[yurfed]

Vitaly2007
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe - отключи. Иногда грузит прилично.
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE - проверь и попробуй отключи.

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE - может это и ломится обновиться.

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll видимо что-то нортоновсое.

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
Отрубай. Проверка на подлинность. Связана с каким-то обновлением.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Удаляй всё страницы на фиг.

Скачай AVZ. Достаточно хорошо отлавливает перехватчиков.

Symantec тебя задушил конкретно .
Совет - поставь Agnitum Outpost и заноси подозрительное в запрещённые.

[ShellL]

Цитата:

Когда я выхожу в skype, internetcall у меня в процессах занимает до 100% памяти..

обнови skype, хотя бы переставь по-новой
прислушайся к советам yurfed
проверь что за такое за WgaLogon.dll и NavLogon.dll - подозрительные
кому нужен то твой компьютер? - максимум какой нить новый шпион или червь у тебя

[Vadikan]

Цитата:

проверь что за такое за WgaLogon.dll и NavLogon.dll - подозрительные

Ничего в них нет подозрительного. Переношу в инфобез.

[Erekle]

В данном логе всё чисто. Но: изменение рабочего стола, половина портов - не чисто.
А в журнале файерволла, или каким-нибудь сниффером и т. д. - не смотрели установленные соединения (ИЭ не должен быть открыт)?

[Vitaly2007]

Yurfed,
"Скачай AVZ. Достаточно хорошо отлавливает перехватчиков." — скачал, сделал расширенное исследование системы многого там не понимаю.. Прикрепляю лог, посмотрите пожалуйста.

"Symantec тебя задушил конкретно ." — задушил? считаете надо поменять антивирус?

"Совет - поставь Agnitum Outpost и заноси подозрительное в запрещённые." — стоял он у меня, но это было что-то невозможное, возможно я не мог понять как его настроить, но в итоге постоянно вопросы, не мог разобраться какие действия разрешать, какие нет.. Мне очень нужен скайп, я пользуюсь им постоянно, а когда файрвол ставлю невозможно ни скайпом ни инетом пользоваться..

[Erekle]

Цитата:

самостоятельно менялся рабочий стол половина портов открыты Когда я выхожу в skype, internetcall у меня в процессах занимает до 100% памяти

Каким образом менялся?
Какими процессами/файлами открыто большинство портов? Можно просмотреть например этим.
Посмотрите Process Explorer-ом - - какие dll-ы загружены у internetcalls.exe, и не только. К примеру, сгруппируйте процессы, а также Dll-ы по всем процессам, по графе "компания". Что не от МС и тех компаний, чьи программы установлены, - тот "ассортимент", среди которого надо искать виновника. Если, конечно, он есть и имеющаяся картина не программного характера...

Цитата:

\System Volume Information\_restore{992A32F1-5E89-44FD-964E-298F0553FAF6}\RP19\A0006711.exe Invalid file - not a PKZip file

Конечно, это может быть игрой случая (произвольная нумерация), но вот что этот поиск даёт, всё по части адваре-даунлоадер. Не жирно, но всё-таки...
Если так и будет продолжаться, можно поискать детектором скрытых процессов: Rootkit Unhooker (но сначала обязательно прочитать справку).

[Erekle]

A0006711.exe - по телепатическому приему - вылитый Trojan-Downloader.Win32.Adload.l // Trojan-Downloader.Win32.INService.z
System Restore можно отключить временно и A0006711 перейдёт в небытие, но ненадолго. В System Restore файл попадает копированием после запуска в основном месте, а перечисленные средства ничего не нашли, так? Значит, оригинал (или оригинал + тот, который его притащил) где-то есть и его надо найти.
Самый простой путь - поискать побайтные копии exe-файлов в папке Виндоус и Программы (то есть, надо зайти в System Restore. Я сужу об этом легко, потому что показ всего скрытого и системного у меня включен, и главное - ФАТ. Недавно же с удивлением узнал, что на НТФС системные папки так просто, убиранием галочки, не появляются на виду).

Но этот файл может сопровождаться букетом двоюродных братьев, и раз в нём самом не признали недруга, могли пропустить и остальных. Эти могут быть (чистые догадки):
unregister.exe
file.exe
SearchRelevant.dll
а также по этим именам (некоторые - частично)
prxsvc
loadadv
msoff
IBM0000

Поэтому, чтобы не блуждать в догадках, лучший способ - проверьте системный диск онлайн-Касперским, тот эту ораву хорошо находит.

[Ser6720]

yurfed

Цитата:

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe - отключи.

У меня такой же процесс есть.
Как отключить, научи. (подробно)

Vitaly2007
С логом тебе лучше сюда.
http://virusinfo.info/forum.php

[Severny]

Цитата:

У меня такой же процесс есть. Как отключить, научи. (подробно)

В службах. Только он опасности никакой не несет. Позволяет работать с запущенными системными файлами (например, делать их backup, не выключая систему).