LISS-13 Опубликовано 16 августа, 2008 Жалоба Поделиться Опубликовано 16 августа, 2008 Здравствуйте. Хотел бы задать вопрос, быть может кто-то уже сталкивался с подобной проблемой. Вчера на одном совершенно безобидном сайте через IE умудрился словить троян, два червя и 2 вируса (2 месяца не обновлял базы антирусные, за этот и поплатился). После обновления базы NOD32 он нашёл файл трояна (mscshl.dll) и 2 модифицированных win32/nuwar червя. Вроде бы всё благополучно удалил и почистил систему. На всякий случай ещё прогнал AVZ 4.30. Тот тоже больше не выявил никаких угроз. Довольный, перезагрузил системы и после перезагруза обнаружил, что ни одна программа из автозагрузки не запустилась. Зашел через командную строку в msconfig и там действительно оказался пустой список, за исключением 2-х разных приложений winhelp32.exe (gj flhtce C:\WINDOWS\system32\winhelp32.exe, который, как я понял, является тоже заражённым файлом, но антивири его не находят!!!) которые там висят из разных путей реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Сообственно и всё, дальше список чистый, не смотря на то, что раньше там присутствовало ощутимо больше приложений. Дальше обратил внимание, что программы, находящиеся в Пуск/Программы/Автозагрузка там сохранились, но они тоже наотрез отказываются стартовать. Пробовал удалять, добавлять заново, закидывать новые приложения - ВСЁ БЕСПОЛЕЗНО. Ни одна из них не запускается. Соответствеенно полез в инет искать обсуждения на эти темы, ничего особо путного не нашел за исключением путей в реестре, куда можно руками добавлять руками программы на автозагрузку. Напоролся на следующий текст: Пример:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\Run] "1"="notepad.exe" "2"="iexplore.exe" В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Захожу по этому пути и пытаюсь повторить тот же трюк, но при попытке создать строковый параметр или параметр DWORD по аказанному адрусу на нужную программу, ресстр мне выдал окно Ошибка при создании параметра с текстом "Не удаётся создать параметр. Ошибка при записи в реестр" Кто-нибудь может подсказать как мне вообще решить эту проблему??? Я не думаю, что тут нужно какое-то сверхгениальное решение. Надеюсь на вашу помощь, форумчане!!! P.S.: переустановку системы прошу не предлагать, т.к. это сейчас КРАЙНЕ НЕЖЕЛАТЕЛЬНЫЙ вариант!!! Частично моя проблема схожа с этой: http://www.softboard.ru/index.php?showtopic=53486 Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 августа, 2008 Жалоба Поделиться Опубликовано 16 августа, 2008 (изменено) Похоже..... Давайте логи для контроля подготовим.....зловред с нюансами Автозагрузку должен поправить скрипт: AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginRegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Изменено 16 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 16 августа, 2008 Автор Жалоба Поделиться Опубликовано 16 августа, 2008 akoK: cкрипт забил в AVZ, запустил, написал про успешное его исполнение, но winhelp32.exe по прежнему в автозагрузке и никуда не делся. Логи ОБЯЗАТЕЛЬНО выложу, как только разберусь как их делать, т.к. это впервые в моей практике, что не справиться с вирусом самомтоятельноу и логи ещё не делал до этого никогда. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 16 августа, 2008 Жалоба Поделиться Опубликовано 16 августа, 2008 LISS-13: winhelp32.exe довольно трудный зловред и выгнать его с первого прогона нереально...жду логи.... Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 16 августа, 2008 Автор Жалоба Поделиться Опубликовано 16 августа, 2008 Логи сейчас опубликую. Оговорюсь так же, что при обновлении баз AVZ в системе был обнаружен файл C:\windows\services.exe. Поискал в поиске, тоже зловредная штука, как я понял? Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 16 августа, 2008 Автор Жалоба Поделиться Опубликовано 16 августа, 2008 С файлом services.exe разобрался по следующей методике: http://www.viruslist.com/ru/viruses/encycl...?virusid=100239 Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 Выкладываю необходимые логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 (изменено) Скачайте Icesword Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файлы: c:\windows\system32\winhelp32.exe C:\windows\system32\vmmreg32.dll C:\windows\SYSTEM32\winhelp32.exe C:\windows\SYSTEM32\VIDEO.sys C:\windows\SYSTEM32\webmin\VIDEO.bkp C:\windows\SYSTEM32\webmin\vmmreg32.bkp C:\windows\SYSTEM32\webmin\winhelp32.bkp C:\windows\SYSTEM32\webmin\winhelp32.exe Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Перезагрузите компьютер. Пофиксить в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exeO2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O4 - HKLM\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKCU\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] C:\windows\SYSTEM32\winhelp32.exeO4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'Default user')O20 - AppInit_DLLs: C:\windows\system32\vmmreg32.dll AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('VIDEO', 4);QuarantineFile('C:\windows\SYSTEM32\webmin\winhelp32.exe','');QuarantineFile('C:\windows\SYSTEM32\webmin\winhelp32.bkp','');QuarantineFile('C:\windows\SYSTEM32\webmin\vmmreg32.bkp','');QuarantineFile('C:\windows\SYSTEM32\webmin\VIDEO.bkp','');QuarantineFile('C:\windows\SYSTEM32\VIDEO.sys','');QuarantineFile('C:\windows\system32\DRIVERS\tcpip.sys','');QuarantineFile('C:\windows\SYSTEM32\winhelp32.exe','');QuarantineFile('C:\windows\system32\vmmreg32.dll','');QuarantineFile('c:\windows\system32\winhelp32.exe','');DeleteFile('c:\windows\system32\winhelp32.exe');DeleteFile('C:\windows\system32\vmmreg32.dll');DeleteFile('C:\windows\SYSTEM32\winhelp32.exe');DeleteFile('C:\windows\SYSTEM32\VIDEO.sys');DeleteFile('C:\windows\SYSTEM32\webmin\VIDEO.bkp');DeleteFile('C:\windows\SYSTEM32\webmin\vmmreg32.bkp');DeleteFile('C:\windows\SYSTEM32\webmin\winhelp32.bkp');DeleteFile('C:\windows\SYSTEM32\webmin\winhelp32.exe');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('VIDEO');RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');RebootWindows(true);BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Изменено 17 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 Архив с карантином сейчас вышлю, остался только вопрос: в HiJack нужно фиксить следующую вещь??? O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'Default user') Кстати, сразу оговорюсь, что удаление файлов через IceSword успела не возымело и большинство удалённый записей реестра, которые фиксили ХайДжеком тоже восстановились! Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 Фиксить....этот зловред просто так уходить не хочет...жду новый комплект логов. Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 Понял, значит общую суть я правильно уловил. Вот свежие логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 C:\windows\SYSTEM32\webmin\winhelp32.exe - Trojan-PSW.Win32.Agent.knc C:\windows\SYSTEM32\webmin\winhelp32.bkp - Trojan-PSW.Win32.Agent.knc C:\windows\SYSTEM32\webmin\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kne C:\windows\SYSTEM32\webmin\VIDEO.bkp - Trojan-PSW.Win32.Agent.knd C:\windows\SYSTEM32\VIDEO.sys - Trojan-PSW.Win32.Agent.knd C:\windows\SYSTEM32\winhelp32.exe - Trojan-PSW.Win32.Agent.knc C:\windows\system32\vmmreg32.dll - Trojan-PSW.Win32.Agent.kne 1. После лечения сменить пароли. 2. Вы удаляли файлы при помощи Icesword? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 (изменено) Icesword'ом еще раз удалите C:\windows\system32\vmmreg32.dll Пофиксить в HijackThis следующие строчки O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)O4 - HKLM\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServices: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKCU\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exeO4 - HKLM\..