WINHELP32 Подскажите как бороться...

[IntGirl]

Почитала подобные темы. Мои симптомы так поняла что типичны для этого вируса, не пускает в интернет эксплоуэр, восстановление системы не запускается, в автозагрузке стоит только winhelp32 и никак не убирается. Вот логи..

[Rene-gad]

Скачайте IceSword , поищите и скопируйте файлы:

Код:

c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 DeleteService('VIDEO');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Выполните скрипт 2

Код:

begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[IntGirl]

С карантином кажется сделала что то не то ((( И сформировала не верно... а остальное сделала как написано Вот новые логи

[V_Bond]

авз -Мастер поиска и устранения проблем - выбрать все - устранить ...
пофиксите ...

Код:

O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - S-1-5-19 Startup: winhelp32.bkp (User 'LOCAL SERVICE')
O4 - S-1-5-19 User Startup: winhelp32.bkp (User 'LOCAL SERVICE')
O4 - S-1-5-20 Startup: winhelp32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-20 User Startup: winhelp32.bkp (User 'NETWORK SERVICE')
O4 - S-1-5-18 Startup: winhelp32.bkp (User 'SYSTEM')
O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM')
O4 - .DEFAULT Startup: winhelp32.bkp (User 'Default user')
O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user')
O4 - Global Startup: winhelp32.bkp
O20 - AppInit_DLLs: C:\WINDOWS\system32\vmmreg32.dll

віполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[IntGirl]

Новые

[Rene-gad]

В логах ничего подозрительного.
Поставьте Сервис Пак 3. Возможно потребуется активация системы.

[IntGirl]

Зашла в автозагрузку там стоит winhelp32 но галочка снята...возможно это вообще оттуда убрать??

[Rene-gad]

Зашла в автозагрузку там стоит winhelp32 но галочка снята...возможно это вообще оттуда убрать??

Где? В проводнике? В msconfig?

[IntGirl]

msconfig

[Rene-gad]

msconfig

Найдите в проводнике папку автозагрузки, где оно осталось и удалите файл.
Альтернативно: АВЗ/Сервис/Диспетчер автозагрузки.

[IntGirl]

Щас пытаюсь поставить касперского Посреди установки пишет ошибку Не удается подключиться по сети к %ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка

[Rene-gad]

Щас пытаюсь поставить касперского Посреди установки пишет ошибку Не удается подключиться по сети к %ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка

А Вы удаленную установку делаете?

[IntGirl]

Нет Сижу за этим компом.

[Rene-gad]

Проверьте реестр этим: http://www.glarysoft.com/rr.html
Если не поможет - обратитесь в техподдержку ЛК или форум.

[IntGirl]

Спасибо большое ))))

Добавлено через 55 минут

и с касперским проблема решилась. Там параметр один в реестре был не верный. Спасибо за скорую помощь

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\2\\videobkp - Rootkit.Win32.Agent.cbs (DrWEB: Trojan.NtRootKit.138
  2. \\2\\videosys - Rootkit.Win32.Agent.cbs (DrWEB: Trojan.NtRootKit.138
  3. \\2\\vmmreg - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
  4. \\2\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)
  5. \\2\\webminwinhelp32 - Trojan-PSW.Win32.Agent.kln (DrWEB: Trojan.MulDrop.18333)
  6. \\2\\winhelp - Trojan-PSW.Win32.Agent.kln (DrWEB: Trojan.MulDrop.18333)
  7. \\2\\winhelp32.exe - Trojan-PSW.Win32.Agent.kln (DrWEB: Trojan.MulDrop.18333)
  8. \\2\\wnmreg32bkp - Trojan-PSW.Win32.Agent.kkq (DrWEB: Trojan.Siggen.172)