Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Здравствуйте ! Помогите пожалуйста с удалением wimhelp32.exe.

Заблокирована ветка реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run - в ней находится только указанный файл.

Антивирусное ПО не утанавливается, при установке выдает сообщение, что нет доступа к данной ветке реестра.

RSIT при сканировании выдает ошибку: Line -1:

Error: Subscript used with non-Array variable.

Заранее благодарен !

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

nsv: Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Внимание, скрипт также удаляет службу Reset 5 , поэтому есть вероятность, что может потребоваться активация ОС после перезагрузки (хотя Reset 5 должен работать на Windows XP SP2)

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearHostsFile;ClearQuarantine;QuarantineFile('F:\WINDOWS\system32\fsxipozm.dll','');QuarantineFile('F:\WINDOWS\system32\twex.exe','');QuarantineFile('F:\Program Files\Microsoft Common\svchost.exe','');QuarantineFile('F:\WINDOWS\SYSTEM32\VIDEO.sys','');QuarantineFile('F:\WINDOWS\system32\srvany.exe','');QuarantineFile('F:\WINDOWS\SYSTEM32\winhelp32.exe','');QuarantineFile('F:\WINDOWS\SYSTEM32\vmmreg32.dll','');QuarantineFile('F:\WINDOWS\System32\drivers\runtime.sys','');QuarantineFile('F:\WINDOWS\system32\drivers\sfc.sys','');QuarantineFile('F:\Documents and Settings\All Users\Application Data\tsolib.dll','');DeleteFile('F:\Documents and Settings\All Users\Application Data\tsolib.dll');DeleteFile('F:\WINDOWS\system32\drivers\sfc.sys');DeleteFile('F:\WINDOWS\System32\drivers\runtime.sys');DeleteFile('F:\WINDOWS\system32\twex.exe');DeleteFile('F:\WINDOWS\SYSTEM32\vmmreg32.dll');DeleteFile('F:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('F:\WINDOWS\system32\srvany.exe');DeleteFile('F:\WINDOWS\SYSTEM32\VIDEO.sys');DeleteFile('F:\Program Files\Microsoft Common\svchost.exe');DeleteFile('F:\WINDOWS\system32\fsxipozm.dll');DeleteFile('G:\jgsi.exe');DeleteFile('G:\u.bat');DeleteFileMask('F:\WINDOWS\system32\', '*.tmp', true);DeleteFileMask('F:\WINDOWS\', '*.tmp', true);DeleteFileMask('F:\Documents and Settings\nsv\Local Settings\Temp\', '*.*', true);DeleteFileMask('F:\WINDOWS\system32\wsnpoem\', '*.*', true);DeleteDirectory('F:\WINDOWS\system32\wsnpoem');DeleteFileMask('%Tmp%', '*.*', true);DelCLSID('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD');DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');DeleteService('Reset 5');DeleteService('VIDEO');DeleteService('runtime');DeleteService('sfc');ExecuteRepair(1);ExecuteRepair(9);ExecuteWizard('TSW', 1, 1, true);ExecuteWizard('BT', 1, 1, true);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_DeleteFile('F:\WINDOWS\SYSTEM32\VIDEO.sys');BC_DeleteFile('F:\WINDOWS\SYSTEM32\vmmreg32.dll');BC_DeleteFile('F:\WINDOWS\SYSTEM32\winhelp32.exe');BC_DeleteFile('F:\WINDOWS\system32\fsxipozm.dll');BC_DeleteSvc('VIDEO');BC_DeleteSvc('runtime');BC_DeleteSvc('sfc');BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin	CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему

Включите показ скрытых файлов и файлы из папки F:\WINDOWS\system32\twain32 проверьте на virustotal.com

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Проверьте систему с помощью CureIT и AVPTool в безопасном режиме.

Если безопасный режим не будет работать, AVZ-восстановление системы - п.10

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Edited by Pili
Link to comment
Share on other sites

После выполнения скрипта winhelp32.exe в реестре больше нет. Спасибо !

Но по-прежнему нет доступа к реестру...

ServicePack3 не устанавливается... Выдает ошибку "Отказано в доступе".

Отправляю новые логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Link to comment
Share on other sites

Здравствуйте. После выполнения Malwarebytes' Anti-Malware и SDFix система работала нормально. Установился ServicePack3 и Symantec Antivirus.

Но через некоторое время опять появился Winhelp32.exe. После повторного запуска SDFix, Malwarebytes' Anti-Malware, ComboFix и Gmer winhelp32.exe нет, доступ к веткам реестра имеется... Боюсь что до конца не вылечил. Прикладываю логи всех утилит. Заранее благодарен за помощь !

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.zip

info.txt

log.txt

mbam_log_2009_02_26__11_50_32_.zip

Report.zip

Gmer.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.zip

info.txt

log.txt

mbam_log_2009_02_26__11_50_32_.zip

Report.zip

Gmer.zip

Link to comment
Share on other sites

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');QuarantineFile('F:\WINDOWS\system32\vmmreg32.dll','');QuarantineFile('F:\WINDOWS\SYSTEM32\winhelp32.exe','');DeleteFile('F:\WINDOWS\SYSTEM32\winhelp32.exe');DeleteFile('F:\WINDOWS\system32\vmmreg32.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи АВЗ.

Link to comment
Share on other sites

Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Это сделали?

f:\windows\system32\nsv.bat - это у вас что?

f:\program files\german.dll - проверьте на virustotal.com

reset5 (службу и f:\windows\system32\reset5.dll)- удалите,

Пофиксите в HJT

O20 - Winlogon Notify: reset5 - F:\WINDOWS\SYSTEM32\reset5.dll

FlashGet рекомендую деинсталлировать.

У вас ещё kido, проверьте систему с помощью AVPTool и KidoKiller, установите все обновления.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::f:\windows\system32\xf:\windows\system32\drivers\_003869_.tmp.dllf:\windows\system32\drivers\_005967_.tmp.dllG:\u.batDriver::ydzowyackqmfgbwRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d102c3e0-8ebf-11dd-b661-0080484589a3}]FileLook::f:\program files\german.dll DirLook::f:\windows\system32\nsv.bat

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению, сделайте также новые логи RSIT.

Link to comment
Share on other sites

nsv: ничего плохого больше не вижу (только остатки от reset5 есть f:\windows\reset5.dt?). Сомневаюсь, что за это время вы успели проверить систему с помощью AVPTool, поэтому ещё раз рекомендую.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru

Вложите в архив также файл C:\SDFix\backups\backups.zip

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите CleanUp!

Создайте новую контрольную точку восстановления и очистите предыдущие:

- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Советую прочитать

Безопасный Интернет. Универсальная защита для Windows ME - Vista,

Базовая концепция системы безопасности ОС Windows семейства NT

Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...