наверно это вирус

Добрый вечер.
Подскажите мне позжалуйса можно ли что -то сделать (кроме переустановки ОС) в такой ситуации: я заметил недавно что мой ноутбук стал дольше грузиться при вкл(ра ньше пробегала полоса загрузки 2 -2.5 раза -но тут вдруг заметил что проходит 6 -7 раз полоса загр) да и НБ стал притормаживать. Решил я сделать обновление вин д. выбрал в системе параметр: уведомлять но не загружать обновл. без предупреждения - а сам открыл мониторинг сети в KIS 6 смотрю подкл. приложение svhost.exe и пошел трафик(никаких интернет програм не открывал при этом) позже появилось уведомление о готовых обновлениях - я их загр. и устан. (решил что svhost.exe за пускалось для обн.) но потом после перезагр. смотрю ч/з мониторинг сети как только подкл интернет - сразу подкл svhost.exe и передает исх трафик через TCP прич ем если разорвать svhost.exe соед то оно тут же переконнект к др ip ку (смотрел через who is айпишники разных стран: сша, испания и тд) это приложение я заблоки ровал ч/з анти-хакер. Но интересно что это было?В микрософте сказали что сбором информ это быть не может- я же параметр обновл откл в системе полностью. Спросил знакомых сказали что это jeefo, но я посмотрел на сайте касперского он еще и по др называется - Win32.Hidrag -так вот такой вирус у меня kis 6 находил,только это давно было и он нашел его не в системе а в файле котор я загр ч/з интернет и я его даже не открывал. Соответсвенно jeffo я бы обноружил(несколько раз проверял НБ на вирусы ничего не нашел- сигнатуры за 21 мар этого года) и в настр kis проверка вир по макс полная, даже без оптимизации. Вчера вдруг перестало раб соед инт ернет(я использ дуал ап ч/з EDGE) 633 ошибка при подкл. Причем переуст др ры на модем (и стандартн и виндовск блютус др ры) и перезагр тоже и порт виртуальный пытался изменить в св ах модема. Кстати для информации: я посмотрел в отчетах что у меня перед этим н аходил kis -вред програм exploit.Win32.PhpBB.g но этот файл я не откр а сразу удалил и была обнар троянск прогр trojan-downloader.Html.Agent.c на сайте traff.s tep57.info/3/ может это она и прицепилась (примерно после этого все и началось).
Буду рад получить ваш ответ.

Логи нужно прикрепить к сообщению, а через ссылку нужно будет присылать уже файлы, которые мы скажем. Но это после логов :)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
QuarantineFile('C:\WINDOWS\system32\sysenv.dll','');
QuarantineFile('C:\DOCUME~1\LPopil\LOCALS~1\Temp\RtkBtMnt.exe','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

файлы карантина взял в AVZ файл - просмотр карантина - там поставил галочки напротив всех и выбрал - заархивировать. Это правильно ?

Все правильно. Теперь архив нужно закачать по ссылке, как Вы хотели закачать логи :)

Ну да , ну да ...=))) Прислать только не забудьте по ссылке в шапке этой темы : [url=http://virusinfo.info/upload_virus.php?tid=8552]Прислать запрошенные файлы[/url]

Хелперы, добрый день, ну так что нашли у меня что - нибудь. Сто пудов это какой то вирус или троян и наверно неизвестный еще. Просто самому интересно - поэтому не стал сносить винду :)

Присланные файлы чистые :)

MaXim, может тогда троян : ну почему у меня как только подкл интернет лезит прогр svhost.exe в нет и передает трафик через TCP (за 2 3 мин где то по 700 кбайт - для дуал апа это многовато наверно ) да и при этом я не какие программы не откр вообще (только вкл НБ - только подкл нет и сразу ползет только исх трафик- а раньше такого не было ни когда - а я польз им уже мес 5 и такого не замечал ) и если соед разорвать то оно тут же переконект на др ап ник и откр на моем НБ др порт. Да и как объяснить то что при вкл НБ полоса загр винды проходит раз 6 - 7 а раньше только 2 и то неполные - сам я ничего не устанавливал не удалял и в автозагр не трогал - мож там чет и появилось но не по моей же воле (я же систем приложения не знаю какие были какие нет)

Посмотрел логи ещё более внимательно. Можно проверить эти файлы.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\wbem\unsecapp.exe','');
QuarantineFile('C:\DOCUME~1\LPopil\LOCALS~1\Temp\Rar$EX00.125\1.exe','');
QuarantineFile('UBHelper.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\osanbm.sys','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

Но я все равно не уверен что эти файлы имеют отношение к проблеме. Попробуйте отредактировать созданые по умолчанию в KIS правила для svchost.exe. Там слишком много разрешаенно. Оставьте только правило с разрешением DNS. Переведите Анти-Хакер в режим Максимальной защиты (чтобы алерты не мучали) и попробуйте поработать в сети. Если все работает нормально, то так и оставьте.

ок я шас на работе, но когда прейду домой обязательно выполню скрипт.

MaXim, новый карантин добавил.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\wbem\unsecapp.exe');
BC_QrFile('C:\DOCUME~1\LPopil\LOCALS~1\Temp\Rar$EX00.125\1.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Прикрепите файл bclr.log из папки AVZ к своему следующему сообщению.

MaXim, а у меня скрипт был успешно выполнен, но после перезагр в АВЗ в просмотре карантина пусто (там есть за вчерашний день 3 пункта возле которых можно поставить галочку и выбрать а за седнешнее число пусто, причем я же до этого делал скрипт - там был за седн число 2 пункта котор можно было выбратьб - сейчас их нет и новых тоже нет за сегод число ) ??????

А лог получился в папке AVZ?

virusinfo_cure.zip virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscure.html virusinfo_syscheck.html - это все что есть в папке LOG - похоже что это только старые логи а новых нет :((

Удалите папку LOG и получите логи ещё раз

MaXim, извеняюсь что так долго, папку лог удалил и получил новые - теперь прислать их через запрошен файлы или выполнить тот последний скрипт, послк которого неполучились файлы карантина ?

Тогда так. Удалите ещё и папку Quarantine. Выполните скрипт, пришлите файлы карантина по правилам раздела и добавьте логи к своему новому сообщению.

MaXim, удалил ту папку и выполнил скрипт - он выполнился успешно - перезагр комп - но в просмотре карантина пусто (дата сегод числа есть но самих файлов нет и в папке Quarantine - тож пусто ) че такое ? :(