Winhelp32.exe, что делать?

[light59]

Сделайте уже лог virusinfo_syscure.zip. Писалось ведь повторите логи по правилам. А вы только пункты 2 и 3 диагностики делаете. А нужно ещё и 1й пункт.

[Зайцев Олег]

Не понял, что нужно сделать?

Вам нужно:
1. Перезагрузить компьютер
2. Заново сделать логи согласно правилам
Это требуется, чтобы установленный драйвер AVZPM собрал данные процессе загрузки системы.

[geo34]

Так?

[geo34]

После перезагрузки...

[Aleksandra]

Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:

C:\WINDOWS\System32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\VIDEO.sys

и сделайте им Force Delete.

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('VIDEO');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\System32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('\??\C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DelWinlogonNotifyByKeyName('syncps');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('VIDEO');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Все это прогнать 2 раза!

4. Повторите логи.

[geo34]

О! Вроде из процессов и из автозагрузки
ушло, а файлы все равно остались....

[PavelA]

Профиксить:
O20 - AppInit_DLLs: vmmreg32.dll

Добьем:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 BC_DeleteSvc('VIDEO');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Логи повторите.

[geo34]

[quote=PavelA;328060]Профиксить:
O20 - AppInit_DLLs: vmmreg32.dll

Пофиксить не удается пишет - что то типа
error #5 что то там corrupted...

[Aleksandra]

Ничего зловредного в логах нет.

[PavelA]

Зловредного нет, но вопрос остался:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Это сами устанавливали?

[geo34]

Зловредного нет, но вопрос остался:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Это сами устанавливали?

Вроде нет.

[PavelA]

Выполнить:

Код:

begin
 ExecuteRepair(6);
  ExecuteRepair(2);
   ExecuteRepair(3);      
 RebootWindows(true);
end.

Сделать лог Хиджака.

[geo34]

Вот.

[V_Bond]

ничего плохого ...

[geo34]

Автозагрузку видимо придется в ручную восстанавливать?
У меня еще в автозагрузке какая то безымянная программа
висит в ветке HKLM/.../WINDOWS/RUN

[PavelA]

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = msaf-sg:8080
- если отсюда грузяться скрипты, то зря мы лечили.
Если есть проблема с автозапуском, то через AVZ сохранить весь лог Автозапуска и прислать сюда.

[geo34]

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = msaf-sg:8080
- если отсюда грузяться скрипты, то зря мы лечили.
Если есть проблема с автозапуском, то через AVZ сохранить весь лог Автозапуска и прислать сюда.

С автозапуском проблем нет, всё прописал вручную. А этот пункт автозагрузки удалил Тоталом. После перезагрузок ничнго плохого не появляется.

Добавлено через 2 минуты

Всем огромное Спасибо, с наступающим Новым Годом! Надеюсь, что ничего больше не появится, буду более внимателен и т.п.

[PavelA]

Рад, что у Вас все вылечилось.

[geo34]

Рад, что у Вас все вылечилось.

Спасибо еще раз!

[PavelA]

Как говорится: С Наступающим!!
И чтобы поменьше к нам по таким проблемам заглядывали.
З.Ы. Мы-то добрые, но не всегда хватает времени ласково отвечать.