Показано с 1 по 12 из 12.

winhelp32 (заявка № 29017)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    58
    Вес репутации
    57

    Thumbs up winhelp32

    Winhelp32 пробрался на несколько компьютеров моей сети. Помогите пожалйста с ним справиться. Опять восстановление не работает, языковой панели нет, в автозагрузке только винхелп стоит. Проблема в том что не могу сделать логи потому что запускаю avz там все меню цифрами сделано ниче не понятно. По ассоциации нажиамю на 9 пункт вместо списка пустое окно и ничего не выбирается

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    http://rapidshare.com/files/116949749/pingpong.pif.html скачайте, запустите - это переименованный АВЗ. Базы обновлять не нужно.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     DeleteService('VIDEO');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Выполните скрипт 2
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    58
    Вес репутации
    57
    вот новые логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Попробуйте дальнейшие операции выполнять нормальным АВЗ, не забудьте обновить базы.

    Если не получится - работайте дальше с pingpong.pif

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\SYSTEM32\WinNt32.dll
    C:\WINDOWS\SYSTEM32\WinNt32.bak
    C:\WINDOWS\SYSTEM32\WinNt32.dl_
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    -Пофиксите
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O4 - S-1-5-19 Startup: winhelp32.bkp (User 'LOCAL SERVICE')
    O4 - S-1-5-19 User Startup: winhelp32.bkp (User 'LOCAL SERVICE')
    O4 - S-1-5-20 Startup: winhelp32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 User Startup: winhelp32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM')
    O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user')
    O4 - Global Startup: winhelp32.bkp
    O20 - Winlogon Notify: avicore - avicore.dll (file missing)
    O20 - Winlogon Notify: datcom - C:\WINDOWS\
    O20 - Winlogon Notify: mcrwave - C:\WINDOWS\
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    O20 - Winlogon Notify: __c0014608 - C:\WINDOWS\SYSTEM32\__c0014608.jpg
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Hmr61');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('D:\autorun.inf',''); 
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('avicore.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\__c0014608.jpg','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Hmr61.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hmr61.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\__c0014608.jpg');
     DeleteFile('C:\WINDOWS\SYSTEM32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('D:\autorun.inf');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Hmr61');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    58
    Вес репутации
    57
    новые логи
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: __c0014608 - __c0014608.jpg (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    58
    Вес репутации
    57
    вот
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от IntGirl Посмотреть сообщение
    вот
    А почему опять пингпонгом логи делали?
    и потом - вот какая Вы невнимательная - нужны были логи, начиная от п.10 правил.
    Сделайте плиз syscheck нормальным АВЗ - и я от Вас отстану

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    58
    Вес репутации
    57
    Извините. Невнимательность это мой бич......всегда от этого страдаю. А нормальным абз не получилось открыть опять появился тот же глюк после перезагрузки. щас должно быть нормальные.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах проблем не видно.
    Поставьте Сервис Пак 3 - сборник патчей и обновлений от Microsoft. Возможно потребуется активация системы.

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    58
    Вес репутации
    57
    Спасибо большое. попробую.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\video.sys - Rootkit.Win32.Agent.chc (DrWEB: Trojan.NtRootKit.1405)
      2. c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kmt (DrWEB: Trojan.Click.19856)
      3. c:\\windows\\system32\\webmin\\video.bkp - Rootkit.Win32.Agent.chc (DrWEB: Trojan.NtRootKit.1405)
      4. c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kmt (DrWEB: Trojan.Click.19856)
      5. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.kmw (DrWEB: Trojan.MulDrop.18334)
      6. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.kmw (DrWEB: Trojan.MulDrop.18334)


  • Уважаемый(ая) IntGirl, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. winhelp32
      От Игорь в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 22.02.2009, 07:43
    2. WINHELP32!!
      От IntGirl в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:37
    3. Winhelp32.exe
      От Aleks121 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:08
    4. Winhelp32.exe и т.п.
      От IIM в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.10.2008, 23:40
    5. winhelp32.exe
      От sasha_permyak в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.10.2008, 15:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00618 seconds with 20 queries