[Pili]

Nafiganado, лог фалы в общем то чистые, временно отключите антивирусы выполните скрипт

Цитата:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('msvsmon80'); QuarantineFile('msvsmon80.sys',''); QuarantineFile('C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe',''); QuarantineFile('C:\WINDOWS\Installer\7f946.msi',''); QuarantineFile('C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe',''); QuarantineFile('C:\Program Files\Pixologic\ZBrush3\ZData\ZPlugs\WebZPlug.dll',''); QuarantineFile('C:\Program Files\X-Lite\X-Lite.exe',''); QuarantineFile('C:\Program Files\PIC\PIC.exe',''); QuarantineFile('C:\DOCUME~1\nav\LOCALS~1\Temp\catchme.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\PROCEXP111.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); QuarantineFile('C:\Program Files\PIC\EMSEmotIcons.dll',''); DeleteFile('C:\DOCUME~1\nav\LOCALS~1\Temp\catchme.sys'); BC_ImportALL; BC_QrSvc('msvsmon80'); BC_DeleteSvc('catchme'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.

Если в каких то программах уверены, можете убрать из карантина (напр .строчку QuarantineFile('C:\Program Files\X-Lite\X-Lite.exe','');)
после скрипта компьютер перезагрузится.
После перезагрузки выполнить ещё скрипт

Цитата:

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

если карантин получиться большой - посмотрите карантин с помощью AVZ и исключите из карантина большие (и повторяющиеся) файлы - интересуют файлы с расширением dta
Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

У вас установлено много различного софта для работы с дисками, могут конфликтовать.
попробуйте удалить System Mechanic и Daemon tools и
также установлено (если не требуется - деинсталлировать)
Alcohol 120% (vaxscsi.sys), UltraVNC Mirror Driver (vncdrv.sys)
v2imount.sys - Image Mounting Device Driver - Symantec Virtual Volume Mounting Driver Development Edition
symsnap.sys - Symantec Volume Snap Shot Driver
NSDriver.sys - Lavasoft AB Driver for Ad-Watch network monitoring
ioloDMVSvc.exe - Iolo DMV Service from iolo technologies, LLC. belonging to iolo System Utilities

Пофиксить в HJT

Цитата:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

сделайте новые логи

[sicvestor]

yurfed Нод_32 хороший антивирь но речь не об этом ... Меня сейчас не это интересует, вопрос по процессу Generic ... Я прикрепил скрин ...Написал что это за адресс и хотел бы получить чёткий ответ а не рассуждать на тему - а вдруг у тебя вирь.

Имеет ли место быть файл SVCHOST.EXE-2D5FBD18.pf или нет?
Был бэкдор очередной модификации, вроде всё почистил, не знаю что ещё делать.

[Pili]

Anga, добро пожаловать на форум oszone.net, если у вас есть подозрение на вирус, создайте пожалуйста тему в этом разделе и выложите лог файлы по этим правилам

Цитата sicvestor:

а не рассуждать на тему - а вдруг у тебя вирь »

скрин это хорошо, но чтобы не гадать, есть или нет вирусы, нужны логи, см. выше

[Medeya]

У меня такоой вопрос по данному процессу, я так понимаю, что попытки доступа в интернет svchost.exe это нормально, если по адресу это наш DNS? Только неясно одно, у меня стоит разрешение на доступ в инет постоянно, стоит ли его оставлять, постоянно ломится. И еще один процесс идентифицируется как 0.0.0.0.далее DNS, такое появилось после SP3, и насколько я знаю что так может маскироваться прога какая-нибудь, но до этого было все в норме с адресом.
На вирусы проверено как AVP, AVZ и доктором Вебом, все чисто.

[segal]

Medeya, я тоже столкнулся с постоянным ломом в инет этого процесса(svchost.exe из SP3). вот что я писал ранее в другой теме:

Цитата:

p.s. на комп с инетом поставил WinXP с SP3 и одну странность заметил: процесс svchost.exe постоянно лезит на 80 порт по разным ип принадлежащих llnw.net и качает от туда гигабайты траффика. автообновление отключено! Ни у кого такого незамечено?

Цитата:

Цитата vserd: На вирусы и трояны проверься. точно не трояны и не вирусы. вобщем: обычный виндузовуй svchost.exe сам лез в инет, по PID'у выличлил его в диспечере задач и запущен он был от имени SYSTEM. разбираться нестал что к чему, а просто отключил службы ненужные на мой взгляд, типа: Оповещатель; Фоновая интеллектуальная служба передачи (BITS); Служба протокола EAP; после этого гигабайты трафика более не качаются.

есть подозрение, что это всё служба: 'Фоновая интеллектуальная служба передачи (BITS)'

[Medeya]

segal, знать бы еще что нужно для vpn, постоянные проблемы с соединением, я б много чего отключила, а так самые на мой взгляд безопасные. По рекомендациям этого сайта тоже. Да и обычно выключала всегда данные службы.

[vladimirn]

тема старая,но никто тольком не говорит что делать.все описывают,а толку нету.только поставил хр сп3,все нормально,ставил программы,после очередной перезагрузки системы,товарищ svchost висит на 100%,выключаешь процесс этот,отрубается инет. касперский не находит ничего,в очередной перезагруза в систему не пускает,пишет ошибка чоста,адрес ошибки такой то.висит только картинка раб. стола.можно конечно заново все поставить,но много программ.что же делать?

[NRG]

vladimirn,Какая версия касперского ? обнови базы

[vladimirn]

7.0.1.325 всегда свежие.обидно,сколько лет занимаюсь компьютерами,первый раз такое,еще и на свежем