Проблема с winhelp32.exe

Printable View

07.08.2008, 10:28
CyberDyne

Проблема с winhelp32.exe

Имею следующие симптомы:

- из автозапуска удалены некоторые файлы, в частности файл ctfmon.exe и некоторыедругие полезные процессы, в т.ч. антивирус NOD32

- добавить в автозагрузку можно вручную (пользуюсь программой Starter), но после перезагрузки файлов опять не видно.

- в автозагрузку добавляется 7 процессов winhelp32.exe, которые добавляются по-новой каждый раз, когда я их из автозагрузки удаляю. Самое интересно, в самой папке System32 этого файла я не нашёл.
07.08.2008, 10:49
Rene-gad

[B][COLOR="Red"]1. Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
2. Скачайте последнюю версию Hijackthis по ссылке в правилах[/B][/COLOR]

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
[CODE]C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\mrcmgr.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
07.08.2008, 11:13
CyberDyne

[QUOTE]Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
Код:
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
[/QUOTE]Сделано

[QUOTE][B][COLOR=#ff0000]1. Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/COLOR][/B]
[/QUOTE]
Обновил

[QUOTE][B][COLOR=#ff0000]2. Скачайте последнюю версию Hijackthis по ссылке в правилах[/COLOR][/B][/QUOTE]
Сделано

[QUOTE]- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[/QUOTE]
Выдаёт ошибку при выполнение скрипта:
[SIZE=2][I]Ошибка скрипта: Undeclared identifier: 'BC_DeleteService', позиция [16:17][/I]

[/SIZE]
07.08.2008, 11:20
Rene-gad

[QUOTE=CyberDyne;264644]
Выдаёт ошибку при выполнение скрипта[/QUOTE]Спасибо и Извините, моя ошибка, скрипт подправил, выполняйте.
07.08.2008, 11:55
CyberDyne

После перезагрузки выдало сообщение:

[i]Не удалось открыть следующий файл: VIDEO.bkp[/i]

... с предложение выбора программы для открытия этого файла.

Программой Starter обнаружил в автозагрузке 2 новых одинаковых процесса VIDEO.bkp в папке \windows\system32\webmin\VIDEO.bkp

Отсылаю повторно логи.
07.08.2008, 12:06
Rene-gad

[B][COLOR="Red"]
1. Скачайте последнюю версию Hijackthis по ссылке в правилах[/B][/COLOR]

Скачайте [URL="http://virusinfo.info/showthread.php?t=17228"]IceSword [/URL], поищите и удалите через опцию force delete файл:
[CODE]C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
[/CODE]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
07.08.2008, 13:30
CyberDyne

Вложений: 3

Всё сделал. Логи и карантин[I](080807_042734_virus_489ac006937cf.zip)[/I] прикреплены.

Осталась пара вопросов:

- что за вирь такой попался (обычно получалось до этого всё самом удалять) и что он вообще кроме чистки реестра делает?

- Я так понимаю все программы в автозагрузке теперь надо восстанавливать через HiJackThis ??

Большое пребольшое спасибо за помощь и плюсик в репу!:)
07.08.2008, 13:35
Rene-gad

Сколько еще раз можно Вас просить, скачать новую версию Hijackthis?
Скачайте и повторите все логи в последовательности, указанной в правилах.
Почему старые логи удалили?
07.08.2008, 15:22
CyberDyne

[QUOTE]Сколько еще раз можно Вас просить, скачать новую версию Hijackthis?[/QUOTE]
Дык я и скачал по ссылке в правилах. И на обновления проверил, но урл не работает.

[QUOTE]Почему старые логи удалили? [/QUOTE]
Эммм... моя ошибка.. думал превышу лимит закачки. К тому же на компе сдуру старые логи не сохранил - думал не понадобятся больше... извините...:(
07.08.2008, 16:14
Rene-gad

[QUOTE=CyberDyne;264780]И на обновления проверил, но урл не работает[/QUOTE].
Я же не придумал: [B]Logfile of HijackThis v1.99.1[/B]
Повторите 3 лога , плиз.
22.02.2009, 07:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\video.sys - [B]Rootkit.Win32.Agent.cbs[/B] (DrWEB: Trojan.NtRootKit.1388)[*] c:\\windows\\system32\\vmmreg32.dll - [B]Trojan-PSW.Win32.Agent.kkq[/B] (DrWEB: Trojan.Siggen.172)[*] c:\\windows\\system32\\webmin\\video.bkp - [B]Rootkit.Win32.Agent.cbs[/B] (DrWEB: Trojan.NtRootKit.1388)[*] c:\\windows\\system32\\webmin\\vmmreg32.bkp - [B]Trojan-PSW.Win32.Agent.kkq[/B] (DrWEB: Trojan.Siggen.172)[*] c:\\windows\\system32\\webmin\\winhelp32.bkp - [B]Trojan-PSW.Win32.Agent.kkr[/B] (DrWEB: Trojan.MulDrop.18333)[*] c:\\windows\\system32\\webmin\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.kkr[/B] (DrWEB: Trojan.MulDrop.18333)[*] c:\\windows\\system32\\winhelp32.exe - [B]Trojan-PSW.Win32.Agent.kkr[/B] (DrWEB: Trojan.MulDrop.18333)[/LIST][/LIST]