winhelp32.exe в автозагрузке... логи+

[kps]

C:\WINDOWS\SYSTEM32\winhlp32.exe
у меня вот это есть..

Его видно в IceSword на диске?

Зайдите в IceSword на закладку Process. Если его там найдете, то нажмите по нему правой кнопкой и выберите "Terminate Process".
Потом зайдите в меню файл и сделайте ему force delete.
Потом выполните вышеуказанный скрипт в AVZ и сделайте новые логи.

[SHER]

этот есть в IceSword на диске
C:\WINDOWS\SYSTEM32\winhlp32.exe
этого нет
C:\WINDOWS\SYSTEM32\winhelp32.exe
поздно прочитала, логи сделала сразу перед вашим ответом.

Ваши рекомендации сделать?

новые логи

[kps]

Рекомендации те не надо выполнять, раз ни одного из этих файлов у Вас нет на диске при просмотре в IceSword.
C:\WINDOWS\SYSTEM32\winhlp32.exe - этого не трогайте, он системный.

Сделайте так:
1) В AVZ включите AVZGuard (в меню).
2) Зайдите в меню Файл - Мастер поиска и устранения проблем и устраните проблему "Некорректный элемент автозапуска"

3) Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новые логи.

[SHER]

новые логи..
что-то у меня постоянно при загрузке пишет в сканере, что произошло изменение реестра..

[Rene-gad]

Извините, а почему у Вас AviraGuard работает? Он блокирует действия АВЗ.
Предлагаю последнюю попытку - медаль за стойкость Вы уже заслужили, я бы на Вашем месте уже бы давно сдался и переустановил систему - а именно:
Удалите Авиру. Полностью, совсем ...
Выполните рекомендации kps отсюда: http://virusinfo.info/showpost.php?p...2&postcount=23
Если не поможет - ну не получилось у нас, мы очень хотели, но мы не всесильны...
Если Вы будете пытаться дальше воевать - сделайте лог этой тулзой, плиз: http://www.gmer.net/index.php

[SHER]

Хорошо, у меня была мысля удалить Авиру
Скан Авиры я отключала перед процессами.
сделаю то что там прописано и постараюсь логи скинуть.
Ох и горячий же топик получается

"Если Вы будете пытаться дальше воевать - сделайте лог этой тулзой.."
еще бы знать что это такое...

[kps]

Да, похоже из-за Авиры и не удалялась запись, гадов-то на диске уже нет.

[SHER]

Качаю в срочном порядке Каспера..

Итак, финальные логи.. больше же сил не хватает.. но я в них заглянула.. и мне показалось, что чисто.. может только показалось..

Все.. пошла за Каспером... а то стремновато, когда компик пуст...

Кстати.. а как удалить глуканувшую прогу HDDlife? Пишет что нельзя, дескать какой-то файл сетевой недоступен.. переустановка тоже не получается..
видимо под шумок что-то удалилось неграмотно... теперь она не работает и не удаляется..

эх рано я радовалась.. в автозагрузке все же стоит этот файл...
так пофиксить его негде, где его можно убрать из автозагрузки, в реестре попробовать? Тогда где?
Так.. а в реестре нигде этого хозяйства я не заметила...
ни в
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
и сопутствующие
ни в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
и сопутствующие
тогда откуда убрать этот глюк?!

[kps]

В логах теперь чисто, в том числе в автозапуске. Почему Вы думаете, что это не так?

[SHER]

я смотрю через msconfig там прописан этот файл..
но не активен.
да, у меня не выходит поставить Каспера..
ошибка 1606. Не удается подключиться к сети
и какие-то квадратики...
что бы это значило? Вот по этой же причине не удаляется и программа сканирования жесткого диска...
попробовать прогнать восстановление системных файлов?

[kps]

Зайдите в AVZ - Менеджер автозапуска. Там этот файл прописан? Не должно его там быть, в логах чисто.

[SHER]

там его нет
я и не знала, ято это такая интересная программка!
А что теперь делать с антивирусником..? Не устанавливается, модет Виндовс Инсталлер полетел?

[kps]

То, что у Вас видно его в MsConfig -
Зайдите в regedit.
Откройте ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg
Найдите там соответсвующую запись, удалите ее и перезагрузите компьютер. Потом проверьте, осталась ли запись в MSConfig.

[SHER]

это всю папку Windows Help Service удалить?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Help Service

у меня еще там же стоит прога которая уже удалена
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AWMON
это как раз сканер Ад-аваре

[kps]

Да, удалите ключ реестра - Windows Help Service
Другой тоже можете удалить, программа удалена, а запись осталась.
Потом после перезагрузки посмотрите в msconfig, не осталась ли эта запись о зловреде.

[SHER]

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
это прописанов табличке автозагрузки и даже стоит галочка...
что это?
пошла по ключу, там ничего нет...
зашла под другим именем.. не удается поставить антиврусники, может настройки сети полетели?

[kps]

Глюк какой-то.
Ну а запись о зловреде удалена?

[SHER]

удалила всю дребедень, даже понравилось
словом одна проблема осталась.. как установить программы.. похоже этот глюк распространяется на любую прогу...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NvCplDaemon

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
вот это что за фигня? У меня их в автозагрузе целых две..
под другим пользователем тоже есть. Удалить можно?

Спасибо, что помогаете!!!

[kps]

Вряд ли проблема у Вас здесь MSConfig\startupreg
Ждите, как узнаю решение проблемы с установкой программ - отпишусь.

[Rene-gad]

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
вот это что за фигня?

Это панель управления NVIDIA, а не ... как Вы ее обозвали