virusinfo.info/pravila.html

Тип вопроса: подозрение на вирус
Рейтинг опасности: не знаю

у меня похожая ситуация что была у Артур Ашамаев. обьясняю, фаил Svchost.exe загружает цп на 50% также из за этого комп тормозит, пытаюсь проверить файл через virustotal но как я понял вирус не дает выйти к сайта антивирусам как не пытался скачать dr wer  не могу зайти на сайт, проверял комп через авиру анти вир не че не нашел. Что делать не знаю завершаю процесс Svchost.exe ноут перезагружаестя. как теперь найти эту сволочь беспонятия.Помогите я так не хочу переустанавливать вирус и все таки хочется иметь опыт с такими вещями  

Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
Проверил de wer он нашел trojan botnetlog вроде его удалил цп стало меньше грузиться но вот на сайты все равно не могу зайти, я в компах плохо разбираюсь поэтому помогите что делать?!

2Николай Фролов:
www.freedrweb.com/cureit/  тебе поможет

Скачал, проверил все чисто (кроме 5ти рекламок в ТЕМПе)


ничего ненужного вроде бы нет.
Даже не знаю что это может быть  

Раз уж вам все так хочется делать это руками, повторите несколько раз такую последовательность.

Настройте параметры просмотра в проводнике: показывать все файлы, показывать защищенные и системные файлы, показывать расширение зарегистрированных файлов...
Удалите все временные файлы с компьютера несколькими способами. (Очистка диска, а далее руками).
Загрузите комп в режиме защиты от сбоев и проверьте его на вирусы чем-нить типа бесплатного дрвеба (выкачайте свежий).
Лучше выкачать и записать на CD какой-нить LiveCD от того же дрвеба и загрузиться с него для проверки.
Выкачайте и установите на комп http://www.anvir.net/, поможет в работе с процессами и поможет сделать все настройки из одного интерфейса.
Удалите из автозагрузки все что вам не нравится или что вы не в состоянии понять, предварительно покопавшись в гугле на тему процессов.
Перезагрузите комп и проверьте наличие новых строк в автозагрузке.
Параллельно с этими "процедурами" обратите внимание откуда и что грузится, поищите "смешные" файлы в системных и временных папках. Останавливайте и удаляйте процессы, которые более всего грузят процессор компа. Ничего плохого произойти не может, никакие данные вы не потеряете и еще вам не придется идти к специалисту, чтобы все восстановить и заново установить.

Вот сколько всего нужно сделать, а то и несколько раз, вместо того чтобы залезть на сайт вендора какого-нить антивируса и следуя рекомендациям, за 10 минут справиться с проблемой.
Прекратите выдумывать колесо!!!

Тип вопроса: подозрение на вирус
Рейтинг опасности: не знаю

Ребята помогите выше сказано что все  дело может бть в автозанрузке я зашел туда через 7-WIN
и у мя там 2 файла "Kaspersky Internet Security 2010.lnk" ии "desktop.ini" так и не понял как избавится
от проблеммы загрузки цп на 100%..


   

Доброго времени суток, люди добрые!
Посмотрите и мой лог пожалуйста!
Уже второй месяц удаляю нечисть чтотам находится, а она снова появляется!Обратите внимание на вот это - Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll" и вот это пожалуйста, посмотрите! Подозрительные объектыФайл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)
\SystemRoot\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode) Чем только не удаляю, всё все видят, но удалить не возможно! Помогите пожалуйста!

