снова winhelp32.exe

Добрый день!

Поймал вирус, на компьютере стоял Symantec, он его определил как
Virus Name: Downloader. Пользователь имел права локального администратора. При более детальном рассмотрении оказался еще инсталированным сервис, который удалил руками из реестра и к сожалению не записал... по памяти служба называлась W...Audio, а файл службы был типа: 2045.exe и DLL, с похожим названием.
Прочитав на форуме о том как боролись с winhelp32.exe выполнил скрипт:
[COLOR="Red"]moderated:::У нас запрещено выполнять скрипты написанные для других! Каждый случай уникален.Вы можете тем самым нанести не поправимый вред вашему компьютеру и нашему сервису.
За последствия, наступившие в случае невыполнения данного пункта, портал Virusinfo ответственности не несёт![/COLOR]
Но у меня как был в автозагрузке winhelp32.exe так и остался. При попытке удалить запуск winhelp32.exe из HKLM выдаётся ошибка - "Не удаётся удалить все выделенные параметры".
Выкладываю логи, как положено и надеюсь на вашу помощь. Заранее, спасибо!

[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]в icesword найти и удалить сл файлы(правой кнопкой) - force delete
[code]
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
[/code]
авз - мастер поиска и устранения проблем ... выбрать все устранить
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил .....
повторите логи ....

Чужие скрипты выполнять нельзя - в правилах об этом написано.

При проверке icesword файлов:
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
не было.

Высылаю карантин.

Как говорил на компьютере стоит Symantec, он стал выдавать следующее:
Alert: Virus Found
Virus Name: Trojan Horse
File: C:\WINDOWS\system32\drivers\vdi3mtk2.sys
Action: Quarantine
Computer: OBN-KULIKOVA
User: obn-kulikova
Date: 12.08.2008
Time: 20:52:31
Severity: Critical
Source: Symantec AntiVirus Corporate Edition

и еще:

Alert: Risk Repair Failed
Computer: OBN-KULIKOVA
Date: 12.08.2008
Time: 20:52:31
Severity: Critical
Source: Symantec AntiVirus Corporate Edition Risk Name:
Requested Action: Clean
File Path: vdi3mtk2

но этого файла я не нашел... так же ни чего не нашел и в Интернете про этот файл...

Карантин сюда нельзя прикреплять. Читайте приложение 3 правил.

По поводу Симантека - это его ложное срабатывание на хороший драйвер AVZ. И они его до сих пор не исправили. Отошлите им этот файл через [url=http://service1.symantec.com/Support/norton2008.nsf/docid/2007071720082579]встроенную функцию[/url] с пометкой "false alarm". Может быть, исправят.

Антивирус перед выполнением скрипта нужно отключать.
Не видно новых логов.

Прошу прощения за ряд ошибок, наверное тороплюсь... хотя не стоит.
Карантин выслал. Вот новые логи.

Отключитесь от интернета, отключите все программы защиты.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportAll;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
В АВЗ файл--Мастер поиска и устранения проблем решите это
[quote]>> Некорректный элемент автозапуска[/quote]
Повторите логи.

С запозданием высылаю логи.

P.S. Судя по форуму winhelp в послднее время многих достал...

[QUOTE=Igor_K_76;267948]P.S. Судя по форуму winhelp в послднее время многих достал...[/QUOTE]

Это правда.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O20 - AppInit_DLLs: vmmreg32.dll[/code]

Этот зловред прописывает свою папку webmin как папку автозапуска.
Чтобы это исправить, зайдите в regedit,
откройте ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\User Shell Folders
и измените значение параметра "Common Startup" на стандартное "%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка".

Потом зайдите в ключ реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\User Shell Folders
измените значение параметра "Startup" на стандартное "%USERPROFILE%\Главное меню\Программы\Автозагрузка"

Перезагрузите компьютер, удалите папку webmin, которая находится в C:\WINDOWS\SYSTEM32\
Сделайте новый лог HijackThis.

Вот лог, похоже все нормально.
Мне еще не приходилось с таким пакостным вирусом встречаться...
Спасибо за квалифицированную помощь.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O4 - Global Startup: AutorunsDisabled
[/code]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]

После перезагрузки зайдите в regedit, откройте
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg
найдите там ключ, относящийся к winhelp32.exe, что-то типа Windows help service и удалите его, если он будет.

Сделайте новые логи, начиная с пункта 10 правил.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Backdoor.Win32.Agent.oxi[/B] (DrWEB: Trojan.Packed.573)[/LIST][/LIST]