Показано с 1 по 12 из 12.

снова winhelp32.exe (заявка № 27963)

  1. #1
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    5
    Вес репутации
    38

    Exclamation снова winhelp32.exe

    Добрый день!

    Поймал вирус, на компьютере стоял Symantec, он его определил как
    Virus Name: Downloader. Пользователь имел права локального администратора. При более детальном рассмотрении оказался еще инсталированным сервис, который удалил руками из реестра и к сожалению не записал... по памяти служба называлась W...Audio, а файл службы был типа: 2045.exe и DLL, с похожим названием.
    Прочитав на форуме о том как боролись с winhelp32.exe выполнил скрипт:
    moderated:::У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
    За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт!

    Но у меня как был в автозагрузке winhelp32.exe так и остался. При попытке удалить запуск winhelp32.exe из HKLM выдаётся ошибка - "Не удаётся удалить все выделенные параметры".
    Выкладываю логи, как положено и надеюсь на вашу помощь. Заранее, спасибо!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 12.08.2008 в 19:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1504
    скачайте в icesword найти и удалить сл файлы(правой кнопкой) - force delete
    Код:
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    C:\WINDOWS\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    авз - мастер поиска и устранения проблем ... выбрать все устранить
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\services.exe','');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     DeleteService('VIDEO');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\services.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил .....
    повторите логи ....

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Чужие скрипты выполнять нельзя - в правилах об этом написано.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  5. #4
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    5
    Вес репутации
    38
    При проверке icesword файлов:
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    C:\WINDOWS\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    не было.

    Высылаю карантин.

    Как говорил на компьютере стоит Symantec, он стал выдавать следующее:
    Alert: Virus Found
    Virus Name: Trojan Horse
    File: C:\WINDOWS\system32\drivers\vdi3mtk2.sys
    Action: Quarantine
    Computer: OBN-KULIKOVA
    User: obn-kulikova
    Date: 12.08.2008
    Time: 20:52:31
    Severity: Critical
    Source: Symantec AntiVirus Corporate Edition

    и еще:

    Alert: Risk Repair Failed
    Computer: OBN-KULIKOVA
    Date: 12.08.2008
    Time: 20:52:31
    Severity: Critical
    Source: Symantec AntiVirus Corporate Edition Risk Name:
    Requested Action: Clean
    File Path: vdi3mtk2

    но этого файла я не нашел... так же ни чего не нашел и в Интернете про этот файл...
    Последний раз редактировалось kps; 12.08.2008 в 20:10. Причина: Удалил карантин

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Карантин сюда нельзя прикреплять. Читайте приложение 3 правил.

    По поводу Симантека - это его ложное срабатывание на хороший драйвер AVZ. И они его до сих пор не исправили. Отошлите им этот файл через встроенную функцию с пометкой "false alarm". Может быть, исправят.

    Антивирус перед выполнением скрипта нужно отключать.
    Не видно новых логов.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    5
    Вес репутации
    38
    Прошу прощения за ряд ошибок, наверное тороплюсь... хотя не стоит.
    Карантин выслал. Вот новые логи.
    Вложения Вложения

  8. #7
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключитесь от интернета, отключите все программы защиты.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportAll;
    BC_DeleteSvc('VIDEO');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    В АВЗ файл--Мастер поиска и устранения проблем решите это
    >> Некорректный элемент автозапуска
    Повторите логи.

  9. #8
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    5
    Вес репутации
    38
    С запозданием высылаю логи.

    P.S. Судя по форуму winhelp в послднее время многих достал...
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Цитата Сообщение от Igor_K_76 Посмотреть сообщение
    P.S. Судя по форуму winhelp в послднее время многих достал...
    Это правда.

    Пофиксите в HijackThis:
    Код:
    O20 - AppInit_DLLs: vmmreg32.dll
    Этот зловред прописывает свою папку webmin как папку автозапуска.
    Чтобы это исправить, зайдите в regedit,
    откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders
    и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".

    Потом зайдите в ключ реестра
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders
    измените значение параметра "Startup" на стандартное "%USERPROFILE%\Главное меню\Программы\Автозагрузка"

    Перезагрузите компьютер, удалите папку webmin, которая находится в C:\WINDOWS\SYSTEM32\
    Сделайте новый лог HijackThis.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  11. #10
    Junior Member Репутация
    Регистрация
    12.08.2008
    Сообщений
    5
    Вес репутации
    38
    Вот лог, похоже все нормально.
    Мне еще не приходилось с таким пакостным вирусом встречаться...
    Спасибо за квалифицированную помощь.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1283
    Пофиксите в HijackThis:
    Код:
    O4 - Global Startup: AutorunsDisabled
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки зайдите в regedit, откройте
    HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg
    найдите там ключ, относящийся к winhelp32.exe, что-то типа Windows help service и удалите его, если он будет.

    Сделайте новые логи, начиная с пункта 10 правил.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\services.exe - Backdoor.Win32.Agent.oxi (DrWEB: Trojan.Packed.573)


  • Уважаемый(ая) Igor_K_76, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 05.02.2010, 18:18
    2. winhelp32.exe
      От saym101 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 09:36
    3. И снова Winhelp32.exe
      От Cathartes в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 07:01
    4. Снова Winhelp32...
      От Glotik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 21.08.2008, 14:44
    5. Ответов: 10
      Последнее сообщение: 17.08.2007, 10:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00447 seconds with 17 queries