***********************************************************************
Протокол исследования системы

Kaspersky Virus Removal Tool 2010 9.0.0.722 (база от 11/12/2010; 07:05)
Список процессовИмя файла PID Описание Copyright MD5 Информация
c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1972 Application Layer Gateway Service © Microsoft Corporation. All rights reserved. ?? 43.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\System32\alg.exe
c:\program files\kaspersky lab\kaspersky crystal\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 680 Kaspersky Anti-Virus Copyright © Kaspersky Lab 1997-2009. ?? 332.54 КБ, rsAh,
создан: 25.03.2010 17:41:44,
изменен: 25.03.2010 17:41:44
Командная строка:
"C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL\avp.exe"
c:\program files\kaspersky lab\kaspersky crystal\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1916 Kaspersky Anti-Virus Copyright © Kaspersky Lab 1997-2009. ?? 332.54 КБ, rsAh,
создан: 25.03.2010 17:41:44,
изменен: 25.03.2010 17:41:44
Командная строка:
"C:\Program Files\Kaspersky Lab\Kaspersky CRYSTAL\avp.exe" -r
c:\windows\system32\csrss.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 940 Client Server Runtime Process © Microsoft Corporation. All rights reserved. ?? 6.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
c:\windows\system32\ctfmon.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 692 CTF Loader © Microsoft Corporation. All rights reserved. ?? 15.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
"C:\WINDOWS\system32\ctfmon.exe"
c:\windows\explorer.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1992 Проводник © Корпорация Майкрософт. Все права защищены. ?? 1010.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\Explorer.EXE
c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1024 LSA Shell (Export Version) © Microsoft Corporation. All rights reserved. ?? 13.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\lsass.exe
c:\windows\system32\nvsvc32.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 200 NVIDIA Driver Helper Service, Version 66.93 © NVIDIA Corporation. All rights reserved. ?? 124.07 КБ, rsAh,
создан: 29.10.2004 11:50:00,
изменен: 29.10.2004 11:50:00
Командная строка:
C:\WINDOWS\system32\nvsvc32.exe
c:\program files\common files\infowatch\cryptostorage\protectedobjectssrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 160 InfoWatch CryptoStorage Protected objects controller service Copyright © 2006 InfoWatch. All rights reserved. ?? 726.55 КБ, rsAh,
создан: 21.12.2009 17:34:38,
изменен: 21.12.2009 17:34:38
Командная строка:
"C:\Program Files\Common Files\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe"
c:\windows\system32\rundll32.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 656 Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены. ?? 32.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
"C:\WINDOWS\system32\RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
c:\windows\system32\services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1012 Приложение служб и контроллеров © Корпорация Майкрософт. Все права защищены. ?? 106.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\services.exe
c:\d&s\стьопа\Рабочий стол\virus removal tool\setup_9.0.0.722_11.12.2010_10-21\setup_9.0.0.722_11.12.2010_10-21.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 784 Kaspersky Virus Removal Tool Copyright © Kaspersky Lab 1997-2009. ?? 322.52 КБ, rsAh,
создан: 11.12.2010 10:10:44,
изменен: 01.10.2009 13:55:56,
имя содержит специальные символы
Командная строка:
"C:\D&S\стьопа\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_11.12.2010_10-21\setup_9.0.0.722_11.12.2010_10-21.exe" -gui -bl
c:\program files\analog devices\soundmax\smagent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 252 SoundMAX service agent component Copyright © 2002 ?? 44.00 КБ, rsAh,
создан: 02.12.2010 13:26:26,
изменен: 20.09.2002 16:50:10
Командная строка:
"C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe"
c:\program files\analog devices\soundmax\smtray.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 668 SoundMAX System Tray Copyright © 2003 Analog Devices ?? 140.00 КБ, rsAh,
создан: 02.12.2010 13:26:26,
изменен: 05.05.2003 8:57:30
Командная строка:
"C:\Program Files\Analog Devices\SoundMAX\SMTray.exe"
c:\windows\system32\spoolsv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1732 Spooler SubSystem App © Microsoft Corporation. All rights reserved. ?? 56.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1312 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\svchost -k rpcss
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1356 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\System32\svchost.exe -k netsvcs
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1544 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\svchost.exe -k NetworkService
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1596 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\svchost.exe -k LocalService
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1180 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\svchost -k DcomLaunch
c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 300 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:\WINDOWS\system32\svchost.exe -k imgsvc
c:\program files\vistadriveicon\vistadrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 708 ?? 129.00 КБ, rsAh,
создан: 30.11.2010 21:17:40,
изменен: 02.01.2008 13:52:02
Командная строка:
"C:\Program Files\VistaDriveIcon\VistaDrv.exe"
c:\windows\system32\winlogon.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 964 Программа входа в систему Windows NT © Корпорация Майкрософт. Все права защищены. ?? 497.50 КБ, rsAh,
создан: 27.06.2008 9:50:34,
изменен: 27.06.2008 9:50:34
Командная строка:
winlogon.exe
Обнаружено:25, из них опознаны как безопасные 25
Имя модуля Handle Описание Copyright MD5 Используется процессами
C:\WINDOWS\system32\USER32.dll
Скрипт: Kарантин, Удалить, Удалить через BC 2117468160 Библиотека клиента USER API Windows XP © Корпорация Майкрософт. Все права защищены. -- 1972, 680, 1916, 940, 692, 1992, 1024, 200, 160, 656, 1012, 784, 252, 668, 1732, 1312, 1356, 1544, 1596, 1180, 300, 708, 964
Обнаружено модулей:365, из них опознаны как безопасные 364

