winhelp32.exe

[Reanimator177]

Приветствую уважаемый форум и прошу о помощи!

Как и что делалось до попадания этого ноутбука ко мне не знаю.
Знаю что установлен лицензионный обновленный KIS 7.0 который начал выдавать множественные предупреждения о подозрительных действиях svchost.exe. К сожалению логи KISа стерты.

Сейчас в этой ветке реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

один параметр: "Windows help service"="C:\\WINDOWS\\SYSTEM32\\winhelp32.exe"

который изменить невозможно. При попытке изменения: "Не удалось импортировать....... Не все данные были записаны в реестр. Некоторые разделы были заняты системой или другими процессами"

Логи согласно правилам приложены.

Прошу помощи. Очень не хочется переустанавливать систему.
Заранее благодарен!

[Гриша]

Отключите антивирус и восстановление системы!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 DeleteService('puotttpp');
 QuarantineFile('C:\WINDOWS\system32\drivers\puotttpp.sys','');
 DeleteService('Bio28');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Bio28.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Bio28.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\puotttpp.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[Reanimator177]

все сделал
логи прикреплены, карантин закачан

[Гриша]

Отключите антивирус!

Пофиксить

Код:

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O20 - AppInit_DLLs: vmmreg32.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
 DeleteFile('vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи с п.10 правил...

[Reanimator177]

сделал. HiJack не смог (как я понял) пофиксить большинство веток реестра

Логи прикреплены.
ЗЫ Антивирус отключил

[Гриша]

Выполните пункт 2 правил и повторите логи...

[Reanimator177]

CureIT ничего не нашел кроме файлов в карантине AVZ

[Reanimator177]

неужели Reinstall?

[V_Bond]

есть еще учетные записи с правами администратора ? встроенный админ например ... ? попробуйте скрипт из поста 4 выполнить под ним ....

[Reanimator177]

есть еще учетные записи с правами администратора ? встроенный админ например ... ? попробуйте скрипт из поста 4 выполнить под ним ....

Завел пользователя с правами админа, выполнил скрипт - тоже самое..
выполнил скрипт но без перезагрузки чтобы увидеть лог выполнения скрипта (файл во вложении). Все равно HiJack не фиксит ветки реестра...

Перезагрузился с LiveCD - нашел в c:\windows\system32\webmin файл video.bkp - удалил, файлов winhelp32.exe и vmmreg32.dll
НЕТУ!!
- перезагрузился с жесткого диска - та же картина
файл video.bkp на месте... winhelp32.exe и vmmreg32.dll
НЕТУ!!
moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), если Вас об этом не просили.

[kps]

Сделайте полную проверку всех дисков в AVPTool. Потом логи по правилам.

[Reanimator177]

Сделайте полную проверку всех дисков в AVPTool. Потом логи по привилам.

Сделал - нашлись еще вирусы:
05.08.2008 17:17:55 Файл: c:\windows\system32\wpx23.cpx//# обнаружено: троянская программа 'Trojan-Downloader.Win32.Kset.h'
05.08.2008 17:17:59 Файл: c:\windows\system32\wpx23.cpx удален
05.08.2008 17:18:02 Файл: C:\WINDOWS\system32\dllcache\vmmreg32.dll обнаружено: новая угроза 'Hidden.Object' (модификация)
05.08.2008 17:18:05 Файл: C:\WINDOWS\system32\dllcache\vmmreg32.dll невозможно удалить при перезагрузке компьютера
05.08.2008 17:18:07 Файл: C:\WINDOWS\system32\drivers\video.sys обнаружено: новая угроза 'Hidden.Object' (модификация)
05.08.2008 17:18:09 Файл: C:\WINDOWS\system32\drivers\video.sys невозможно удалить при перезагрузке компьютера

Загрузился с LifeCD и руками их удалил.
После перезагрузки HiJack все пофиксил в реестре (по посту 4)

Новые логи прикреплены. Есть ощущение что вылечился.

ВСЕМ БОЛЬШОЕ СПАСИБО!!!

[Гриша]

В логах чисто,жалобы есть?

[Reanimator177]

В логах чисто,жалобы есть?

нет. реестр руками восстанавливать только...

еще раз СПАСИБО!