Что за вирус W32/Jeefo.A 160 обектов зареженно и не лечиться*( что делать

Техническая информация

* Написан на языке программирования C++

* При запуске создаёт копию исходного файла %WINDIR%\svchost.exe

* Регистрирует %WINDIR%\svchost.exeкак службу. В зависимости от того версии ОС Windows, делает это следующим образом:
В Win NT-based отображаемое имя службы "PowerManager", а в Win 9x:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

PowerManager=%WINDIR%\svchost.exe

При этом, в Win 9x процесс svchost.exe прячется из Диспетчера задач с помощью функции RegisterServiceProcess.

* Тело вируса модифицируется таким образом, что в конце файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле в %Systemroot%\system32svchost.exe.

* После этого Win32.HLLP.Jeefo.36352 запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного исполняемого файла, а также его параметры командной строки. После этого выполнение программы завершается для для лечения запустившегося инфицированного исполняемого файла.

* Запущенный "вирусный" svchost.exe анализирует параметры командной строки. В случае, если таковые есть, то Win32.HLLP.Jeefo.36352 лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия Win32.HLLP.Jeefo.36352 уже выполняется, процесс завершает свою работу.

* Win32.HLLP.Jeefo.36352 заражает все исполняемые файлы на всех логических дисках. Исключение составляют файлы, если они защищёнными, не имеют графического интерфейса (GUI), размер файла составляет меньше 100 Кбайт. Кроме того, Win32.HLLP.Jeefo.36352 повторно не заражает файлы. Заражённость файлов определяет по зашифрованным строковым данным - "Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/". Кроме того, у инфицированных файлов Win32.HLLP.Jeefo.36352 на время заражения снимается атрибут "Только для чтения" и не изменяются время создания файла, записи и последнего доступа к файлу. Помимо этого вирус зашифровывает и меняет местами некоторые данные файла.

Как лечить :

1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

Сначала форматировать жесткий диск, потом устанавливать Linux, а потом угорать над теми, кто задает такие вопросы.

соболезную у самго нечто похожее ...пришлось все чистиьть и заново восстанавливать

удалять