Модули пространства ядраПлагин Базовый адрес Размер в памяти Описание Производитель
C:\WINDOWS\System32\Drivers\dump_atapi.sys
Скрипт: Kарантин, Удалить, Удалить через BC F73AE000 018000 (98304)
C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Скрипт: Kарантин, Удалить, Удалить через BC F9F5C000 002000 (8192)
C:\WINDOWS\system32\ntoskrnl.exe
Скрипт: Kарантин, Удалить, Удалить через BC 804D7000 216600 (2188800) Системный модуль ядра NT © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\DRIVERS\NVxbar.sys
Скрипт: Kарантин, Удалить, Удалить через BC F8151000 004000 (16384) NVIDIA WDM A/V Crossbar Copyright © NVIDIA Corp.1999-2002
C:\WINDOWS\system32\DRIVERS\tcpip.sys
Скрипт: Kарантин, Удалить, Удалить через BC F7AB9000 059000 (364544) TCP/IP Protocol Driver © Microsoft Corporation. All rights reserved.
Обнаружено модулей - 123, опознано как безопасные - 118

СлужбыСлужба Описание Статус Файл Группа Зависимости
Обнаружено - 86, опознано как безопасные - 86

ДрайверыСлужба Описание Статус Файл Группа Зависимости
NVXBAR
Драйвер: Выгрузить, Удалить, Отключить nVidia WDM A/V Crossbar Работает C:\WINDOWS\system32\DRIVERS\NVxbar.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
Tcpip
Драйвер: Выгрузить, Удалить, Отключить Драйвер протокола TCP/IP Работает C:\WINDOWS\system32\DRIVERS\tcpip.sys
Скрипт: Kарантин, Удалить, Удалить через BC PNP_TDI IPSec
Abiosdsk
Драйвер: Выгрузить, Удалить, Отключить Abiosdsk Не запущен Abiosdsk.sys
Скрипт: Kарантин, Удалить, Удалить через BC Primary disk  
abp480n5
Драйвер: Выгрузить, Удалить, Отключить abp480n5 Не запущен abp480n5.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
adpu160m
Драйвер: Выгрузить, Удалить, Отключить adpu160m Не запущен adpu160m.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Aha154x
Драйвер: Выгрузить, Удалить, Отключить Aha154x Не запущен Aha154x.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
aic78u2
Драйвер: Выгрузить, Удалить, Отключить aic78u2 Не запущен aic78u2.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
aic78xx
Драйвер: Выгрузить, Удалить, Отключить aic78xx Не запущен aic78xx.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
AliIde
Драйвер: Выгрузить, Удалить, Отключить AliIde Не запущен AliIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
amsint
Драйвер: Выгрузить, Удалить, Отключить amsint Не запущен amsint.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
asc
Драйвер: Выгрузить, Удалить, Отключить asc Не запущен asc.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
asc3350p
Драйвер: Выгрузить, Удалить, Отключить asc3350p Не запущен asc3350p.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
asc3550
Драйвер: Выгрузить, Удалить, Отключить asc3550 Не запущен asc3550.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Atdisk
Драйвер: Выгрузить, Удалить, Отключить Atdisk Не запущен Atdisk.sys
Скрипт: Kарантин, Удалить, Удалить через BC Primary disk  
cd20xrnt
Драйвер: Выгрузить, Удалить, Отключить cd20xrnt Не запущен cd20xrnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Changer
Драйвер: Выгрузить, Удалить, Отключить Changer Не запущен Changer.sys
Скрипт: Kарантин, Удалить, Удалить через BC Filter  
CmdIde
Драйвер: Выгрузить, Удалить, Отключить CmdIde Не запущен CmdIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
Cpqarray
Драйвер: Выгрузить, Удалить, Отключить Cpqarray Не запущен Cpqarray.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
dac960nt
Драйвер: Выгрузить, Удалить, Отключить dac960nt Не запущен dac960nt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
dpti2o
Драйвер: Выгрузить, Удалить, Отключить dpti2o Не запущен dpti2o.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
hpn
