Файл svchost заражен

Здраствуйте.
Вчера я проверял свой комп Касперским Virus Removal Tool.
Нашло много вирусов, все вылечил или удалил, но вот файл svchost.exe (c:\windows\system\svchost.exe) заражен вирусом Packed.Win32.Katusha.i. Файл нелечится, а удалять боюсь, вдруг комп потом работать откажется. Подскажите, что с ним делать?
Спасибо.

Ладно, щас прикреплю логи.
Но у меня всего два вопроса: Отразится ли удаление или перемещение этого файла на работе системы? Что мне с ним днлать?

Пофиксите в HiJack
[CODE]R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe nxxd.pio jgtgk
O4 - HKLM\..\Run: [DaemonTools_WhenUSave_Installer] C:\Program Files\DaemonTools_WhenUSave_Installer\DaemonTools_WhenUSave_Installer.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spooIsv.exe
O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [NTFS_ext_drv] \\?\globalroot\systemroot\system32\ntfs_ext7.exe
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\Temp\wpv681258717982.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [12CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\Администратор\photo_id.exe
O4 - HKCU\..\Policies\Explorer\Run: [Java Plug-in] C:\WINDOWS\system32\chknt32.exe
O4 - Startup: sysupd32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present[/CODE]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wsctf.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe','');
QuarantineFile('C:\WINDOWS\system\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\spooIsv.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\chknt32.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe','');
QuarantineFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sysupd32.exe','');
QuarantineFile('C:\WINDOWS\aekgoprn.sys','');
QuarantineFile('C:\WINDOWS\system32\nxxd.pio','');
TerminateProcessByName('c:\windows\temp\wpv681258717982.exe');
QuarantineFile('c:\windows\temp\wpv681258717982.exe','');
TerminateProcessByName('c:\windows\system32\photo_id.exe');
QuarantineFile('c:\windows\system32\photo_id.exe','');
DeleteFile('c:\windows\system32\photo_id.exe');
DeleteFile('c:\windows\temp\wpv681258717982.exe');
DeleteFile('C:\WINDOWS\aekgoprn.sys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\sysupd32.exe');
DeleteFile('C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Antivirus Pro 2010');
DeleteFile('C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0850\vsse32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG914-K641-26SF-N31P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
DeleteFile('C:\WINDOWS\system32\chknt32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','photo_id');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('C:\WINDOWS\system32\spooIsv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Spooler SubSystem App');
DeleteFile('C:\WINDOWS\system\svchost.exe');
DeleteFile('\\?\globalroot\systemroot\system32\ntfs_ext7.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NTFS_ext_drv');
DeleteFile('C:\WINDOWS\system32\nxxd.pio');
DeleteFile('wsctf.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wsctf.exe');
DeleteFileMask('C:\Program Files\AntivirusPro_2010', '*.*', true);
DeleteDirectory('C:\Program Files\AntivirusPro_2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

В скрипте для AVZ ошибка: ')' expected в позиции 44:37 .
Немогли бы Вы исправить и написать новый без ошибки.
Спасибо.

З.Ы. После профиксивания в ХайДжек и перезагрузки компа вылезла ошибка в winlogon.exe и появился синий экран с белыми буквами, да и буквы какие-то иероглифы. Меня чуть кандратой не хватил:) При следующей загрузке системы все стало нормально.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А, ошибки нет, это из-за переноса строки. Извиняюсь.

[QUOTE='D-Run;513437']ошибки нет, это из-за переноса строки.[/QUOTE]Да, это моя ошибочка. Хорошо, что Вы сами сориентировались

Вот новые логи, помоему проблемма осталась.

Запустите w4vt8c1m.exe(Gmer). Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
[CODE]
w4vt8c1m.exe -del service cxgkzuk
w4vt8c1m.exe -del file "C:\WINDOWS\system32\mketrq.dll''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\cxgkzuk''
w4vt8c1m.exe -del reg "KLM\SYSTEM\ControlSet008\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\cxgkzuk''
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet013\Services\cxgkzuk''
w4vt8c1m.exe -reboot
[/CODE]
Сделайте новый лог gmer.

Все сделал. Кажется проблеммы нет! Спс.

Лог Gmer выложил.

Сохраните текст ниже как cleanup.bat в ту же папку, где находится w4vt8c1m.exe (gmer)
[CODE]w4vt8c1m.exe -del file "C:\WINDOWS\system32\mketrq.dll"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\cxgkzuk"
w4vt8c1m.exe -del reg "HKLM\SYSTEM\ControlSet011\Services\cxgkzuk"
w4vt8c1m.exe -reboot[/CODE]И запустите cleanup.bat

[COLOR="Red"]На возможные сообщения об ошибках внимание не обращайте[/COLOR]

Компьютер перезагрузится

Сделать новый лог gmer

Сделал. Логи ниже.
Только вот после этого перестал работать DVD-привод(открывается-закрывается, но в Мой компьютер не отображается, и диски не читает). Незнаете как вернуть дисковод.

В логе чисто.

В BIOS привод определяется?

В BIOS'e отображается кажется. Ну я в этом не очень, поэтому выложу фотки.

Вот главная страница биоса
[URL]http://upwap.ru/644141[/URL]

Это после того как я нажал "Standart CMOS Features"
[URL]http://upwap.ru/644146[/URL]


А это я нажал на "ATAPI DVD A....."
[URL]http://upwap.ru/644149[/URL]

Ну как? Что дальше делать?

[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]

Извиняюсь за ссылки... Это файлообменник

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]39[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\главное меню\программы\автозагрузка\sysupd32.exe - [B]Trojan.Win32.Obfuscated.aisb[/B] ( DrWEB: Trojan.Siggen.23270, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system\svchost.exe - [B]Packed.Win32.Katusha.i[/B] ( DrWEB: Trojan.DownLoad.50076, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\chknt32.exe - [B]Trojan-Downloader.Win32.Agent.cvkd[/B] ( DrWEB: Trojan.PWS.Webmonier.178 )[*] c:\windows\system32\nxxd.pio - [B]Backdoor.Win32.Bredavi.azz[/B] ( DrWEB: BackDoor.Vbom.5, NOD32: Win32/Oficla.AP trojan, AVAST4: Win32:Trojan-gen )[*] c:\windows\system32\photo_id.exe - [B]Backdoor.Win32.HareBot.akj[/B] ( DrWEB: Trojan.DownLoad.41506, NOD32: Win32/Wigon.LX trojan )[*] c:\windows\temp\wpv681258717982.exe - [B]Trojan-Proxy.Win32.Small.ael[/B][/LIST][/LIST]