-
Junior Member
- Вес репутации
- 59
winhelp32.exe
Приветствую уважаемый форум и прошу о помощи!
Как и что делалось до попадания этого ноутбука ко мне не знаю.
Знаю что установлен лицензионный обновленный KIS 7.0 который начал выдавать множественные предупреждения о подозрительных действиях svchost.exe. К сожалению логи KISа стерты.
Сейчас в этой ветке реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
один параметр: "Windows help service"="C:\\WINDOWS\\SYSTEM32\\winhelp32.exe"
который изменить невозможно. При попытке изменения: "Не удалось импортировать....... Не все данные были записаны в реестр. Некоторые разделы были заняты системой или другими процессами"
Логи согласно правилам приложены.
Прошу помощи. Очень не хочется переустанавливать систему.
Заранее благодарен!
Последний раз редактировалось Reanimator177; 07.11.2008 в 11:08.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите антивирус и восстановление системы!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
DeleteService('puotttpp');
QuarantineFile('C:\WINDOWS\system32\drivers\puotttpp.sys','');
DeleteService('Bio28');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio28.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio28.sys');
DeleteFile('C:\WINDOWS\system32\drivers\puotttpp.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
сделал
все сделал
логи прикреплены, карантин закачан
Последний раз редактировалось Reanimator177; 07.11.2008 в 11:08.
-
Отключите антивирус!
Пофиксить
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - AppInit_DLLs: vmmreg32.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи с п.10 правил...
-
-
Junior Member
- Вес репутации
- 59
что-то не так..
сделал. HiJack не смог (как я понял) пофиксить большинство веток реестра
Логи прикреплены.
ЗЫ Антивирус отключил
Последний раз редактировалось Reanimator177; 07.11.2008 в 11:08.
-
Выполните пункт 2 правил и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
CureIT ничего не нашел кроме файлов в карантине AVZ
Последний раз редактировалось Reanimator177; 07.11.2008 в 11:08.
-
Junior Member
- Вес репутации
- 59
неужели Reinstall?
-
есть еще учетные записи с правами администратора ? встроенный админ например ... ? попробуйте скрипт из поста 4 выполнить под ним ....
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
есть еще учетные записи с правами администратора ? встроенный админ например ... ? попробуйте скрипт из поста 4 выполнить под ним ....
Завел пользователя с правами админа, выполнил скрипт - тоже самое..
выполнил скрипт но без перезагрузки чтобы увидеть лог выполнения скрипта (файл во вложении). Все равно HiJack не фиксит ветки реестра...
Перезагрузился с LiveCD - нашел в c:\windows\system32\webmin файл video.bkp - удалил, файлов winhelp32.exe и vmmreg32.dll
НЕТУ!!
- перезагрузился с жесткого диска - та же картина
файл video.bkp на месте... winhelp32.exe и vmmreg32.dll
НЕТУ!!
moderated:::Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip), если Вас об этом не просили.
Последний раз редактировалось Rene-gad; 05.08.2008 в 17:13.
-
Сделайте полную проверку всех дисков в AVPTool. Потом логи по правилам.
Последний раз редактировалось kps; 05.08.2008 в 19:24.
Причина: очепятка :)
-
-
Junior Member
- Вес репутации
- 59
Сделал. помогло.
Сообщение от
kps
Сделайте полную проверку всех дисков в
AVPTool. Потом логи по привилам.
Сделал - нашлись еще вирусы:
05.08.2008 17:17:55 Файл: c:\windows\system32\wpx23.cpx//# обнаружено: троянская программа 'Trojan-Downloader.Win32.Kset.h'
05.08.2008 17:17:59 Файл: c:\windows\system32\wpx23.cpx удален
05.08.2008 17:18:02 Файл: C:\WINDOWS\system32\dllcache\vmmreg32.dll обнаружено: новая угроза 'Hidden.Object' (модификация)
05.08.2008 17:18:05 Файл: C:\WINDOWS\system32\dllcache\vmmreg32.dll невозможно удалить при перезагрузке компьютера
05.08.2008 17:18:07 Файл: C:\WINDOWS\system32\drivers\video.sys обнаружено: новая угроза 'Hidden.Object' (модификация)
05.08.2008 17:18:09 Файл: C:\WINDOWS\system32\drivers\video.sys невозможно удалить при перезагрузке компьютера
Загрузился с LifeCD и руками их удалил.
После перезагрузки HiJack все пофиксил в реестре (по посту 4)
Новые логи прикреплены. Есть ощущение что вылечился.
ВСЕМ БОЛЬШОЕ СПАСИБО!!!
Последний раз редактировалось Reanimator177; 07.11.2008 в 11:08.
-
В логах чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
В логах чисто,жалобы есть?
нет. реестр руками восстанавливать только...
еще раз СПАСИБО!