Драйвер: Выгрузить, Удалить, Отключить hpn Не запущен hpn.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
i2omgmt
Драйвер: Выгрузить, Удалить, Отключить i2omgmt Не запущен i2omgmt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI Class  
i2omp
Драйвер: Выгрузить, Удалить, Отключить i2omp Не запущен i2omp.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ini910u
Драйвер: Выгрузить, Удалить, Отключить ini910u Не запущен ini910u.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
IntelIde
Драйвер: Выгрузить, Удалить, Отключить IntelIde Не запущен IntelIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
lbrtfdc
Драйвер: Выгрузить, Удалить, Отключить lbrtfdc Не запущен lbrtfdc.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
mraid35x
Драйвер: Выгрузить, Удалить, Отключить mraid35x Не запущен mraid35x.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
PCIDump
Драйвер: Выгрузить, Удалить, Отключить PCIDump Не запущен PCIDump.sys
Скрипт: Kарантин, Удалить, Удалить через BC PCI Configuration  
PCIIde
Драйвер: Выгрузить, Удалить, Отключить PCIIde Не запущен PCIIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
PDCOMP
Драйвер: Выгрузить, Удалить, Отключить PDCOMP Не запущен PDCOMP.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
PDFRAME
Драйвер: Выгрузить, Удалить, Отключить PDFRAME Не запущен PDFRAME.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
PDRELI
Драйвер: Выгрузить, Удалить, Отключить PDRELI Не запущен PDRELI.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
PDRFRAME
Драйвер: Выгрузить, Удалить, Отключить PDRFRAME Не запущен PDRFRAME.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
perc2
Драйвер: Выгрузить, Удалить, Отключить perc2 Не запущен perc2.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
perc2hib
Драйвер: Выгрузить, Удалить, Отключить perc2hib Не запущен perc2hib.sys
Скрипт: Kарантин, Удалить, Удалить через BC Filter  
ql1080
Драйвер: Выгрузить, Удалить, Отключить ql1080 Не запущен ql1080.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Ql10wnt
Драйвер: Выгрузить, Удалить, Отключить Ql10wnt Не запущен Ql10wnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ql12160
Драйвер: Выгрузить, Удалить, Отключить ql12160 Не запущен ql12160.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ql1240
Драйвер: Выгрузить, Удалить, Отключить ql1240 Не запущен ql1240.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ql1280
Драйвер: Выгрузить, Удалить, Отключить ql1280 Не запущен ql1280.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Simbad
Драйвер: Выгрузить, Удалить, Отключить Simbad Не запущен Simbad.sys
Скрипт: Kарантин, Удалить, Удалить через BC Filter  
Sparrow
Драйвер: Выгрузить, Удалить, Отключить Sparrow Не запущен Sparrow.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
sym_hi
Драйвер: Выгрузить, Удалить, Отключить sym_hi Не запущен sym_hi.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
sym_u3
Драйвер: Выгрузить, Удалить, Отключить sym_u3 Не запущен sym_u3.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
symc810
Драйвер: Выгрузить, Удалить, Отключить symc810 Не запущен symc810.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
symc8xx
Драйвер: Выгрузить, Удалить, Отключить symc8xx Не запущен symc8xx.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
TosIde
Драйвер: Выгрузить, Удалить, Отключить TosIde Не запущен TosIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
ultra
Драйвер: Выгрузить, Удалить, Отключить ultra Не запущен ultra.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
WDICA
Драйвер: Выгрузить, Удалить, Отключить WDICA Не запущен WDICA.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
Обнаружено - 186, опознано как безопасные - 137

