Win32\HLLW.Shwabra и ещё что-то

[MASter-UA]

Вот этой гадостю заражены некоторые экзешки на моём компютере.
Никак пока себя не проявляет.вот ссылка на вирустотал http://www.virustotal.com/ru/analisis/2c9ccdbb31acb3a69094ef5f4548b96463ea2c91f4bbec12be 7d31bb8170df7c-1258127466
Так же есть какойто неизвестный вирус который проявляет себя так:
Стартует как мне кажется при начале установки програмы и при ребуте виндовса(в автозагрузке нет, в реестре только один ключ с параметром "Shell" и значение "explorer.exe C:\WINDOWS\svc32.exe" который удаляю, а он опять после запуска этой гадости создается!), создает в папке тмп папки агава, агава инту и начинает паковать эти файлы в папку C:\Windows\IWeb в архыви с одинаковым содержанием но разными именами(так же создает файл svc32 в директории виндовса) если удалить файл svc32 паковать перестает. Иногда таких архивов наштамповывает на 7 гб. Другого вреда не замечено. При посылке папки агава на вирус инфо никаких вирусов не находит. А вот ещё что ещё в папке C:\Documents and Settings\MASter-UA появляеться svc32.exe.exe с роозмером инсталяшки програмы которая была последней запущена.

Заранее спасибо и извините за грамотность, я - украинец.

[Никита Соловьев]

1. Обновите базы AVZ (файл - обновление баз)

2. Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\svc32.exe

3. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\svc32.exe','');
 QuarantineFile('I:\Setup.exe','');
 QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
 DeleteFile('C:\WINDOWS\mslsrv32.exe');
 DeleteFile('I:\Setup.exe');
 DeleteFile('C:\WINDOWS\svc32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zzzHPSETUP');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 BC_ImportDeletedList;
 ExecuteSysClean;
 ExecuteRepair(16);
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится
Файл quarantine.zip закачайте по ссылке прислать запрошенный карантин вверху темы

Сделайте новые логи

[MASter-UA]

вот повторные логи

[Никита Соловьев]

1. Обновите базы AVZ (файл - обновление баз)

Игнорируете? ОК...

Что с проблемой?

[MASter-UA]

Игнорируете? ОК...

ой извите просто по привычке запустил не только что скачаную версию, а старую!

Что с проблемой?

свц32 осталось,
а нащёт швабры - пропала!

[Никита Соловьев]

свц32 осталось

Это и есть "швабра"...
Обновите базы и сделайте новые логи

[MASter-UA]

Это и есть "швабра"...
Обновите базы и сделайте новые логи

не знал исправлюсь, базы обновил щас пришлю логи. Я имел в виду что доктор веб больше не ругается на екзешки!

[MASter-UA]

Это и есть "швабра"...
Обновите базы и сделайте новые логи

логи прикрепил выше

[Никита Соловьев]

Это нужно пофиксить:

Код:

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\svc32.exe

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\svc32.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится

Сделайте новый лог hijackthis и virusinfo_syscheck.zip

[MASter-UA]

вот логи

[MASter-UA]

швабра так и создает файлы!

[Никита Соловьев]

Сделайте такой лог: http://virusinfo.info/showthread.php?t=53070

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\svc32.exe - HEUR:Worm.Win32.Generic ( DrWEB: Win32.HLLW.Shvabra, BitDefender: Worm.Generic.74127, NOD32: Win32/Delf.NFV worm, AVAST4: Win32:Rootkit-gen [Rtk] )