Показано с 1 по 11 из 11.

Прошу помочь с winhelp32.exe (заявка № 30832)

  1. #1
    Junior Member Репутация
    Регистрация
    12.05.2008
    Сообщений
    12
    Вес репутации
    39

    Прошу помочь с winhelp32.exe

    Заметил что AVZ ругается на winhelp32.exe и ещё какую-то дрянь. Если есть время - прошу помочь очистить систему. Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe 
    C:\WINDOWS\System32\Drivers\Gdp45.sys
    C:\WINDOWS\system32\Drivers\Syd68.sys
    Скопированные с помощью IceSword файлы сохраните в карантине .
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт 1
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\winhelp32.exe');
     DeleteService('VIDEO');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     QuarantineFile('WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Syd68.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Gdp45.sys','');
     DeleteService('Gdp45');
     DeleteFile('WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Syd68.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Gdp45.sys');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('VIDEO');
    BC_DeleteSvc('Gdp45');
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    12.05.2008
    Сообщений
    12
    Вес репутации
    39
    Всё сделал как написали. После перезагрузки - заставка синий экран. Дважды появился запрос на выбор программы для открытий файла winhelp32.bkp (точно расширение не помню, но сделал скриншот). Сделал логи. Карантин отправил. Только не знаю как правильно нужно было в IceSword работать с Кодом, который вы прислали. Просто по пути искал файлы и найденные складывал в отдельную папку с именем файла и расширением через "-".
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    -Пофиксите
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - Startup: winhelp32.bkp
    O4 - User Startup: winhelp32.bkp
    O4 - Global Startup: winhelp32.bkp
    O4 - Global User Startup: winhelp32.bkp
    O20 - AppInit_DLLs: C:\WINDOWS\SYSTEM32\vmmreg32.dll
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
    Файлики пришлите, плиз, как тут написано: http://virusinfo.info/showthread.php?t=4567
    Логи по п.2 и 3 Диагностики повторите.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    974
    Выполните скрипт @ avz:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Downloads\Living_Dolphins_3D\Living Dolphins 3D\Crack\Living_Dolphins_3D_Screensaver.scr','');
     QuarantineFile('C:\PROGRA~1\PHOTOF~1\Manager\CONTEX~1.DLL','');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\stremu.sys','');
     QuarantineFile('C:\Documents and Settings\Admin\ie_updates3r.exe','');
     DeleteFile('C:\Documents and Settings\Admin\ie_updates3r.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Google Online Services');
    executerepair(6);
    executerepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте повторные логи по правилам.
    Закачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=30832

  7. #6
    Junior Member Репутация
    Регистрация
    12.05.2008
    Сообщений
    12
    Вес репутации
    39
    К сожалению должен уходить уже. Завтра обязательно сделаю диагностику. А те файлы, что IceSword-ом должен был "убить" после копировани - я их убил. Как с ними быть?
    p.S. Те, что IceSword-ом скопировал с измененными расширениями - остались.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Цитата Сообщение от numlock2 Посмотреть сообщение
    Те, что IceSword-ом скопировал с измененными расширениями - остались.
    Прочитайте вслух в моем предыдущем сообщении первую строчку под кодом

  9. #8
    Junior Member Репутация
    Регистрация
    12.05.2008
    Сообщений
    12
    Вес репутации
    39
    Доброе утро! Вроде всё сделал как написали. Пофиксил, выполнил скрипт, выслал карантин. Логи прилагаю.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,106
    Вес репутации
    3004
    Ничего плохого не видно.
    Сервис Пак 3 нужно поставить, возможно потребуется активация системы.

  11. #10
    Junior Member Репутация
    Регистрация
    12.05.2008
    Сообщений
    12
    Вес репутации
    39
    Спасибо всем кто помог. Вроде всё нормуль!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 36
    • В ходе лечения обнаружены вредоносные программы:
      1. \\gdp45-sys - Rootkit.Win32.Agent.atp (DrWEB: BackDoor.Bulknet.217)
      2. \\syd68-sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.207)
      3. \\video-bkp - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
      4. \\video-sys - Trojan-PSW.Win32.Agent.knd (DrWEB: Trojan.Siggen.172)
      5. \\vmmreg32 - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
      6. \\vmmreg32-bkp - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
      7. \\winhelp32 - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)
      8. \\winhelp32-exe - Trojan-PSW.Win32.Agent.knc (DrWEB: Trojan.MulDrop.20735)


  • Уважаемый(ая) numlock2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Прошу помочь
      От Вова Чаюк в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.12.2011, 20:54
    2. Прошу помочь.
      От Александр1079 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.12.2011, 22:03
    3. Прошу помочь!!
      От BopoH666 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.11.2011, 19:46
    4. Прошу помочь
      От saitek в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 09:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01120 seconds with 17 queries