АвтозапускИмя файла Статус Метод запуска Описание
C:\WINDOWS\System32\drivers\dwprot.sys
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\DwProt, EventMessageFile
Удалить
C:\WINDOWS\System32\hidserv.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\HidServ\Parameters, ServiceDll
Удалить
C:\WINDOWS\System32\igmpv2.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IGMPv2, EventMessageFile
Удалить
C:\WINDOWS\System32\ipbootp.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPBOOTP, EventMessageFile
Удалить
C:\WINDOWS\System32\iprip2.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\IPRIP2, EventMessageFile
Удалить
C:\WINDOWS\System32\ospf.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPF, EventMessageFile
Удалить
C:\WINDOWS\System32\ospfmib.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\OSPFMib, EventMessageFile
Удалить
C:\WINDOWS\System32\polagent.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\PolicyAgen­t, EventMessageFile
Удалить
C:\WINDOWS\System32\spmsg.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Wudf01000, EventMessageFile
Удалить
C:\WINDOWS\System32\syssetup.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\Setup, EventMessageFile
Удалить
C:\WINDOWS\System32\tssdis.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\TermServSe­ssDir, EventMessageFile
Удалить
C:\WINDOWS\System32\user32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\USER32, EventMessageFile
Удалить
C:\WINDOWS\system32\MsSip1.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\M­S Subjects 1, $DLL
Удалить
C:\WINDOWS\system32\MsSip2.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\M­S Subjects 2, $DLL
Удалить
C:\WINDOWS\system32\MsSip3.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\WinTrust\SubjectPackages\M­S Subjects 3, $DLL
Удалить
C:\WINDOWS\system32\psxss.exe
Скрипт: Kарантин, Удалить, Удалить через BC -- Ключ реестра HKEY_LOCAL_MACHINE, System\CurrentControlSet\Control\Session Manager\SubSystems, Posix
C:\WINDOWS\system32\stisvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System, EventMessageFile
Удалить
kbd101.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver JPN
Удалить
kbd101a.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\i8042prt\Parameters, LayerDriver KOR
Удалить
logon.scr
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Control Panel\Desktop, scrnsave.exe
Удалить
logon.scr
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-18\Control Panel\Desktop, scrnsave.exe
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Control Panel\IOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-19\Control Panel\IOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-20\Control Panel\IOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-18\Control Panel\IOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-1708537768-838170752-1801674531-1003\Control Panel\IOProcs, MVB
Удалить
vgafix.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fixedfon.fon
Удалить
vgaoem.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oemfonts.fon
Удалить
vgasys.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, fonts.fon
Удалить
Обнаружено элементов автозапуска - 581, опознано как безопасные - 552

Плагины Microsoft Internet Explorer (BHO, панели ...)Имя файла Тип Описание Производитель CLSID
Обнаружено элементов - 7, опознано как безопасные - 7

