Стоял аваст 4.7 про, все обновления делаются постоянно
Вчера в 12 дня пропал, при попытке переустановки исчезает экзешный файл.
Проверил компьютер утилитой cureit от доктор веба, она сообщила что компьютер заражён вирусом win32.HllM.beagle, заражённые файлы эта программа удалила
перезагрузился.
при попытке переустановить аваст у него опять пропал экзешник. отсканировал заново cureit'ом, та опять нашла заражённые файлы. при каждом новом сканировании такие файлы находятся.


Читал на разных ветках про этот вирус, он действительно удаляет экзешник аваста и многие другие экзешники, не даёт компьютеру загрузиться в безопасном режиме.

Что делать?

Что делать?
Выполнить Правила (http://virusinfo.info/showthread.php?t=1235), для начала.

Выполнить Правила (http://virusinfo.info/showthread.php?t=1235), для начала.

а стандартной процедуры под именно этот вирус нет?
насколько я понял, вирус довольно распространённый, возможно есть какой-нибудь многократно применённый способ лечения?

а стандартной процедуры...
Выполнение правил обращения за помощью, и есть стандартная процедура, после которой начинается работа по выявлению вредоносной программы, которую ещё не знают антивирусные программы.

Выполнение Правила и есть "стандартная процедура". А лечение конкретного трояна/вируса требует специальных действий. Чтобы их сформулировать требуется информация.

Вот и они.

Шаги лечения
1. запустить AVZ
2. запустистить сканирование с опцией нейтрализации кернел мод руткитов
3. запустить AVZ Guard
4. добавить в отложенное удаление 2 файла
1) C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
2) C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
НЕ ВЫКЛЮЧАЯ AVZ перезагрузится. и будем считать от багле и вирусного драйвера избавились.

Для анализа прислать

с:\windows\system32\spoolsv.exe
c:\windows\system32\hldrrr.exe (99% вирус)

выполнил все по инструкции.
После перегзагрузки просканировал C: посредством cureit.
Все тот же m_hook.sys найден по адресу:
C:\Documents and Settings\SerBriz\Application Data\hidires
Кроме того, найдено еще 6 файлов с названием из 6 цифр и расщирением .exe, зараженных beagle, по адресу:
C:\WINDOWS\exefld
Значит, о beagle пока забыть нельзя?
Во вложении испрашиваемый файл spoolsc
hldrrr.exe не найден в указанной папке

потерял вложение

И хорошо. Файлы присылают через специальную страницу, читайте Приложение 2 к правилам (http://virusinfo.info/showthread.php?t=1235). Ссылка на тему: http://virusinfo.info/showthread.php?t=6278

Попробуем еще раз действуя последовательно.
1. Отключитесь от Интернет.
2. В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
3. Запустите сканирование.
4. После окончания сканирования найдите и отправьте в карантин, следующие файлы:
C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
с:\windows\system32\spoolsv.exe
c:\windows\system32\hldrrr.exe
C:\WINDOWS\exefld\*.exe
5. Пришлите содержимое карантина так, как описано в Приложении 2 Правил.

архив на месте
m_hook.sys и ныне там же

Присланные файлы все из семейства Win32.HLLM.Beagle:
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe - Win32.HLLM.Beagle
C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys - Win32.HLLM.Beagle
C:\WINDOWS\exefld\158062.exe - Win32.HLLM.Beagle
C:\WINDOWS\exefld\189171.exe - Win32.HLLM.Beagle
c:\windows\system32\hldrrr.exe - инфицирован Win32.HLLM.Beagle.45070

Лечить так.
1. Отключитесь от Интернет.
2. В AVZ в «Параметрах поиска» включите Блокировать работу RootKit User-Mode и Kernel-Mode.
3. Запустите сканирование.
4. После окончания сканирования включите AVZGuard.
5. Выполните отложенное удаление для файлов:
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
C:\Documents and Settings\SerBriz\Application Data\hidires\m_hook.sys
c:\windows\system32\hldrrr.exe
и всех .exe файлов в папке C:\WINDOWS\exefld

6. В меню Сервис - Менеджер автозапуска - удалите (кнопкой с крестиком) строки с файлами C:\WINDOWS\system32\hldrrr.exe (их должно быть 2).
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe
7. Перезагрузите компьютер не выходя из AVZ.

6. В меню Сервис - Менеджер автозапуска - удалите (кнопкой с крестиком) строки с файлами C:\WINDOWS\system32\hldrrr.exe (их должно быть 2).
C:\Documents and Settings\SerBriz\Application Data\hidires\hidr.exe


следовал инструкции, кроме п.6 т.к. указанных строк там не было
после перезагрузки Cureit'ом был найден в папке c:\windows\exefld файл 181453.exe :?

Файл 181453.exe в папке c:\windows\exefld вы смогли удалить?

Отсутствие строк из пункта 6 означает что сработала автоматическая зачистка реестра в AVZ.

Повторите логи для контроля по пунктам 10-13 Правил.

Файл 181453.exe в папке c:\windows\exefld вы смогли удалить?

Отсутствие строк из пункта 6 означает что сработала автоматическая зачистка реестра в AVZ.

Повторите логи для контроля по пунктам 10-13 Правил.

Повторил лечение. Сейчас сканирую Cureit'ом.
Логи повторю.

вроде чисто
спасибо за помощь
особая благодарность в адрес AndreyKa
таки помог отсрочить тестирование ОП Vista:D

Remote Administrator сами устанавливали?

Вы можете нам помочь в дальнейшей борьбе с заразой.
Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь:
http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами.
Если в результате файл превысит 20 МБ, то его придется разбить многотомным архивом.