Невидимый процес NFS

ПоможЫте люди добрЫе!

Воопщем такая есть беда: регулярно AntiLeak плагин Outpost'a ловит файл p:\program files\...\nfs.exe за попЫтку внедрения своей библиотечки в драйвер мышки Logitech при загрузке(после входа в систему)

[CODE]17:32:43 NFS.EXE Blocked Application is attempting to control other application window. Process: NFS.EXE, Target: Active window
17:32:19 NFS.EXE Blocked Application is attempting to inject its component into another process. Process: NFS.EXE, Injected: C:\PROGRAM FILES\LOGITECH\SETPOINT\LGSCROLL.DLL
17:30:04 IMAPI.EXE Allowed Application is attempting to control other network-enabled application behavior using OLE. Application: Image Mastering API, Info: IMAPI.MSEnumDiscRecordersObj
17:30:01 NFS.EXE Blocked Application is attempting to control other network-enabled application behavior using OLE. Application: NFS.EXE, Info: Microsoft.RAPIMgr.1[/CODE]Дело в том что такого диска у меня нет, они появляются только при подключении доп винчестеров с несколькими разделами, да и файлов с таким именем соответственно тоже нет... Искал по всем дискам.
Собственно беспокоит то что субьективно как только начал отсвечивать файл NFS стали появлятся пусть и редко различные вредители(последний был vbm.sos), такчто хотелось бы избавится или от файла или от подозрений

[SIZE=1]если кому интересно то подозрения взывают
winkve32.dll - файл неизвестно откуда найден AVZ
AcGenral.DLL,6F880000,1 875 968,C:\WINDOWS\AppPatch\AcGenral.DLL - Starter
comctl32.dll,773D0000,1 056 768,C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll - Starter


[/SIZE]

еще один лог где ?

простите не заметил 8-[
сделал все заново...

Меня заинтересовали немного другие файлы :)
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SL4NT.EXE','');
QuarantineFile('C:\WINDOWS\poserv.exe','');
QuarantineFile('winkve32.dll','');
DeleteService('System Scheduler');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('C:\WINDOWS\system32\winkve32.dll');
DeleteFile('winkve32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=45772[/url]
Профиксить:
[CODE]O20 - Winlogon Notify: winkve32 - winkve32.dll (file missing)[/CODE]

Ooops... лишний svchost я и незаметил 8-[
P.S. virusinfo_cure.zip вЫшлю через 2-3 минуты
[SIZE=1]SL4NT - программка для сбора логов модема
poserv - помню что знаю но не помню что знаю %)
[/SIZE]

выполните скрипт
[code]
begin
DeleteService('Httc2ulwcot');
QuarantineFile('Httc2ulwcot.sys','');
DeleteFile('Httc2ulwcot.sys');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip повторите

выполнил...

что с проблемами ?

Да вроде все ОК... но тотже nfs.exe появлялся раз на 15-20 перезагрузок, так что время покажет 8)
Спасибо [B][URL="http://virusinfo.info/member.php?u=1818"][B][COLOR=#ce7200]PavelA[/COLOR][/B][/URL]
[/B]Спасибо[B] [/B][B][URL="http://virusinfo.info/member.php?u=8246"][B][COLOR=#ce7200]V_Bond[/COLOR][/B][/URL]
[/B]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]