Плагины ПроводникаИмя файла Назначение Описание Производитель CLSID
deskpan.dll
Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея {42071714-76d4-11d1-8b24-00a0c9068ff3}
Удалить
Расширения оболочки для сжатия файлов {764BF0E1-F219-11ce-972D-00AA00A14F56}
Удалить
Контекстное меню шифрования {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}
Удалить
Панель задач и меню ''Пуск'' {0DF44EAA-FF21-4412-828E-260A8728E7F1}
Удалить
Avi Properties Handler {87D62D94-71B3-4b9a-9489-5FE6850DC73E}
Удалить
rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
Удалить
Учетные записи пользователей {7A9D77BD-5403-11d2-8785-2E0420524153}
Удалить
Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
Удалить
Обнаружено элементов - 199, опознано как безопасные - 191

Плагины системы печати (мониторы печати, провайдеры)Имя файла Тип Наименование Описание Производитель
Обнаружено элементов - 5, опознано как безопасные - 5

Задания планировщика задач Task SchedulerИмя файла Имя задания Состояние задания Описание Производитель
Обнаружено элементов - 0, опознано как безопасные - 0

Параметры SPI/LSP
Поставщики пространства имен (NSP) Поставщик Статус Исполняемый файл Описание GUID
Обнаружено - 3, опознано как безопасные - 3

Поставщики транспортных протоколов (TSP, LSP) Поставщик Исполняемый файл Описание
Обнаружено - 17, опознано как безопасные - 17

Результаты автоматического анализа параметров SPI
Параметры LSP проверены. Ошибок не обнаружено
Порты TCP/UDPПорт Статус Remote Host Remote Port Программа Примечания
Порты TCP
135 LISTENING 0.0.0.0 24652 [1312] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
445 LISTENING 0.0.0.0 51403 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
1031 LISTENING 0.0.0.0 30842 [1972] c:\windows\system32\alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
1110 LISTENING 0.0.0.0 53440 [1916] c:\program files\kaspersky lab\kaspersky crystal\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
12321 LISTENING 0.0.0.0 41193 [1916] c:\program files\kaspersky lab\kaspersky crystal\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
19780 LISTENING 0.0.0.0 47292 [1916] c:\program files\kaspersky lab\kaspersky crystal\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
Порты UDP
123 LISTENING -- -- [1356] c:\windows\system32\svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
445 LISTENING -- -- [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
500 LISTENING -- -- [1024] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
4500 LISTENING -- -- [1024] c:\windows\system32\lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  

Downloaded Program Files (DPF)Имя файла Описание Производитель CLSID URL-загрузки
Обнаружено элементов - 0, опознано как безопасные - 0

Апплеты Панели управления (CPL)Имя файла Описание Производитель
Обнаружено элементов - 24, опознано как безопасные - 24

Active SetupИмя файла Описание Производитель CLSID
Обнаружено элементов - 12, опознано как безопасные - 12

Файл hostsЗапись файла hosts

127.0.0.1 localhost

Протоколы и обработчикиИмя файла Тип Описание Производитель CLSID
Обнаружено элементов - 24, опознано как безопасные - 24

Подозрительные объектыФайл Описание Тип
C:\WINDOWS\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)
\SystemRoot\system32\DRIVERS\klif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)


