Показано с 1 по 13 из 13.

И вновь про настырный winhelp32… (заявка № 27882)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35

    Thumbs up И вновь про настырный winhelp32…

    В «Автозагрузке» сидят только два файла winhelp32, при перезагрузке компьютера после их предварительного отключения они возникают вновь, как феникс из пепла.
    На языковой панели не отображается выбранный на данный момент язык (RU/ENGL).
    Internet Explorer временами ведёт себя неадекватно.
    Нет возможности корректно установить NOD32 После проверки DrWeb в протоколе из 21 записи в 15 так или иначе присутствует winhelp32. Ему сопутствуют такие бяки как (дословно) «Trojan.NtRootKit.1388» и «Возможно, MULDROP.Trojan».
    Won't you please, please help me? Help me, Help me, Ooooooo.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 11.08.2008 в 14:39. Причина: формат шрифта

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте
    найдите и удалите правой кнопкой - force delete
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\system32\winhelp32.exe
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    C:\WINDOWS\SYSTEM32\winhelp32.exe

    авз - мастер поиска и устранения проблем - выбрать все устранить ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\services.exe','');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     DeleteService('dac970nt');
     QuarantineFile('C:\WINDOWS\system32\drivers\uieprn.sys','');
     DeleteService('VIDEO');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\uieprn.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35
    После выполнения пункта "Скачайте" попытка установить полученное из "Скачайте" завершилось появлением сообщения следующего содержания :

    HKLM\Software\microsoft\Windows\CurrentVersion\Run
    RegSetValueEx : сбой; код 5
    Отказано в доступе.

    Что мне делать дальше?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    затем попробуйте запустить icesword

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35
    IceSword скачал с этого гуманного сайта. Но пока не воспользовался.
    В AVZ запостил указанный скрипт, после нажатия "Запустить" вылезло сообщение следующего содержания :

    Ошибка : '.' expected в позиции 6:1.

    К прочему веселью перестало получаться выходить во всемирную паутину .
    В данный момент выход в сеть с рабочего компа (есть возможность выполнения ряда предписаний на больной машине, диктуя Ваши рекомендации по телефону или посредством СМС), припасть к домашней клаве удастся после 19.00...

    Если не получится прорваться из дома, какие шаги ещё можно предпринять за вечер в отсутствие инета для дальнейшего продвижения к победе над коварным winhelp32 ?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Выполните все рекомендации из поста номер 2. В скрипте ошибок нет. Рекомендации нужно выполнять, ничего не пропуская, по очереди. Сначала удаление IceSword указанных файлов, потом исправление проблем в AVZ-Файл-Мастер поиска и устранения проблем, потом скрипт, потом выслать карантин и прикрепить новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35
    К моей радости инет дома фунциклирует .
    Ещё больше обрадовался, что скрипт из поста 4 прошёл .
    Затем с помощью IceSwordа удалил указанные в посте 2 файлы, вставил выложенный там же скрипт в AVZ.
    Вроде всё делал в точности по инструции.
    Теперь высылаю новый набор логов-зипов.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    АВЗ -Мастер поиска и устранения проблем - выбрать все проблемы устранить ...
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteService('VIDEO');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ....

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35
    В Мастере поиска и устранения проблем выбраны и устранены все возможные проблемы. Далее получены следующие зипы-логи :
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    пофиксите ...
    Код:
    O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O20 - AppInit_DLLs: vmmreg32.dll
    hijackthis.log повторите ...

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35
    Профиксил . Высылаю лог.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    больше ничего плохого ....

  14. #13
    Junior Member Репутация
    Регистрация
    10.08.2008
    Адрес
    Санкт-Петербург
    Сообщений
    7
    Вес репутации
    35
    Огромное спасибо!

  • Уважаемый(ая) kalahynec, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вновь и вновь trojan-dropper.win32.autoit.ad
      От prostoaf в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.05.2010, 10:45
    2. Ответов: 11
      Последнее сообщение: 05.09.2009, 07:41
    3. winhelp32.exe
      От alexlin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:50
    4. WINHELP32!!
      От IntGirl в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:37
    5. winhelp32.exe
      От Reanimator177 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 05.08.2008, 17:54

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00520 seconds with 17 queries