ну скажем не geefo, а jeefo ;)

Virus.Win32.Hidrag.a («Лаборатория Касперского») также известен как: Win32.Hidrag («Лаборатория Касперского»),  Virus.Win32.Hidrag («Лаборатория Касперского»), W32/Jeefo (McAfee),   W32.Jeefo (Symantec),   Win32.HLLP.Jeefo.36352 (Doctor Web),   W32/Jeefo-A (Sophos),   Win32/HLLP.Jeefo (RAV),   PE_JEEFO.A (Trend Micro),   W32/Jeefo (H+BEDV),   W32/Jeefo.A (FRISK),   Win32:Jeefo (ALWIL),   Win32/Hidrag.A (Grisoft),   Win32.Jeefo.A (SOFTWIN),   W32.Jeefo (ClamAV),   W32/Jeefo (Panda),   Win32/Jeefo.A (Eset)

Безобидный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы). При заражении шифрует часть заражаемого файла.

При запуске зараженного файла инсталлирует себя в систему: создаёт свою копию с именем "svchost.exe" (размером около 36K) в каталоге Windows и регистрирует этот файл в ключе автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
PowerManager = %WindowsDir%\SVCHOST.EXE
Затем вирус остаётся в памяти Windows, рекурсивно ищет и заражает PE EXE-файлы на всех доступных дисках, начиная с диска C:.

Вирус никак не проявляет своего присутствия в системе.

Вирус содержит зашифрованные строки:

Hidden Dragon virus. Born in a tropical swamp.
PowerManagerMutant


ну думаю понятно, что надо удалить файл "svchost.exe" (размером около 36K) в каталоге Windows и отклбчить ему автозагрузку %) тобишь удалить из реестра PowerManager = %WindowsDir%\SVCHOST.EXE в HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Ага. А потом при запуске зараженного екзешника он расшифровывается, снова кладет себя куда надо... Попутно расшифровывает екзешник и делает его возможным к запуску. При попытке вылечить, то бишь, отцепить тело от екзешника, екзешник остается "битым", то бишь, екзешникам кирдык... А так - он вообще безобидный...
З.Ы. - Я все правильно понял? :)

asp, правильно =)