Основной скрипт исследования
Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP="Service Pack 3"
Восстановление системы: Отключено
1.1 Поиск перехватчиков API, работающих в пользовательском режиме
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Обнаружена модификация IAT: CreateProcessA - 00C90010<>7C80236B
Обнаружена модификация IAT: GetModuleFileNameA - 00C90080<>7C80B55F
Обнаружена модификация IAT: GetModuleFileNameW - 00C900F0<>7C80B465
Обнаружена модификация IAT: CreateProcessW - 00C90160<>7C802336
Обнаружена модификация IAT: LoadLibraryW - 00C90240<>7C80AEDB
Обнаружена модификация IAT: LoadLibraryA - 00C90320<>7C801D7B
Обнаружена модификация IAT: GetProcAddress - 00C90390<>7C80AE30
Обнаружена модификация IAT: FreeLibrary - 00C90400<>7C80AC6E
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в привилегированном режиме
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
  SDT = 8055A220
  KiST = 804E26A8 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (8058D0A1->F811C598), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805678DD->F811CE18), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805879EB->F811D92E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8056D57A->F811DEA0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8056CDC0->F811D0FA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057065D->F811B442), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80578037->F811DD78), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (80583F3F->F811C19E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805975B1->F811DC34), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805652B3->F811C35A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8057243B->F811DFD2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (8059F509->F811FC14), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8058E63F->F811CAB6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805DB124->F811DCD6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (8065B1CD->F811F606), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (805952BE->F811BA06), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80592D50->F811BD94), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8058EFAD->F811D582), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805715E0->F81205D6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80570D64->F811BED6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F811BF80), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057AAB5->F811D38E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A3AF1->F811F698), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805AED5D->F811B41E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805AEB9A->F811B430), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (80573B61->F811FCC8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8058A68D->F811C0CC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8057DCDD->F811DF42), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056CD5B->F811CE9A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80568D59->F811B5E8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (805780E5->F811DE10), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805717C7->F811C79E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (80570FD7->F811FC3E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (8059EFC5->F811E074), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058A1BD->F811C6C2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80570A6D->F811C02A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8064E320->F811BC52), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (8057D4CC->F811FFE0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F811B8A2), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (8059108B->F811F92E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064E79E->F811BB1A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064F0FA->F811B2BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (8057CCDA->F811E3FE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (8056B82E->F811E2C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (80576CE6->F811F3A6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064EC91->F8122E38), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8058ECB2->F81204B8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064ED92->F811B254), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (8058F4DE->F811D668), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062DCDF->F811CCD4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805A86F0->F811EC56), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059B19B->F811F792), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A7BDD->F8120120), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80572889->F811B72A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062F8C1->F8120204), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E045E->F812032C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80649CE3->F811F532), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805822E0->F811C916), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B885->F811C86C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (805736E6->F811FE96), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057E420->F811C9F6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (80512919) - модификация машинного кода. Метод JmpTo jmp F81114DC \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804E875A) - модификация машинного кода. Метод JmpTo jmp F81118B6 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 61, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll"

Выполняется исследование системы...
Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить, false-отключить)
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() - помещение файла на карантин
Вставить заготовку для BC_QrFile() - помещение файла на карантин через BC
Вставить заготовку для DeleteFile() - удаление файла
Вставить заготовку для DelCLSID() - удаление CLSID-класса из реестра

Ребят, выручайте! Все мои сетевые действия постоянно контролирует один очень хитрый человек/программер, опытный до безобразия...Антивирусы, фаерволлы, брандмауэр, разного рода утилиты не помогают, вернее ничего не находят. Сделал лог HiJack - ом, посмотрите пожалуйста!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:41, on 08.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Mobile Internet\Mobile Internet.exe
C:\Program Files\Yandex\Punto Switcher\punto.exe
C:\WINDOWS\system32\CTFMON.EXE
D:\installs\Tcpview.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O4 - HKLM\. .\Run: [USB Antivirus] C:\Program Files\USB Disk Security\USBGuard.exe
O4 - HKLM\. .\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\. .\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\. .\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\. .\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\. .\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\. .\Run: [Mobile Partner] "C:\Program Files\Mobile Internet\Mobile Internet.exe"
O4 - HKCU\. .\Run: [uTorrent] "C:\Program Files\uTorrent\utorrent.exe"
O4 - HKCU\. .\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\. .\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\. .\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\. .\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\. .\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\. .\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\. .\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\. .\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O4 - Startup: Create virtual drive for Denwer.lnk = C:\WebServers\denwer\Boot.exe
O4 - Startup: Create virtual drive.lnk = C:\WebServers\etc\utils\Boot.exe
O4 - Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\. .\{4D2D9381-605C-4BF9-9A70-0427E8079A6F}: NameServer = 193.41.60.30 193.41.60.18
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9157 bytes

Я уже подумываю обращаться в спецорганы)) Аж не смешно)))

Ребят, как быть? По сабжу - уверен на 100 процентов!