE]

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
[/CODE]


После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.

Всё выполнил, логи выслал.:)

В логах чисто.
СП3 поставьте, возможно потребуется активация системы.
Напишите Грише в личку в форуме ЛК - пусть там тему уберет.

Большое СПАСИБО!!!:)

Пожалуста, помогите разобраться с другой проблемой (оченннннь нехорошая):
Параллельно появилась ещё проблема: бесконтрольно уменьшается свободное место на диске "С", за несколько часов с 2 Гб до 28Мб!!! Хотя я ничего туда не записывал!!! При этом в трее появлается сообщение "На диске "С" не достаточно места. Щелкните это сообщение, что бы очистить диск "С" от старых и не нужных файлов." . А в папке Мой компьютер, в разделе Другие, появился значёк "Веб-папки" (системная папка).
Вся опасность в том, что когда свободное место упало почти до "0", мне пришлось самому удалить файл на 100Мб, чтобы запустить ХайДжека, иначе он выдавал "Рантайм Эррор".
Что же будет дальше??? Мне прийдется самому постоянно что-то удалять, что бы было свободное место на диске "С"!!!
Это похоже на медленно затягивающуюся петлю!!!>:(

Удалите Ашампо: Он там чего-то конструирует.
Насчет Веб-Папок - скачайте, распакуйте, переименуйте в 123.reg и запустите файлик [url]http://virusinfo.info/attachment.php?attachmentid=71465&d=1219680687[/url]

За папки спасибо! А по поводу Ashampoo MagDef2 (это теневой дефрагментатор), она у меня уже давно стоит и такого не было, эта проблема появилась только вчера.:( Вот сейчас, я убил этот процесс Ashampoo MagDef2,а свободное место продолжает уменьшаться!!!
Что делать???:O

[QUOTE=Игорь;280046]( Вот сейчас, я убил этот процесс Ashampoo MagDef2[/QUOTE]ИМО он как служба запускается, нужно попробовать остановить службу.
Сделайте потом лог процессов и лог служб (АВЗ, Сервис/Диспетчер служб и процессов...)

Ашампу остановил, логи сделал. По моему есть какой-то подозрительный процесс:>:(

Имя файла: System, PID:4, Описание:нет, Copyright:нет, MD5:??, Информация: ошибка получения информации о файле, Командная строка:нет

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
clearquarantine;
end.[/CODE]
Попробуйте поискать по списку и прислать файлы (см. приложение 2 и 3 правил)
[CODE]%system%\tmpx\wnaspi32.dll
%system%\$sys$upgtool.exe
%system%\drivers\$sys$cor.sys
%system%\tmpx\apix.vxd
%system%\tmpx\aspienum.vxd
%system%\$sys$filesystem\unicows.dll
%system%\tmpx\wnaspi.dll
autorun.exe
codesupport.inf
codesupport.ocx
go.exe
softwareupdate.cab
%system%\$sys$caj.dll
%system%\$sys$filesystem\$sys$drmserver.exe
%system%\$sys$filesystem\$sys$parking
%system%\$sys$filesystem\aries.sys
%system%\$sys$filesystem\crater.sys
%system%\$sys$filesystem\dbghelp.dll
%system%\$sys$filesystem\lim.sys
%system%\$sys$filesystem\oct.sys
%windows%\cdproxyserv.exe
%system%\$sys$filesystem\unicows.dll
%system%\$sys$filesystem\dbghelp.dll
%system%\$sys$caj.dll
%system%\tmpx\wnaspi32.dll
%system%\tmpx\wnaspi.dll
%system%\$sys$upgtool.exe
%windows%\cdproxyserv.exe
%system%\$sys$filesystem\$sys$drmserver.exe[/CODE]

Скрипт выполнил, такие файлы не найдены. Место на диске тает как снег...

Сработала Проактивная защита KIS6.0: Подозрительное действие: "Keylogger" Модуль:\Driver\IsDrv122 Действие:"Обнаружен клавиатурный перехватчик. Процесс пытается перехватить данные, вводимые с клавиатуры." Кнопка "Завершить"-заблокирована, активная только кнопка "Разрешить"

это драйвер icesword

По диску "С" разобрался...:)
А вот адресок, с которого видимо меня посетил winhelp32 (KIS6.0 как-то перехватил до лечения):

Информация о процессе:
Имя процесса: WINHELP32.EXE
ID процесса: 2500 (432)
Файл приложения: C:\WINDOWS\system32\WINHELP32.EXE

Соединение:
Направление: Исходящее
Протокол: ТСР
Удалённый IP-адресс: 89.149.253.208 (internetserviceteam.com)

[QUOTE=Игорь;280355]
Удалённый IP-адресс: 89.149.253.208 [/QUOTE][url]http://samspade.org/whois/89.149.253.208[/url] ;)