Показано с 1 по 13 из 13.

И опять winhelp32.exe и сотоварищи (заявка № 28071)

  1. #1
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31

    Thumbs up И опять winhelp32.exe и сотоварищи

    Утро доброе...
    Подменяю сисадмина (сам по образованию программист) в небольшой (около 50 компов) компании.
    Уже перебрали с сотоварищем программистом кучу антивирусов - NOD32, Avira, Symantec Endpoint, KAV 7.0... А "злобным" пользователям все нипочем - постоянно вылавливают откуда-то новые и новые пакости...

    Собственно к делу - на одном из компов в автозагрузке появилось 2 записи для winhelp32.exe. При чем, насколько я понимаю, виндовый хелп все же называется winhlp32.exe.
    Касперский находит video.sys и vmmreg.dll... пытается их удалить... причем с запросом на перезагрузку (проверка проводилась в соответствии с пунктом 1 правил) - после перезагрузки - все по-старому.

    Помогите... ну пожалуйста...

    Логи креплю сразу...

    P.S. не подскажете - что это сволочь делает кроме того, что глушит все остальные проги в Автозагрузке?... а то может там что неладное творится... пользователь ж меня если что скушает и не подавится...

    и нет ли какого стандартного алгоритма заражения этой пакостью?... хоть буду знать от каких действий предостеречь остальных пользователей....

    Искренне Ваш, и.о. сисадмина.

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    логи где ?

  4. #3
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31
    файлы не закачались.... прощу прощения....
    перечитываю правила.... может что не так сделал....

  5. #4
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31
    вот логи...

    Заранее благодарю...
    Вложения Вложения

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     DeleteService('video');
     DeleteService('Google Online Services');
     QuarantineFile('C:\Documents and Settings\anosova\ie_updates3r.exe','');
     QuarantineFile('\??\C:\WINDOWS\SYSTEM32\drivers\video.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('\??\C:\WINDOWS\SYSTEM32\drivers\video.sys');
     DeleteFile('C:\Documents and Settings\anosova\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  7. #6
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31
    Вас понял... действую...

  8. #7
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31

    повторные логи

    Вот повторные логи...

    файлы
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    C:\WINDOWS\SYSTEM32\winhelp32.exeудалить не удалось в силу их отсутствия или неотображения в Icesword'е...

    после отработки указанного скрипта explorer накрылся и не отвечал на C+A+D...
    компьютер был перезагружен вручную...
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    авз - Мастер поиска и устранения проблем
    >> Некорректный элемент автозапуска - устранить ...
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteService('video');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\video.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('vmmreg32.dll');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ...

  10. #9
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31
    вот новые логи...
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отключите восстановление системы,в логах чисто,жалобы есть?

  12. #11
    Junior Member Репутация
    Регистрация
    13.08.2008
    Адрес
    Moscow region
    Сообщений
    7
    Вес репутации
    31
    никак нет...
    жалоб нет... но их и не было кроме той, что не работала автозагрузка... сейчас работает...

    а чтобы более не отвлекать специалистов от помощи, скажите есть где-нибудь можно ознакомиться с общими правилами построения скриптов...
    иль это некая корпоративная тайна? иль просто не хотите "детям" "динамит" раздавать?..

    Добавлено через 1 минуту

    Выношу всем помогавшим благодарность
    от пользователя и меня лично с занесением в личное дело...

    Спасибо... и особо за оперативность (вот уж чего не ожидал )...
    Последний раз редактировалось Gunter; 14.08.2008 в 12:54. Причина: Добавлено

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Есть обучение на базе нашего сайта,для этого нужно подать заявку в группу "Студенты" через "Мой кабинет"=>"Членство в группах"

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Gunter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32.HLLP.Neshta и сотоварищи. (F:\ - system)
      От Rick1 в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 04.12.2009, 17:07
    2. Win32.HLLP.Neshta и сотоварищи (E:\- system)
      От Rick1 в разделе Помогите!
      Ответов: 38
      Последнее сообщение: 22.11.2009, 19:14
    3. Winhelp32.exe
      От Aleks121 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:08
    4. sanitardiska.com и сотоварищи
      От Pavel207 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00846 seconds with 22 queries