winhelp32.exe и компания

[lastochka]

Компьютер чужой, принесен на излечение
К интернету не подключала (нет возможности подключить данный компьютер), провела лечение предлагаемыми утилитами. Основные симптомы в виде жутких тормозов и 100%-ной загрузки процессора исчезли, но из реестра ссылки на winhelp32 не удаляются. Прошу помощи

ЗЫ - AVZ не запускался даже после переименования, заработал только после доп.лечения. Переименовала обратно в avz.exe, но вроде бы он не так назывался сначала...?

[Гриша]

Отключите:
- ПК от интернета/локалки
- Антивирус и Файрволл.
- Системное восстановление.

Скачать,меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\kongxsg.exe','');
 QuarantineFile('C:\autorun.inf','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 DeleteService('Fpd74');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fpd74.sys','');
 DeleteService('VIDEO');
 DeleteService('wscsvcEventlog');
 DeleteService('TermServiceose');
 DeleteService('SSDPSRVxmlprovEventSystem');
 DeleteService('SENSNetman');
 DeleteService('SCardSvrTlntSvr');
 DeleteService('SCardSvrSENS');
 DeleteService('SCardSvrSCardSvrSENS');
 DeleteService('RpcSsERSvc');
 DeleteService('RpcLocatorProtectedStoragelanmanserver');
 DeleteService('RpcLocatorProtectedStorage');
 DeleteService('RasManVSS');
 DeleteService('NetDDEMSDTCwuauserv');
 DeleteService('NetDDEMSDTC');
 DeleteService('NetDDEdsdmUPS');
 DeleteService('NetDDEdsdmSENSNetman');
 DeleteService('MessengerCiSvc');
 DeleteService('lanmanworkstationwuauserv');
 DeleteService('EventlogRpcLocatorProtectedStorage');
 DeleteService('ALGhelpsvc');
 DeleteService('AlerterAlerter');
 QuarantineFile('srv.exe','');
 QuarantineFile('\??\C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('\??\C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fpd74.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\kongxsg.exe');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportALL;  
ExecuteSysClean;
BC_DeleteSvc('VIDEO');    
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[lastochka]

Сделано...

[Bratez]

Пофиксите в HijackThis:

Код:

O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: avicore - avicore.dll (file missing)

Перезагрузите компьютер, обновите базы AVZ и сделайте логи заново.

[lastochka]

Сделала...

[Rene-gad]

обновите базы AVZ

Для кого было написано?

[lastochka]

Для кого было написано?

У меня этот компьютер не подключен к сети. Я скачала и перенесла на него новую версию AVZ в надежде, что там уже обновленные базы Не нашла, как скачать просто базу...

[Rene-gad]

Не нашла, как скачать просто базу...

Так скажите- зачем же халтуру делать?
Скачайте тут: http://z-oleg.com/secur/avz_up/avzbase.zip и распакуйте содержимое в папку ..\avz\base\
Повторите логи.

[lastochka]

Так скажите- зачем же халтуру делать?

Сорри за недопонимание. Я действительно искренне считала, что в дистрибутиве на сайте разработчика всегда лежит новая база
К слову сказать - очень вовремя скачала обновление - обнаружилась пара зараз, которые, правда, легко удалились вручную.

Логи сделаны, очень-очень-очень надеюсь, что не предстоит провести очередное сканирование. На сборы логов уходит около полутора часов каждый раз - вот уж воистину... благими намерениями... проще было бы все отформатировать и переустановить... Но полученный опыт бесценен

[Rene-gad]

Посмотрите, что Вы закачали - 2 пустых архива + нечитаемое в логе Хайджека

Добавлено через 1 минуту

Я действительно искренне считала, что в дистрибутиве на сайте разработчика всегда лежит новая база

Прочитайте п. 3 раздела правил Подготовка

[lastochka]

Нет слов - одни эмоции... Да чтоб я... да еще раз... да по чьей-нибудь просьбе... !!! Этот процесс может длиться вечно - за сутки общения с этим компьютером у меня уже несколько раз было желание выкинуть его в окно Я уж молчу про убитую флешку...

[Rene-gad]

Нет слов - одни эмоции... .

В редакторе реестра

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Значение ключей

Код:

Run 
Load

обнулить
Больше ничего плохого не видно.
Сервис Пак 3 нужно поставить, возможно потребуется активация системы.

[lastochka]

Огромное нечеловеческое спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 29
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\services.exe - Trojan.Win32.Agent.yde (DrWEB: Trojan.Packed.573)
  2. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.klo (DrWEB: Trojan.MulDrop.18333)