Показано с 1 по 11 из 11.

Проблема с winhelp32.exe (заявка № 27687)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    31

    Exclamation Проблема с winhelp32.exe

    Имею следующие симптомы:

    - из автозапуска удалены некоторые файлы, в частности файл ctfmon.exe и некоторыедругие полезные процессы, в т.ч. антивирус NOD32

    - добавить в автозагрузку можно вручную (пользуюсь программой Starter), но после перезагрузки файлов опять не видно.

    - в автозагрузку добавляется 7 процессов winhelp32.exe, которые добавляются по-новой каждый раз, когда я их из автозагрузки удаляю. Самое интересно, в самой папке System32 этого файла я не нашёл.
    Последний раз редактировалось CyberDyne; 07.08.2008 в 13:18.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    1. Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    2. Скачайте последнюю версию Hijackthis по ссылке в правилах



    Скачайте IceSword , поищите и удалите через опцию force delete файл:
    Код:
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('VIDEO');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.
    Последний раз редактировалось Rene-gad; 07.08.2008 в 11:19.

  4. #3
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    31
    Скачайте IceSword , поищите и удалите через опцию force delete файл:
    Код:
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    Сделано

    1. Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Обновил

    2. Скачайте последнюю версию Hijackthis по ссылке в правилах
    Сделано

    Выдаёт ошибку при выполнение скрипта:
    Ошибка скрипта: Undeclared identifier: 'BC_DeleteService', позиция [16:17]



  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от CyberDyne Посмотреть сообщение
    Выдаёт ошибку при выполнение скрипта
    Спасибо и Извините, моя ошибка, скрипт подправил, выполняйте.

  6. #5
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    31
    После перезагрузки выдало сообщение:

    Не удалось открыть следующий файл: VIDEO.bkp

    ... с предложение выбора программы для открытия этого файла.

    Программой Starter обнаружил в автозагрузке 2 новых одинаковых процесса VIDEO.bkp в папке \windows\system32\webmin\VIDEO.bkp


    Отсылаю повторно логи.
    Последний раз редактировалось CyberDyne; 07.08.2008 в 13:18.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996

    1. Скачайте последнюю версию Hijackthis по ссылке в правилах



    Скачайте IceSword , поищите и удалите через опцию force delete файл:
    Код:
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    31
    Всё сделал. Логи и карантин(080807_042734_virus_489ac006937cf.zip) прикреплены.

    Осталась пара вопросов:

    - что за вирь такой попался (обычно получалось до этого всё самом удалять) и что он вообще кроме чистки реестра делает?

    - Я так понимаю все программы в автозагрузке теперь надо восстанавливать через HiJackThis ??

    Большое пребольшое спасибо за помощь и плюсик в репу!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Сколько еще раз можно Вас просить, скачать новую версию Hijackthis?
    Скачайте и повторите все логи в последовательности, указанной в правилах.
    Почему старые логи удалили?

  10. #9
    Junior Member Репутация
    Регистрация
    07.08.2008
    Сообщений
    34
    Вес репутации
    31
    Сколько еще раз можно Вас просить, скачать новую версию Hijackthis?
    Дык я и скачал по ссылке в правилах. И на обновления проверил, но урл не работает.

    Почему старые логи удалили?
    Эммм... моя ошибка.. думал превышу лимит закачки. К тому же на компе сдуру старые логи не сохранил - думал не понадобятся больше... извините...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от CyberDyne Посмотреть сообщение
    И на обновления проверил, но урл не работает
    .
    Я же не придумал: Logfile of HijackThis v1.99.1
    Повторите 3 лога , плиз.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\video.sys - Rootkit.Win32.Agent.cbs (DrWEB: Trojan.NtRootKit.138
      2. c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
      3. c:\\windows\\system32\\webmin\\video.bkp - Rootkit.Win32.Agent.cbs (DrWEB: Trojan.NtRootKit.138
      4. c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
      5. c:\\windows\\system32\\webmin\\winhelp32.bkp - Trojan-PSW.Win32.Agent.kkr (DrWEB: Trojan.MulDrop.18333)
      6. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.kkr (DrWEB: Trojan.MulDrop.18333)
      7. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.kkr (DrWEB: Trojan.MulDrop.18333)


  • Уважаемый(ая) CyberDyne, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. winhelp32 и т.п
      От LMik в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 10:17
    2. winhelp32.exe
      От alexlin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:50
    3. winhelp32.exe
      От saym101 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 09:36
    4. WINHELP32!!
      От IntGirl в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:37
    5. Проблема с winhelp32.exe, video.sys...
      От Folken в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01509 seconds with 21 queries