Остатки от Winhelp

**Dionis** · 14.08.2008, 10:42

Касперский вирусов не находит.
В его логах ссылок на уничтоженный winhelp не нашел.
Однако, в автозагрузке только winhelp.
Реестр менять не получается, хотя у пользователя права админа.
Папки webmin, самого winhelp и сопутствующих найти не могу.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 14.08.2008, 10:46

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\Drivers\Ovt56.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 DeleteService('Ovt56');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ovt56.sys','');
 QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\Ovt56.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('Ovt56');
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**Dionis** · 14.08.2008, 15:42

После нескольких перезагрузок удалось с помощью IceSword удалить указанные файлы.
После этого без перезагрузки выполнил скрипт.
Реестр стал редактируемый.
Однако, ярлыки расположенные в Главное меню\Программы\Автозагрузка
при загрузке компьютера так и не отработали.
Зато при старте запустился Касперский.
Высылаю логи.
Карантин АВЗ был пуст.

**kps** · 14.08.2008, 16:09

1) AVZ => Файл => Мастер поиска и устранения проблем.
Найдите и устраните проблему "Некорректный элемент автозапуска".

2) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3) Зайдите в regedit и посмотрите, что прописано в

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Там параметр Common startup, пропишите там путь к Вашей папке автозагрузки.

4) Перезагрузите компьютер.

5) Удалите папку webmin, которая находится в C:\WINDOWS\SYSTEM32\

6) Сделайте новые логи.

**Dionis** · 14.08.2008, 16:11

Сапсибо SHER и VI-Team
Автозагрузку восстановил.
Только в догонку к HKLM надо еще и HKCU править.

**kps** · 14.08.2008, 16:38

А новые логи на всякий случай?

**Dionis** · 15.08.2008, 06:05

Прошу прощения, но вчера связь плохая была.
Вот логи.
В Хиджаке пофиксил строчки касающиеся winhelp32.exe в разделе О4
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')

**Aleksandra** · 16.08.2008, 07:36

Сообщение от Dionis

В Хиджаке пофиксил строчки касающиеся winhelp32.exe в разделе О4

Пофиксите еще раз.

**Rene-gad** · 16.08.2008, 10:55

Выполните скрипт для восстановления реестра

Код:

begin
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.

Спасибо kps

Потом повторите логи начиная от п.10 правил.

**Dionis** · 19.08.2008, 06:59

Выполнил.
И откуда могла эта дрянь взяться?
Касперский постоянно работает. Правда только в режиме "файловый антивирус". И базы раз в сутки обновляет.

**Rene-gad** · 19.08.2008, 10:16

Сообщение от Dionis

И откуда могла эта дрянь взяться?

Из интернета, вестимо

Чисто в логах.
Сервис Пак 3 поставьте и почитайте: http://security-advisory.virusinfo.info/

Остатки от Winhelp (заявка № 28077)

Опции темы

Остатки от Winhelp

Похожие темы

Остатки вируса?

У меня тоже winhelp, не получается вложить логи

Winhelp, вторая попытка отправить логи

winhelp, VIDEO.SYS и заблокирован реестр

Остатки

Ваши права в разделе