SCVVHSOT.exe - Trojan.

Изменяет системные настройки компьютера и выполняет потенциально-опасные действия файл является приложением Windows (PE EXE-файл). Файл создан с помощью программы "AutoIT". Как правило (но не аксиома) меет размер 663552 байт.

Итак, после очередной чистки антивирусом, при загрузке Windows у вас стало выскакивать окно с ошибкой примерно следующего содержания: "Windows XP не обнаружил по указанному пути файл "scvvhsot.exe". Это значит что антивирус честно выполнил возложенную на него миссию и удалил обнаруженный вирус. Но вот следы о нем все еще находятся в системе и создают ошибки в ее работе. В дополнение ко всему Вы не можете запустить редактор реестра, а возможно и менеджер процессов. Система сообщает вам что данное действие запрещено администратором компьютера. А кто же вы если не администратор, если пытаетесь восстановить ее работоспособность!? Даже мертвый вирус способен доставить немало хлопот. Попытки удалить его из автозагрузки ни к чему не приводят, компьютер вас не считает главным -так с чем же мы имеем дело?

Инсталляция

После запуска создает свои копии под следующими именами:

Системный каталог ОС Windows (обычно, C:\Windows\System32)
%System%\SCVVHSOT.exe
%System%\blastclnnn.exe

Каталог ОС Windows (обычно, C:\Windows)
%Windir%\SCVVHSOT.exe

Обеспечивает автозагрузку (Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windows) следующих установленных файлов - путем прописывания в ключах автозапуска системного реестра:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ]
"Yahoo Messengger" = " %System%\SCVVHSOT.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ] "Shell" = "Explorer.exe SCVVHSOT.exe"

Описание:
Определяет программу, которая будет использоваться в качестве пользовательского интерфейса к ОС Windows. Может использоваться вредоносными программами для обеспечения своего автозапуска при загрузке ОС Windows

Вредоносная активность

Изменяет (или удаляет) ключи системного реестра с целью ограничения функциональности ОС Windows:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ]
"NofolderOptions" = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ]
"DisableTaskMgr" = "1"
Описание:
Запрещает вызов "Диспетчера Задач"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ]
"DisableRegistryTools" = "1"

Описание:
Блокирует запуск редактора cистемного реестра

Обращается к следующим адресам в Интернете:

http://***ting3.yeahost.com/setting.doc

Прочие действия

Загружает файлы по заданным ссылкам и сохраняет их по следующим адресам:

http://www.***ewebs.com/setting3/setting.doc -> %System%\setting.ini

Изменяет следующие ключи системного реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule ]
"AtTaskMaxHours" = "0"

Как избавиться от остатков вируса и восстановить контроль над системой?

Будем считать, что вирус обезврежен и нам осталось только удалить его следы из реестра.

Для восстановления возможности просмотра и редактирования реестра Windows необходимо выполнить следующие действия:

• Пуск –> Выполнить… в поле Открыть: введите gpedit.msc –> OK
• Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра (Состояние по умолчанию – Не задана) вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –>OK.
• Закройте окно Групповая политика.
• Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если в вашей версии OS Windows нет груповых политик воспользуйтесь следующим вариантом:

• Окрываете Пуск - Выполнить, вводите : REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools - жмете Enter
• спрашивает y? n? (да или нет?) жмете на клавиатуре Y и ENTER

Запускаете редактор реестра:

• Окрываете Пуск - Выполнить, вводите : regedit

идете по пути [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] и проверяете, что параметр "Shell" не содержит ничего кроме "Explorer.exe"

Далее проходите по пути [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ] и удаляете или исправляете ключ "Yahoo Messengger" = " %System%\SCVVHSOT.exe"

Этого вполне достаточно чтобы Вас больше не беспокоил призрак SCVVHSOT.exe