winhelp32.exe в автозагрузке... логи+

[SHER]

перепробовала уже все из способов, которые тут описаны.. ничего не помогает, остался только один выход.. но я надеюсь на вашу помощь.. интернет работает еле-еле.. на машине чехарда.. антивирусник не активен.. жуть..

логи:
http://narod.ru/disk/1993687000/hija...%206).log.html
http://narod.ru/disk/1993688000/viru...%205).zip.html
http://narod.ru/disk/1993689000/viru...%206).zip.html

помогите пожалуйста хоть чем-нибудь..

Сейчас на машине стоит Avira Antinvir Personal и Fd-Aware.
В автозагрузке постоянно прописывается этот файл и не один он. Из реестра удаляется и опять там появляется..
Все утилиты в один голос говорят, что вируса нет...

[kps]

AVZ => Файл => Мастер поиска и устранения проблем, найдите и устраните проблему "Некорректный элемент автозапуска".

Потом выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи. Их лучше к Вашему сообщению прикрепить, чем выкладывать на файлообменник.

[SHER]

сейчас сделаю,
к сожалению не могу прикреплять здесь файлы, у меня пишет ошибку в недостаточности прав... поэтому и выкладываю в файлообменник..

Добавлено через 31 минуту

http://narod.ru/disk/1994651000/hija...%207).log.html
http://narod.ru/disk/1994652000/viru...%206).zip.html
http://narod.ru/disk/1994653000/viru...%207).zip.html

[kps]

Проблему с некорректным элементом автозапуска исправляли?
Исправьте, потом пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe

Сделайте новые логи.

[SHER]

вот новые логи
http://narod.ru/disk/1995120000/viru...%207).zip.html
http://narod.ru/disk/1995121000/viru...%208).zip.html
http://narod.ru/disk/1995122000/hija...%208).log.html

но мне кажется что гадость не убита.. сканер от лавасофта показывает изменения реестра сразу после загрузки компьютера...

[SHER]

тут у человечка та же проблема..
Мастер устранения проблем работает странно: сообщает что проблема "Некорректный элемент автозапуска" успешно устранена, но если опять включить поиск проблем, то вновь появляется "Некорректный элемент автозапуска". Так должно быть?

повторяется все один в один.. у меня тоже в AVZ при поиске пишет снова и снова "Некорректный элемент автозапуска", хотия я его исправно удаляю.. даже делаю очистку компьютера через програмку "очистить логи"...

остается.. только формат..
можно еще поглумиться поставить другую ОС поверх, стирая предыдущую, может удалит и этот вирус при переустановке..?

[Rene-gad]

Пуск/Выполнить... набрать msconfig, нажать ВВОД , Автозапуск - Все отключить, Службы - Виндовс-Службы не показывать, остальные - отключить.
Перегрузитесь, сообщение об изменении автозагрузки подтвердите,
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки повторите логи от п. 10 правил.

[SHER]

у меня после отключения всего из автозагрузки и потом перезагрузки, в автозагрузке все выскакивает по новой.. это так и должно быть?
иду делать.

[SHER]

сделала все и новые логи вот:
я пристегнула, может получилось..
а если нет, то файлы есть и тут
http://narod.ru/disk/1995665000/viru...%209).zip.html
http://narod.ru/disk/1995666000/hija...%209).log.html

давайте убьем эту гадость!!!

[Rene-gad]

давайте убьем эту гадость!!!

За что и боремся В логе Хайджека сейчас гадов не видно. А теперь, плиз, повключайте все, что в msconfig поотключали и повторите еще эти последних 2 лога, плиз

[SHER]

конечно
сейчас все сделаю!!!

[SHER]

подключила все что было в автозагрузке и сделала логи:

[Rene-gad]

Похоже, нам удалось снять маскировку.

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\winhelp32.exe

Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteService('VIDEO');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[SHER]

новые логи..

[Rene-gad]

Удалось найто файлы с помощью IceSword а?
-Пофиксите, если получится

Код:

O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe

После перезагрузки - новый лог Хайджека.

[SHER]

все, что нашла с помощью IceSword выслала в карантин.

пофиксила, но похоже гадость умирать никак не хочет..
в автозагрузке по-прежнему висит winhelp32.exe

Посмотрела реестр, в нем
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunServicesOnce
теперь все чисто, только то, что мне нужно.

А вот в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServicesOnce
Windows Help Service C:\WINDOWS\SYSTEM32\winhelp32.exe
этот проклятущий автозапуск прописан, мало того, если удалить его отсюда, он через секунду появляется опять на старом месте...

так и должно быть или гадость еще пытается брыкаться?
Но теперь радует: появление языковой панели и даже работает сканер от антивируса, значок сети появился

[kps]

Прикрепите пожалуйста новый лог AVZ.

[SHER]

лог

[kps]

По-моему только запись в реестре осталась... Посмотрите в IceSword в меню File, присутсвуют ли на диске файлы, перечисленные в рамочке в посте номер 13?

Выполните скрипт в AVZ:

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
ExecuteSysClean;
RebootWindows(false);
end.

После перезагрузки сделайте новые логи (3 лога) по правилам.

[SHER]

C:\WINDOWS\SYSTEM32\winhlp32.exe
у меня вот это есть..
вирус не мог изменить имя?
остальное сейчас гляну, юольше ничего, пошла делать скрипт