Показано с 1 по 13 из 13.

Winhelp32.exe и т.п. (заявка № 32554)

  1. #1
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    22
    Вес репутации
    35

    Thumbs up Winhelp32.exe и т.п.

    Здравствуйте!
    Увы, по правилам все сделать полностью не удалось. После инфицирования возникли файлы winhelp32.exe, vmmreg32.dll, video.sys в системном каталоге, которые удалить не удалось. После перезагрузки компьютер не загружается: через несколько секунд после загрузки рабочего стола комп сам собой перезагружается снова. Включается только в safe mode, поэтому пришлось все логи делать там. Надеюсь, что и с этим можно что-то посоветовать, тем более, что, как я понял, это уже далеко не первый случай подобного вируса, который тут разбирается.

    P.S.
    Из карантина что-либо прислать?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    скачайте найдите и удалите следующие файлы (force delete)
    Код:
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe','');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     DeleteService('kprof');
     QuarantineFile('C:\WINDOWS\System32\kprof','');
     DeleteService('VIDEO');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\System32\kprof');
     DeleteFile('C:\WINDOWS\System32\poof');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    многовато!!! Думаю, за раз не справимся.

    Выполнить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\System32\kprof','');
     DeleteService('kprof');
     QuarantineFile('C:\WINDOWS\System32\poof','');
     DeleteService('poof');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\drvmcdb.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sscdbhk5.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ssrtln.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     DeleteService('VIDEO');
     SetServiceStart('VIDEO', 4);
     SetServiceStart('Beep', 4);
     DeleteService('Beep');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\System32\poof');
     DeleteFile('C:\WINDOWS\System32\kprof');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\browsers.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать весь карантин по ссылке вверху темы.

    Сделать новые логи с флешкой, которой пользуетесь.

    Сменить пароли к онлайн-играм.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    22
    Вес репутации
    35
    Спасибо!
    Я скачал icesword, но в безопасном режиме он не запускался (ошибка такая: open device failed, error code 1073741762).
    Выполнил скрипт, предложенный Павлом.
    После перезагрузки комп начал загружаться и не выключаться в обычном режиме. Запустил icesword, удалил только winhelp32.exe, остальных не было в наличии.
    Пропала вся автозагрузка, судя по всему: антивирус, файрвол, программа сканера при загрузке не загружаются. Установки мышки (touchpad) слетели и все в таком духе по мелочи.
    Интернет подключился.
    Ноут несколько раз вис неожиданно, видимо, занимался своими делами.
    Все логи и карантин прикрепляю.
    Я так понимаю, что с этим надо еще работать...
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Отключите восстановление системы! См. Приложение 1 Правил.
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     BC_DeleteSvc('VIDEO');
     SysCleanAddFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     SysCleanAddFile('vmmreg32.dll');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

    PS Пора уже Service Pack 3 на Windows устанавливать (может потребоваться активация).

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Beep.sys - Backdoor.Win32.UltimateDefender.a,
    browsers.exe_ - Trojan-Dropper.Win32.Agent.ygt,
    VIDEO.sys - Trojan-PSW.Win32.Agent.lal,
    vmmreg32.dll - Trojan.Win32.BHO.hhm

    winhelp32.exe_ - Trojan.Win32.Agent.ajnh (свежий)

    Trojan-PSW.Win32.Agent.lal - вот этот мог упереть пароли. Так что их лучше поменять.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    22
    Вес репутации
    35
    Спасибо!
    Сразу после выполнения скрипта слетели настройки тачпада, языковая панель. ПОсле перезагружки вроде видимых проблем не наблюдаю. Лог из п. 2 прилагаю.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('VIDEO');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    22
    Вес репутации
    35
    Скрипт выполнен. Логи прилагаю.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    В логах чисто.

  12. #11
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    22
    Вес репутации
    35
    Спасибо.
    Остался вот какой вопрос (если это, конечно, имеет отноешние к последствиям сиутации).
    Осталась проблема с тем, что пропало в ходе излечения. АНтивирус и файрвол при загрузке теперь не загружаются автоматически, хотя в настройках run on startup им ставлю. Настройки тачпада слетают при каждой перезагрузке (я отключаю tapping). Это какими-то глобальными вещами корректируется? Или только переустановкой всего этого в отдельности?

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Переустановите софт...

  14. #13
    Junior Member Репутация
    Регистрация
    21.06.2007
    Сообщений
    22
    Вес репутации
    35
    Этим и займусь.

  • Уважаемый(ая) IIM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. winhelp32
      От Игорь в разделе Помогите!
      Ответов: 43
      Последнее сообщение: 22.02.2009, 07:43
    2. WINHELP32!!
      От IntGirl в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:37
    3. winhelp32
      От IntGirl в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:30
    4. Winhelp32.exe
      От Aleks121 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:08
    5. winhelp32.exe
      От sasha_permyak в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 06.10.2008, 15:25

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00615 seconds with 23 queries