Лечение svchost после monoca32

Приветствую! После чужих рук на моем компьютере я обнаружил подозрительную деятельность. После небольшой проверки обнаружилась туча вирусов. От обычных "семечек" помогла банальная проверка Касперским. Но один из вирусов упорно не хотел уходить. В автозагрузке он прописался как monoca32 - уже знакомая зверушка в этих краях ).

Сам файл экзешник по указаному пути в проводнике не виден. Но ФАР видит все. В безопасном режиме удалось удалить monoca32.exe. После перезагрузки он перестал прописываться в авторан. Но осталась другая проблема - один из svchost.exe продолжает съедать 50% ресурсов процессора. Но и тут есть интересные факты.

При старте системы этот процесс медленно начинает поедать оперативку пока не достигнет цифры примерно в 12,5 Мб. Загрузка проца при этом стойко держится на 50%. Если не трогать компьютер, этот процесс так и продолжает грузить проц, но только стоит подключиться к сети Интернет вирус пытается отправить какие-то сведения на сайт beistellened.com, об этом предупреждает Касперский и предлагает запретить соединение, т.к. сайт используется для кражи паролей. Соединение запрещаю. После этого svchost отпускает, нагрузка с проца спадает до обычного уровня.

Хотелось бы знать как избавиться от этой дряни, боюсь она уже поворовала некоторые мои пароли. На всякий случай заблочил этот адрес в файле host. Логи прилагаю.

Обновите базы AVZ, переделайте логи заново

Новые логи.

Пофиксите в hijackthis:
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2e77b6e8.exe,[/CODE]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\syspanel32.exe','');
QuarantineFile('C:\WINDOWS\system32\2e77b6e8.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a5zwiizy.SYS','');
QuarantineFile('C:\DOCUME~1\Marat\LOCALS~1\Temp\ZOkL9yPm.sys','');
DeleteFile('C:\DOCUME~1\Marat\LOCALS~1\Temp\ZOkL9yPm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\a5zwiizy.SYS');
DeleteFile('C:\WINDOWS\system32\2e77b6e8.exe');
DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
DeleteFileMask('C:\DOCUME~1\Marat\LOCALS~1\Temp','*.*',true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Panel');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\Marat\LOCALS~1\Temp\ZOkL9yPm.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\a5zwiizy.SYS');
BC_DeleteFile('C:\WINDOWS\system32\syspanel32.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (карантин загружать по ссылке прислать запрошенный карантин вверху темы, а не прикреплять к сообщению)
Сделайте новые логи

Карантин выслал, новые логи прилагаю. Лишние svchost пропали. Загрузка в норме. Надеюсь это все.

Чисто.

Благодарю! Оперативно.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\2e77b6e8.exe - [B]Backdoor.Win32.Shiz.qd[/B] ( DrWEB: Trojan.MulDrop.64715, AVAST4: Win32:Malware-gen )[/LIST][/LIST]