подозрение на вирус (заявка №22423)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
KIS 2010, базы только что обновлены, не обнаруживает заражения

в диспетчере задач заметил подозрительный процесс svchost32.exe, запущенный от имени пользователя (перед этим два-три раза появлялись странные окна IE, хотя я использую Firefox)

по имени процесса нашел папку Microsoft Standart Files, в ней 4 файла: ip.dat, svchost32.exe, ref.ini, step.ini

в качестве источника заражения подозреваю раздачу BotuPlay с открытого ХХХ-трекера

содержимое файла step.ini:

4
576000
100
10000
no
70
100 1 horror-live http://horror-live.ru/ -
100 2 1 1 -
30 8 media-click -
10 8 tizy.ru -
25 8 horror -
100 1 girls-hd http://girls-hd.ru/ -
100 2 0 3 -
20 8 popclick -
30 8 protizer -
60 8 girls-hd-
100 8 opentds -
100 1 nereal-warez http://nereal-warez.ru/ -
100 2 0 0 -
100 1 mir-delphi http://mir-delphi.ru/ -
100 8 clickunder -
100 1 erotika-web http://erotika-web.ru/ -
25 8 tizer -
50 8 dosug -
50 8 country -
100 0 http://girls-hd.ru/?page_id=235 -
100 8 depositfiles -
100 4 -
100 7 -
Дата обращения: 10.06.2010 22:45:43
Номер заявки: 22423

[CyberHelper]

10.06.2010 23:45:24 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. c:\windows\system32\taskmgr.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 181760 байт
   • дата файла: 15.01.2009 19:46:10
   • версия: "6.0.6001.18000 (longhorn_rtm.080118-1840)"
   • копирайты: "© Microsoft Corporation. All rights reserved."
2. C:\Program Files\Microsoft Standart Files\svchost32.exe - Trojan-Clicker.Win32.Agent.npf
   
   • размер: 576000 байт
   • дата файла: 10.06.2010 19:31:22
   • детект других антивирусов: DrWEB 6.0: Зловред Trojan.Click.64158; VBA32: Зловред Trojan.Delf.0561; BitDefender: Зловред Trojan.Generic.4636559; NOD32: Зловред Win32/TrojanDownloader.Delf.PZL trojan; Avast4: Зловред Win32:Delf-NLB [Drp]

[CyberHelper]

11.06.2010 20:31:53 лечение успешно завершено