\Policies\Explorer\Run: [1] C:\windows\SYSTEM32\winhelp32.exeO4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'Default user')O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\windows\SYSTEM32\winhelp32.exe (User 'Default user')O20 - AppInit_DLLs: C:\windows\system32\vmmreg32.dll AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');SetServiceStart('VIDEO', 4);DeleteFile('C:\windows\SYSTEM32\VIDEO.sys');DeleteFile('C:\windows\SYSTEM32\winhelp32.exe');DeleteFile('C:\windows\system32\vmmreg32.dll');DeleteService('VIDEO');DelAutorunByFileName('C:\windows\SYSTEM32\winhelp32.exe');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Изменено 17 августа, 2008 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 Файла C:\windows\system32\vmmreg32.dll странным образом на месте не оказалось ) После фикса и скрипта winhelp32.exe из автозагрузки пропал, но вот программы из автозагрузки по прежнему не грузятся. Для этого, я так понимаю, нужно выполнить следующий скрипт: beginRegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');RebootWindows(true);end. Но не уверен, что это всё и что он окончательно верный. И ещё для полноты картины хотелось бы вернуть языковую панельку на панель задач =) Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 Давайте комплект логов...посмотрим, что осталось. Но не уверен, что это всё и что он окончательно верный. В чем заключается неуверенность? Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 Выкладываю последние логи для проверки!!! Теперь бы хотелось вернуть на место автозагрузку и языковую панель, которая тоже пропала из-за этого зловреда ) А неуверенность заключается в том, что я не настолько хорошо знаю реестр и что в плане атозагрузки в нём надо править, поэтому лучше проконсультироваться со специалистом. Этот код я просто нашёл через поисковик, но не знаю всё ли там, что нужно для моего случая, поэтому и обращаюсь к вам с таким вопросом, быть может там чего-то не хватает или что-то не так. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 C языковой панелью разобрался. С автозагрузкой частично. Вот это: beginRegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');RebootWindows(true);end. не будет срабатывать (т.е. автозагрузка не включится), т.к. там нужно не только значение параметра менять, но и сам строковый парамет на расширенный строковый параметр. Тогда Автозагрузка из ПУСКА будет работать. Теперь есть ещё одна маленькая незначительная проблема: чёто не хочет удаляться раздел (вложенная папка в паке Run по пути в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\). Я его для эксперимента создавал. Название этого раздела (папки) "Новый раздел #1". Через реестр удаляться наотрез не хочет. Выдаёт сообщение: не удаётся удалить Новый раздел #1. Ошибка при удалении раздела. Как с ним быть??? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 В логах чисто... Для доступа к реестру попробуйте. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteRepair(6);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Пофиксить в HijackThis следующие строчки O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/LISS/LOCALS~1/Temp/msohtml1/01/clip_image002.gif Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 не будет срабатывать (т.е. автозагрузка не включится), т.к. там нужно не только значение параметра менять, но и сам строковый парамет на расширенный строковый параметр. Тогда Автозагрузка из ПУСКА будет работать. Странно....раньше срабатывало Автозагрузка в Windows XP Ссылка на комментарий Поделиться на другие сайты Поделиться
LISS-13 Опубликовано 17 августа, 2008 Автор Жалоба Поделиться Опубликовано 17 августа, 2008 Приведённый код для доступа к реестру, к сожалению, не решил проблемы =( Странно....раньше срабатывало Возможно. Я не спорю. Просто в моём случае не помогло. Пришлось сравнивать параметры чистого ПК и этого. После редактирования (которое я описал выше) всё получилось и втозагрузка вновь заработала. А без смены строкового параметра на расширенный строковый параметр автозагрузка ПУСКА не срабатывала. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 17 августа, 2008 Жалоба Поделиться Опубликовано 17 августа, 2008 Приведённый код для доступа к реестру, к сожалению, не решил проблемы =( насчет ветки реестра возможно она создавалась под другим пользователем .... просто дайте права на нее ... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения