Диспетчер задач + Службы терминалов и прочее...

Здравствуйте.
Началось все с вторника (около того), я оставил комп на ночь, чтобы сжать кое-какие файлы, на утро я увидил, что произошла ошибка [B]Generic Host Proccess for Win32 Services[/B] и как обычно две кнопки отправить и не отправлять. После этого все встало.Потом я заметил, что пропали имена пользователей рядом с процессами в "Диспетчере задач", решил проверить службы и увидил, что [B]"Службы терминалов" выключенны, попробывал запустить, на что получил ответ "Cлyжбa "Cлyжбы тepминaлoв" нa "Лoкaльный кoмпьютep" былa зaпyщeнa и зaтeм ocтaнoвлeнa. Heкoтopыe cлyжбы aвтoмaтичecки ocтaнaвливaютcя, ecли им нeчeгo дeлaть, нaпpимep, cлyжбa жypнaлoв и oпoвeщeний пpoизвoдитeльнocти."[/B]
Сразу понял что-то не то происходит. Решил установить Pand'у, но после перезагрузки выдал ошибку [B]"Невозможно прочитать память и ....". [/B]Потом появлялось окно с отсчетом времени с перезагрузкой (как это бывает если завершить svchost.exe). Даже в Безапасном режиме тоже самое было. После я запустил систему с последней точкой правильной работы системы. Удалил панду и поставил НОД32 и обновил базу, нашел червяк и пару троянов, все удалил, но всеравно имена возле процессов не появлялись и не удавалось вкл. службу терминалов. Дальше история продолжается, на следующий день svchost.exe стал грузить процессор на 100% и комп начал подвисать на некоторе время. Когда я завершал процесс нода32 тоже вис причем сразу. Удалил, нод32 все стало как прежде, но проблему с терминалом не решило.
Маленькое отступление: также я заметил, что пересатли работать STEAM игры и винамп, выдавая сообщение, что произошла ошибка, как и с [B]Generic Host Proccess for Win32 Services[/B]. Только при выключении службы [B]"Инcтpyмeнтapий yпpaвлeния Windows"[/B] они запускались. Дальше я удалил нод32 и поставил KAV последний (пробную версию) в ходе проверки антивирус обнаружил, что файл [B]hosts - Host.Vulnerabi[/B]lity и вылечил его, но при каждом новом входе в Виндовс он повторяет тоже самое и файл тот весит 8кб (в нем написаны адресса антивирусных сайтов). Дальше я решил обновится у Билла , т.к. Виндовс не лицензионный, пришлось сделать его таким))) Скачал обновелние SP3 около 65мб, установил перезагрузился и о чудо появились возле с процессами имена польз. и "служба заработала", дальше я решил еще обновится у того же Билла и закрыть другие уязвимости (около 36 штук).Установил и перезагрузился. После чего опять пропали имена ползователей и служба терминалов выдает тоже самое, что и раньше.
-------------------
Теперь даже незнаю, что и придумать есть идея поставить KIS и им проверить. А так вот файлы из AVZ и HijackThis
-----------------
Файл virusinfo_cure.zip оказался большим и не крепился к сообщению залил на народ: [URL="http://narod.ru/disk/2836503000/virusinfo_cure.zip.html"][B]скачать[/B][/URL]
---------------
PS: Также заметно уменьшилась скорость инета.
PS2: Зарание спасибо ;)

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Что-то не удалось вложить файлы в первый пост

Попробуйте приложить логи к новому сообщению.

Вроде прикрепились :), кроме файла virusinfo_cure.zip он весит 1,12мб и не влезает.

[QUOTE=Xeo;289800]кроме файла virusinfo_cure.zip он весит 1,12мб и не влезает.[/QUOTE]Прочитайте в правилах какие файлы нужно прикреплять.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\nvyss.dll','');
QuarantineFile('C:\Program Files\Win\Default\lexplorer.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\nvyss.dll');
DeleteFile('C:\Program Files\Win\Default\lexplorer.exe');
DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll');
DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}');
DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.

Выполнил скрипт с сделал логи и отправил файлы из карантина. В диспетчере появились имена пользователей рядом с процессами и служба терминалов заработала :).
Осталось одна проблема, которую так и не удалось решить с падением STEAM игр и Winamp'ом (который сначала не падал, первыми были STEAM игры). Помогает только отключение службы [B]"Инcтpyмeнтapий yпpaвлeния Windows",[/B] но я незнаю как это сказывается на работе других приложений в том числе и инета, т.к. брандурмейкер виндовский не пашет (хотя я его и так выключаю).

[QUOTE]Файл сохранён как 080927_083557_virus_48de36bda394e.zip
Размер файла 1633482
MD5 18ebfd52a727171f8fe78294dfa6d648[/QUOTE]

логи переделать в нормальном режиме .... как положено

Сделал логи в нормальном режиме, был найден руткит Kist...
-----------

[QUOTE=Xeo;289918]Сделал логи в нормальном режиме, был найден руткит Kist...
[/QUOTE]Читайте предложение громко вслух
[QUOTE]!!! Внимание !!! Восстановлено 41 функций KiST в ходе работы антируткита[/QUOTE]

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
[/CODE]
Больше ничего плохого не видно.
Проблема решена?

пофиксите
[code]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
O17 - HKLM\System\CS3\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
[/code]
hijackthis.log повторите

Но проблема не решена с падением STEAM игр и Winamp'ом (который сначала не падал, первыми были STEAM игры). Помогает только отключение службы [B]"Инcтpyмeнтapий yпpaвлeния Windows".[/B] Еще заметил комп не перезагружается сам, а просто висит при надписи сохранение параметров, только мышка с тормозами двигается... Также смущают строки в AVZ :
[QUOTE]Функция NtReplaceKey (C1) перехвачена (8064F0FA->B503DC12), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно ![/QUOTE]
При проверки...

[quote=V_Bond;289923]пофиксите
[code]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.58 85.255.112.224
O17 - HKLM\System\CS3\Services\Tcpip\..\{0C1E646A-3D47-4F1E-A990-354EFE8760DF}: NameServer = 85.255.115.58,85.255.112.224
[/code]
hijackthis.log повторите[/quote]
лог

в логах ничего подозрительного
klif.sys - драйвер касперского ...

Видимо придется выключить службу "[B]Инcтpyмeнтapий yпpaвлeния Windows"[/B] больше никак :)

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 38 минут[/I][/B][/color][/size]

Все заработало даже со службой. Пришлось поковырятся, чтобы все нормально работало. Большое спасибо за помощь! ;) Как денежка будет поддержу проект...спасибо еще раз.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\twext.exe - [B]Trojan-Downloader.Win32.Agent.ahxw[/B] (DrWEB: Trojan.PWS.Panda.19)[/LIST][/LIST]