Win32.HLLW.Medbod.69

Доброго времени суток.
пару дней назад началось интересное: раз в 1-1,5 часа Доктор ругается на файлы с именем типа 13exhmunmlcl24.exe.
Путь к файлам и диагноз Доктора следующие:
29-06-2008 13:17:17 [CL] C:\Documents and Settings\Admin\Local Settings\Temp\13exhmunmlcl24.exe - инфицирован Win32.HLLW.Medbod.69
После удаления Доктором этого файла через некоторое время он появляется там же но под другим именем, например
29-06-2008 10:17:07 [CL] C:\Documents and Settings\Admin\Local Settings\Temp\0exhmunmlcl24.exe - инфицирован Win32.HLLW.Medbod.69
По логике - на комп попала гадость, плодящая эти файлы и пока невидимая Доктору.
После прогона первого скрипта и перезагрузки, после старта системы аутпост выдал окно, что процесс svmss пытается изменить процесс svchost. Я выбрал запретить.
Файлы прилагаю. Заранее спасибо.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system\smvss.exe','');
DeleteFile('C:\WINDOWS\system\smvss.exe');
DelBHO('{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25514[/url]).
Сделайте новые логи, начиная с п.10 правил.

запаковал svmss из карантина и закачал.
[B]Результат загрузки[/B]

Файл сохранён как080629_042059_virus_486753fb6fe06.zipРазмер файла35017MD5ea62b5474881b6c2372f3f905e802f7e[B]Файл закачан, спасибо![/B]


сейчас сделаю логи

логи

smvss.exe - свежий троянчик.

В логах чисто.
Какие-то проблемы остались?

пока тихо)
кстати, начал в голове отматывать назад историю до появления вируса и вспомнил, что он первый раз дал себя знать после того, как я скачал exeшник для запуска игры Сталкер без CD и, подменив оригинальный файл, запустил игру. После этого проверил этот exeшник на Вирустотале - ругнулся только Webwasher своим эвристиком.
Сейчас попробую запустить сталкера, и, если проблема там, снесу его к черту и снова обращусь за помощью)));)

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

smvss.exe не видать.
Спасибо большое.
P.S. Bratez, а старая аватарка была лучше:)