winhelp32.exe + bootcats.sy+картинка на рабочем столе

[eugene82]

Доброго времени суток , пишу запрос на вашу помощь
началось вроде бы с vwmreg32.bkp , VIDEO.bkp (возможно это и нормальный файл)и winhelp32.bkp ...(в автозагрузке)(адрес расположения в директории виндовс\систем32\webmin) (кстате мне кажется , что я пользуюсь другой директрией в данной версии виндовс ... пользуюсь винхп)удалось их убрать от туда ... но винхелп опять вылазит и вылазит
в автозагрузке висит winhelp32.exe сразу 2 штуки , убираю , появляется опять ..
проактивная защита КИСА ругается на smss.exe что он (пытается внедрить в автозагрузку bootcats.sy)
+ ко всему кис показывает изменение исполняемого файла винхелпа время от времени
+ из автозагрузки выпал кис (вероятно он был от туда удален чуть ранее , но скорее всего именно это стало причиной)

[wise-wistful]

1. Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe

Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\евгений.NAROD-GUBAREV\Local Settings\Temp\STP2.tmp','');
 QuarantineFile('C:\Documents and Settings\евгений.NAROD-GUBAREV\Local Settings\Temp\loader.exe','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\system32\blphcva3j0ea1a.scr','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\blphcva3j0ea1a.scr');
 DeleteFile('C:\Documents and Settings\евгений.NAROD-GUBAREV\Local Settings\Temp\loader.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28755

3.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)

Повторите логи.

[eugene82]

1. Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe

Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\winhelp32.exe
это как ????? это же одна и та же папка , а встречается дважды в назначении на удаление ?

[Bratez]

одна и та же папка , а встречается дважды в назначении на удаление ?

Ну случайно повтор получился - страху нет .

[eugene82]

вроде все сделал , работоспособность нормализуется потихоньку , вот логи , карантин скинул(вроде как) , только не поставил пароль на архив , т.к. нет винзипа(что-то не понял как без него паролировать)

[V_Bond]

ad_aware - деисталировать ...
авз - Мастер поиска и устранения проблем - выбрать все - устранить ...
пофиксите ...

Код:

O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
O20 - AppInit_DLLs: C:\WINDOWS\system32\vmmreg32.dll

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\евгений.NAROD-GUBAREV\Local Settings\Temp\STP2.tmp','');
 DeleteService('VIDEO');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\Documents and Settings\евгений.NAROD-GUBAREV\Local Settings\Temp\STP2.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[eugene82]

Ад-адваре не деинсталируется , при попытке это сделать , он выдает запрос "вы хотите прервать установку" похожий на то , что адваре не был установлен до конца , нажимаю ок , и он говорит , что не может получить доступ к нетворк локатинсу и адрес написан квадратиками (похожими на отсутствия шрифта вывода)

Действия выполнять в описанном выше обьеме ? или что-то изменить ?

[V_Bond]

ничего не менять

[eugene82]

Сорри , что долго не слал логи , необходимость была уехать в командировку ...
надеюсь , что можно "продолжить лечение" ... и что комп не получил что-то еще ..
в приложении запрошенные вами логи

[V_Bond]

в логах ничего зловредного ....

[eugene82]

Благодарю ВСЕХ принявших участие в лечении моего компутера , отдельная благодарность создателям и участникам этого ресурса

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 58
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\евгений.narod-gubarev\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.abrt (DrWEB: Trojan.DownLoad.2077)
  2. c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.kon (DrWEB: Trojan.Click.20003)
  3. c:\\windows\\system32\\vmmreg32.dll - Trojan.Win32.BHO.gcs (DrWEB: Trojan.Click.20003)
  4. c:\\windows\\system32\\webmin\\video.bkp - Trojan-PSW.Win32.Agent.kon (DrWEB: Trojan.Click.20003)
  5. c:\\windows\\system32\\webmin\\vmmreg32.bkp - Trojan.Win32.BHO.gcs (DrWEB: Trojan.Click.20003)
  6. c:\\windows\\system32\\webmin\\winhelp32.bkp - Trojan-PSW.Win32.Agent.knw (DrWEB: Trojan.MulDrop.18472)
  7. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.knw (DrWEB: Trojan.MulDrop.18472)
  8. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.knw (DrWEB: Trojan.MulDrop.18472)