Winhelp32.exe, что делать?

Здравствуйте!

Winhelp32.exe висит в автозагрузке и
оттуда не удаляется, остальная автозагрузка
пропала. Симантек ничего не видит.
:huh:

virusinfo_cure.zip из темы уберите.
прикрутите к теме virusinfo_[B]sys[/B]cure.zip

[quote=light59;327092]virusinfo_cure.zip из темы уберите.
прикрутите к теме virusinfo_[B]sys[/B]cure.zip[/quote]

virusinfo_[B]sys[/B]cure.zip в теме есть, а virusinfo_cure.zip не могу
удалить - пишет прав нет...

Оу, извините, ошибся :) сейчас гляну, что там
В "Мой кабинет" зайдите, "Вложения" и смотрите там.

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O20 - AppInit_DLLs: vmmreg32.dll
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\system32\syncmc.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\System32\vmmreg32.dll','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36395"]http://virusinfo.info/upload_virus.php?tid=36395[/URL]
Повторите логи по правилам.

HijackThis какую-то ошибку выдавал...

Еще периодически Интернет Эксплорер выдает ошибку, типа
преложение будет закрыто и т.д.:huh:

[URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html "]Скачайте IceSword[/URL]
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
[code]
C:\WINDOWS\SYSTEM32\[B]VIDEO.sys[/B]
C:\WINDOWS\System32\[B]vmmreg32.dll[/B]
c:\windows\system32\[B]winhelp32.exe[/B]
[/code]
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
И без перезагрузки выполните скрипт в AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи по правилам.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[quote=geo34;327137]Еще периодически Интернет Эксплорер выдает ошибку, типа
преложение будет закрыто и т.д.:huh:[/quote]
Установите [URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL] на Windows (может потребоваться активация). Должно помчоь :)

Спасибо, теперь всё это сделать я смогу только в понедельник. Сервис пак 3 поставить врядли смогу... Хоть у меня права локального администратора, есть еще и общие политики. Есть еще вопрос: если параметры при выходе из сеанса копируются на сервер, может ли быть так, если я удаляю вирус, а он возвращается при загрузке?

[QUOTE=geo34;327211]Хоть у меня права локального администратора, есть еще и общие политики.[/QUOTE]
А что в таком случае делает ваш глобальный администратор?

[quote=pig;327298]А что в таком случае делает ваш глобальный администратор?[/quote]

Он у нас приходящий, а сейчас еще и болеет...

Отправляю..

[URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html "]Скачайте IceSword[/URL]
-Запустите программу.
-Внизу слева выберите меню File.Появится аналог проводника.
-Найдите в нём файл
[code]
C:\WINDOWS\SYSTEM32\[B]VIDEO.sys[/B]
C:\WINDOWS\System32\[B]vmmreg32.dll[/B]
c:\windows\system32\[B]winhelp32.exe[/B]
[/code]
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".

И без перезагрузки

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
StopService('VIDEO');
SetServiceStart('VIDEO', 4);
DeleteService('VIDEO');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторяем логи.

Отправил.

В AVZ
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\WINDOWS\system32\syncmc.sys','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=36395"]http://virusinfo.info/upload_virus.php?tid=36395[/URL]

Отправил

Выполните скрипт[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\syncmc.sys');
DeleteFile('c:\windows\system32\webmin\winhelp32.bkp');
DeleteFile('C:\WINDOWS\System32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('syncmc');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.[/CODE]Повторите логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

syncmc.sys - [B]Trojan-Spy.Win32.Goldun.blq[/B]

Сделал...

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]Повторите логи.

2Aleksandra:
Из лога:
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен

Надо просто повторить логи.

Не понял, что нужно сделать?

Сделайте уже лог virusinfo_[B]sys[/B]cure.zip. Писалось ведь повторите логи по правилам. А вы только пункты 2 и 3 диагностики делаете. А нужно ещё и 1й пункт.

[quote=geo34;327885]Не понял, что нужно сделать?[/quote]
Вам нужно:
1. Перезагрузить компьютер
2. Заново сделать логи согласно правилам
Это требуется, чтобы установленный драйвер AVZPM собрал данные процессе загрузки системы.

Так?

После перезагрузки...

Скачайте [URL="http://rapidshare.com/files/133061044/IceSword122en.zip.html"]IceSword.[/URL] Запустите, слева внизу нажмите File, затем найдите:

[quote]C:\WINDOWS\System32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\VIDEO.sys[/quote]и сделайте им [URL="http://virusinfo.info/showthread.php?t=17228"]Force Delete.[/URL]

1. [COLOR=Red]Отключите восстановление системы и антивирус.[/COLOR]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('\??\C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelWinlogonNotifyByKeyName('syncps');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!

3. [COLOR=Red]Все это прогнать 2 раза![/COLOR]

4. Повторите логи.

О! Вроде из процессов и из автозагрузки
ушло, а файлы все равно остались....

Профиксить:
O20 - AppInit_DLLs: vmmreg32.dll

Добьем:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_DeleteSvc('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Логи повторите.

[quote=PavelA;328060]Профиксить:
O20 - AppInit_DLLs: vmmreg32.dll

Пофиксить не удается пишет - что то типа
error #5 что то там corrupted...

Ничего зловредного в логах нет.

Зловредного нет, но вопрос остался:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Это сами устанавливали?

[quote=PavelA;328067]Зловредного нет, но вопрос остался:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Это сами устанавливали?[/quote]

Вроде нет.

Выполнить:
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(2);
ExecuteRepair(3);
RebootWindows(true);
end.[/CODE]
Сделать лог Хиджака.

Вот.

ничего плохого ...

Автозагрузку видимо придется в ручную восстанавливать?
У меня еще в автозагрузке какая то безымянная программа
висит в ветке HKLM/.../WINDOWS/RUN

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msaf-sg:8080
- если отсюда грузяться скрипты, то зря мы лечили.
Если есть проблема с автозапуском, то через AVZ сохранить весь лог Автозапуска и прислать сюда.

[quote=PavelA;328119]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = msaf-sg:8080
- если отсюда грузяться скрипты, то зря мы лечили.
Если есть проблема с автозапуском, то через AVZ сохранить весь лог Автозапуска и прислать сюда.[/quote]

С автозапуском проблем нет, всё прописал вручную. А этот пункт автозагрузки удалил Тоталом. После перезагрузок ничнго плохого не появляется.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Всем огромное Спасибо, с наступающим Новым Годом! Надеюсь, что ничего больше не появится, буду более внимателен и т.п. :rolleyes:

Рад, что у Вас все вылечилось. ;)

[quote=PavelA;328171]Рад, что у Вас все вылечилось. ;)[/quote]

Спасибо еще раз! :rolleyes:

Как говорится: С Наступающим!!
И чтобы поменьше к нам по таким проблемам заглядывали.
З.Ы. Мы-то добрые, но не всегда хватает времени ласково отвечать.