winhelp32.exe - не могу удалить из Windows 2003 Server

**russian_watson** · 30.10.2008, 11:06

Добрый день!
Окажите пожалуйста содействие (помощь) в удалении зловредных файлов с машины с ОС Microsoft Windows 2003 Server. Файлы пытался в безопасном режиме удалять с помощью CureIt! - пишет что удалено, но после перезагрузки все восстанавливается. Нашел в C:\Windows\System32 папку с бэкапами вредоносных файлов. Имя папки - Webmin. Внутри файлы с расширением *.bkp. Файлы не удаляются ни в обычном, не в безопасном режиме. Также были обнаружены ветки реестра, в которых содержались ссылки на вызывающие подозрение файлы - ветки тоже не удаляются! Еще раз напоминаю, что действие происходит на системе с серверной ОС - Windows 2003 Server.
Даю перечень файлов в папке C:\Windows\System32\Webmin: VIDEO.bkp, vmmreg32.bkp, winhelp32.bkp.
Даю перечень файлов в папке C:\Windows\System32, которые вызывают у меня подозрение: ieupdts.zip, clrs.tmp, VIDEO.sys, winhelp32.exe, vmmreg32.dll

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 30.10.2008, 12:25

скачайте
найдите и удалите -force delete
выполните скрипт

Код:

c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\VIDEO.sys

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('sys32.dll','');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 TerminateProcessByName('c:\windows\system32\winhelp32.exe');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('sys32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**russian_watson** · 31.10.2008, 09:59

Все удалилось, бэкап ручками потер. Скажите, в реестре искать все упоминания удаленных файлов? Спасибо за помощь!

**Гриша** · 31.10.2008, 10:52

Пофиксить

Код:

O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O20 - AppInit_DLLs: vmmreg32.dll
O20 - Winlogon Notify: sys32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteService('VIDEO');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');    
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи...