Перенаправление на thebestwebsearch

[cwfan]

"Ползая" по сайтам безопасности и видеонаблюдения (!) в какой-то момент подцепил зловреда: в IE перенаправление на thebestwebsearch.com (назову его коротко TBWS). В IE появилась неостанавливаемая надстройка "Windows Update Monitor Bar" vmmreg32.dll
Осмотр system32 с сортировкой по дате показал наличие гада - winhelp32.exe.
По поиску вышел на Ваш сайт, посмотрел рецепты, попробовал AVZ, AVP, CureIt, HijackThis. Антивирусы обнаружили, частично удалили, но после перезагрузки все тоже самое. А HijackThis отказался фиксить -
"Error #5". В реестре строки с winhelp32.exe не удаляются - "Не удается удалить все выделенные параметры".
За несколько проходов, всеже удалось избавиться от явного присутствия файлов winhelp32.exe и его племени на всех дисках,
но перенаправление TBWS (надстройка в IE) остается. CureIt, например находит
Trojan.NtRootKit.1388
Trojan.MulDrop.18333
Trojan.Click.19855
и указывает файлы, которых реально нет на диске (или неужели так хорошо прячутся?).
Обнаружил еще одно место (или на фоне winhelp32 пропустил) - в Programm File появился каталог "Windows NT"
с такой структурой:
17.08.2004 16:04 542 720 dialer.exe
20.10.2001 16:00 13 312 htrn_jis.dll
18.08.2008 22:52 <DIR> Accessories
17.08.2004 16:05 217 600 wordpad.exe
18.08.2008 22:59 <DIR> Pinball
17.08.2004 16:05 281 088 pinball.exe
Каталог и фалы удаляются, но через несколько секунд появляются снова. Или это мутация или я подцепил "Сайгонскую розу"? :-(
Пожалуйста, помогите убить это гада!
Логи прилагаю.
Не обессудьте за длинное изложение, надеюсь подробности помогут в поиске противоядия для этого зловреда.

[V_Bond]

скачайте найдите и удалите (правой кнопкой мыши) - force delete
выполните скрипт ....

Код:

c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 DeleteService('VIDEO');
 DeleteService('msupdate');
 QuarantineFile('c:\windows\system32\msvcrtd.exe','');
 QuarantineFile('\??\C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('c:\windows\system32\winhelp32.exe','');
 DeleteFile('c:\windows\system32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
 DeleteFile('\??\C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
 DeleteFile('c:\windows\system32\msvcrtd.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[cwfan]

SpyWare Doctor установился, но в реестр не смог прописаться.
Указанных файлов небыло и нет в наличии. :-(
Но скрипт помог! - "открылись" разрешения на запись в реестр (где есть winhelp32, vmmreg32 и т.п... ) и их удалось "ручками" почистить! После еще почистил антивирусами и теперь все ОК! :-)
Спасибо!!!

[V_Bond]

SpyWare Doctor установился,

интересно зачем он нужен .... єффективность почти нулевая ...

Указанных файлов небыло и нет в наличии. :-(
Но скрипт помог!

логи повторите ... не очень верю ...