services.exe (ребут компа с отсчетом)

[Alexey P.]

- запустить AVZ, произвести первоначальное сканирование без выделения дисков.
- Если есть перехваты:
Проверено функций: 284, перехвачено: 17, восстановлено: 0
смотрим, чьи они (по указанному файлу перехватчика). Очень часто перехваты принадлежат файлу от файерволла (вышеприведенное число - от Kerio Personal Firewall) или от антивируса вроде Касперского.
- если не указано, чьи и есть подозрение на трояна - ставим на вкладке "Параметры поиска" птички "Блокировать работу Rootkit" и снова без выделения дисков запускаем сканирование.
В логе должно быть написано:
перехвачено: 17, восстановлено: 17
Теперь AVZ может видеть файлы, скрытые руткитом. Из него запускаем "Поиск файлов на диске". Например, по маске "___*.*" для вышеописанного варианта.
Найденное - в карантин и сюда.

[MrGrey]

Проверил вроде как , но ничего не нашел. Вот так надо было?

[Alexey P.]

Похоже.
Перезагрузиться надо после такой операции.

[MrGrey]

Ну тогда спасибо , если че , обращусь!

[MrGrey]

что-то комп както грузит svchost , всегда занимает не меньше explorera , бывает в 3 раза , а то и в 4 раза больше . Помоему это опять чтото вроде ___syngmr , тока заловить никак не могу его. делал прверку DrWeb'oм , он обычно проделывает процедуры с инфицированными файлами ПОСЛЕ полной провекри , но на 90-ом % он са ребутнул комп , так и не вылечив вирусы их было намного меньше чем впрошлый раз. Ну надеюсь это не то вирус с каторым я имел дело впрошлый раз. вот зделал логи , авось поможете , был бы признателен.

[MrGrey]

вот это вполне нрмльное явление , уже напротяжение 2-ух недель. Сколько я помню свой комп этот svchost обычно увеличивался до 10 000 МАХимум , ито до такого состояния доходи если врубить плеер (WMplayer , winamp)

[pig]

Пощите и пришлите, если найдутся:

Код:

C:\WINDOWS\svchost.exe
___synmgr.exe
EXPLORER.exe

Пофиксите:

Код:

O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe
O4 - HKLM\..\RunServices: [WksSVC] EXPLORER.exe
O4 - HKCU\..\Run: [WksSVC] EXPLORER.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

После перезагрузки сделайте новый лог HijackThis, а то непонятно, это мусор с прошлого раза или возродилось.

[MrGrey]

Не знаю странно ли это или нет , но все из выше перечисленных файлов не были найдены о_О как их перехватить если таковые есть?

[pig]

Значит, просто мусор в реестре. Пофиксите, чтобы не отвлекал внимание.

[MrGrey]

пофиксил все зделал) а с svchost.exe значит все нормально? странно что он начал так занимать странно.

[pig]

Вы это присылали уже?

Код:

C:\DOCUME~1\gabst3r.ExE\LOCALS~1\Temp\CmdLineExt02.dll

Если что-то новое, то пришлите. Больше ничего не вижу.

[MrGrey]

Такова файла нету. Значит поидее все норм?

[pig]

"Такова файла" есть, его AVZ загруженным в память видит. Ищите с помощью AVZ, ссылка на подробности у меня в подписи.

[MrGrey]

нашел , отправил

[MrGrey]

файл не дошел?