svchost жрет 99% ресурсов; вот диагностика

Господа!

У меня один из процессов svchost в Диспетчере задач стал потреблять 99% процессора. Имя пользователя Было указано SYSTEM.
При попытке выключить через Диспетчер появлялось окно с сообщением, что из-за остановки службы DCOM комп будет перезагружен (и таймер на минуту, после истечения которой комп перезагружался)

Я выключил в "Службы" DCOM, тогда другой процесс svchost (уже от имени Network что-то) стал так же грузить процессор на 99%.
Когда я прекаращал его, появлялось такое же окно, но уже со ссылкой на службу RPC.

Я в Службы отключил локатор RPC, а саму RPC отключить не могу, поля затенены.

Прогнал весь процесс, описанный в правилах раздела Помогите
([url]http://virusinfo.info/pravila.html[/url])
С тем исключением, что мне не удалось полностью выгрузить McAfee Enterprise: процесс деинсталляции не был завершен, был прерван каким-то другим процессом. А после перезагрузки невозможно было ни штатно удалить, ни с помощью процедур, описанных на сайте McAfee. Видимо, часть файлов была удалена.

После получения отчета AVZ (см приложение 1, а virusinfo_syscheck.zip не было сформировано) я создал и выполнил скрипт:

[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
DelBHO('{83821C2B-32A8-4DD7-B6D4-44309A78E668}');
DelBHO('{16664845-0E00-11D2-8059-000000000000}');
DeleteFile('C:\Program Files\FineReader 7.0 Professional Edition\AbbyyNewsReader.exe');
DeleteFile('C:\Documents and Settings\Vladimir\Local Settings\Application Data\Google\Update\GoogleUpdate.exe');
DeleteFile('C:\Program Files\Network Associates\VirusScan\naievent.dll');
DeleteFile('C:\Program Files\Mail_Ru_Agent\Mra\dll\newmrasearch.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FineReader7NewsReaderPro');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\McLogEvent','EventMessageFile');
ExecuteSysClean;
end.
[/CODE]

И через Службы отключил некоторые задачи:
[CODE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Автоматическое обновление (Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update.) было: Авто Работает
Беспроводная настройка (Предоставляет автоматическую настройку 802.11 адаптеров) было: Авто Работает
[/CODE]

В Outpost'е закрыл порты DCOM (135) для входящих и исходящих направлений

В Приложении 2 файл отчета HijackThis

Помогите решить проблему!

Да, забыл написать главное!

Все это проявляется при подключении к сети - то есть при подключении к локальной сети, в которой у меня ADSL модем. И запуске какого-нибудь сетевого приложения (броузера или почтового клиента).

Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe','');
DeleteFile('C:\Documents and Settings\Vladimir\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=66096[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

карантин выслал;

Файлы прилагаю

Плохого не видно. Что с проблемой?

Да, svchost больше не захватывает ресурсы.

Можно узнать, в чем было дело?

Кстати, этот код в Хайджеке я так и не нашел:
[CODE]O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"[/CODE]
Не уверен, но, возможно, дело в том, что я прогонял CCleaner?

[B]Проявляется еще одна проблема[/B]. ЕЕ я заметил еще до устранения первой. После запуска компьютера [B]OSA9.EXE[/B] сразу же берет 99% процессора. Я его обычно вручную прерывал, и он больше не возобновлялся.

Кроме того, в Диспетчере задач Пользователи стали не видны. Ни во вкладке "Пользователи" - она пустая, ни в таблице процессов.

Можно (и вообще, нужно ли) включать восстановление системы?

[QUOTE='Applefun;553517']Кроме того, в Диспетчере задач Пользователи стали не видны. [/QUOTE]

[QUOTE='Applefun;553099']И через Службы отключил некоторые задачи:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)[/QUOTE]

Восстановление можете включить.
По поводу OSA9.EXE ничего сказать не могу

Можете совершенно спокойно пофиксить эту строчку:
[CODE]O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE[/CODE]
OSA9.EXE - это типа "ускоритель загрузки" офисных программ, толку от него - 0.
То же самое относится к
[CODE]O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe[/CODE]

[B]Bratez[/B] и [B]thyrex[/B], большое спасибо за помощь!

Но все равно, как-то не хочется так оставлять. OSA9.exe раньше скорее всего нормально работала. А теперь чего-то ей не хватает.

И Диспетчер задач Windows теперь не показывает пользователей.
А! Может это потому, что я отключил
[CODE]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);[/CODE]
Хотя нет, там же только "анонимных пользователей".
Можно это как-то восстановить?

[QUOTE='Applefun;553895']И Диспетчер задач Windows теперь не показывает пользователей[/QUOTE]
Включите [I]Службу терминалов[/I].

А, да! Я же ее и отключил.
А она не представляет угрозы безопасности?
[QUOTE]
Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.[/QUOTE]

[QUOTE='Applefun;553911']А она не представляет угрозы безопасности?[/QUOTE]
Представляет.
Что важнее - вам решать.

ОК. [B]Огромное спасибо[/B]! Без Вашей помощи я бы не смог сам решить проблему!

Я тут почитаю на форуме еще, кажется видел статьи, как настроить систему, чтобы работать безопасно.
Это был первый случай, когда я серьезно столкнулся со сбоем, вызванным вирусом.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\vladimir\главное меню\программы\автозагрузка\siszyd32.exe - [B]Trojan-Downloader.Win32.Piker.bax[/B] ( DrWEB: Trojan.DownLoad1.26181, BitDefender: Trojan.Generic.2948370, NOD32: Win32/TrojanDownloader.Bredolab.BG trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]