vmmreg32.dll и Winhelp32.exe
Проблема следующая. Заблокирован реестр, точнее та ветка, которая отвечает за автозапуск, что делает невозможным установку антивирусного ПО. Для проверки использовал Kaspersky virus removal tool.
Он обнаружил 7 угроз Hidden Object, но не вылечил их. Ссылается на файлы vmmreg32.dll, Winhelp32.exe и video.sys. Ссылки на эти же файлы есть в автозапуске, при чем удалить их оттуда нельзя, пишет, что нет доступа.
Направляю логи. Заранее благодарю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вы 6 лет в командировке на Марсе провели и о Сервис Паках и патчах ничего не слышали
Сервис Пак 3 вышел 2 месяца назадPlatform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing) O4 - HKLM\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServices: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\RunServicesOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKCU\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKCU\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe O4 - HKUS\S-1-5-18\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Windows help service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user') O4 - S-1-5-18 User Startup: VIDEO.bkp (User 'SYSTEM') O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM') O4 - S-1-5-18 User Startup: winhelp32.bkp (User 'SYSTEM') O4 - S-1-5-18 User Startup: winhelp32.exe (User 'SYSTEM') O4 - .DEFAULT User Startup: VIDEO.bkp (User 'Default user') O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user') O4 - .DEFAULT User Startup: winhelp32.bkp (User 'Default user') O4 - .DEFAULT User Startup: winhelp32.exe (User 'Default user') O4 - Startup: VIDEO.bkp O4 - Startup: vmmreg32.bkp O4 - Startup: winhelp32.bkp O4 - Startup: winhelp32.exe O4 - User Startup: VIDEO.bkp O4 - User Startup: vmmreg32.bkp O4 - User Startup: winhelp32.bkp O4 - User Startup: winhelp32.exe O4 - Global Startup: VIDEO.bkp O4 - Global Startup: vmmreg32.bkp O4 - Global Startup: winhelp32.bkp O4 - Global Startup: winhelp32.exe O4 - Global User Startup: VIDEO.bkp O4 - Global User Startup: vmmreg32.bkp O4 - Global User Startup: winhelp32.bkp O4 - Global User Startup: winhelp32.exe O20 - AppInit_DLLs: vmmreg32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\winhelp32.exe'); DeleteService('S3chipid'); DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}'); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\{2B43252C-A1E3-4C47-927C-9F2C276D3515}\S3chipid.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Уважаемый(ая) MOiN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
