Троян не ловится

Симптомы такие:

Нездоровая активность svchost и черезмерное их количество.

Служб всяких и библиотек тоже запущено слишком по-моему...

До сноса системы, при попытке войти в Documents and Settings, комп крепко и надолго задумывался (хотя особо винтом не трещал).

Черезмерные спонтанные тормоза и подвисания.

Переустанавливал систему, заметил- у обоих моих дисков появились неразмеченные области по 7 мегов.

После форматирования диска, при установке приложений(тех, которые у меня стояли раньше) сведения о некоторых уже обнаруживаются в реестре. Сильно подозреваю что тут замешан некий "Мастер переноса файлов и параметров" - при входе в систему он уже выполнен и завершен, это видно по списку последних выполненных приложений.

Ни один анивирус , антитроян, антишпион и вообще ничего, что я смог найти в нете не выявил сам торян(только Ad-Awere переодически находит какие-нибудь MRU-Lists).

Сечас блокирую все подрят Comodo Firewall. В нет постоянно рвутся (преимущественно через другие прогаммы) svchost, ехplorer и system

Вобщем самотоятельные мои попытки справиться полность провалились, очень расчитываю на Вашу помощь....

IMHO, нет у вас никакого трояна. Во всяком случае, по логам не видно.

Маленькие неразмеченные области при создании разделов оставляет установщик Windows, честно говоря, не знаю зачем.

"Мастер переноса" однозначно ни в чем не виноват.

Ненужные системные службы, естественно, надо поотключать, тогда количество и активность svchost'ов уменьшится. А в интернет, в частности, стучится запущенная у вас служба автообновлений Windows.

"Тормоза" могут, например, объясняться перегревом процессора.
Проверьте, включен ли режим DMA для жесткого диска. Также советую проверить поверхность жесткого диска программой MHDD.

вот и я ничего не понимаю... нет его, а он есть..

иначе не объяснить произвольное открытие сд приводов и утечки памяти..
и старый реестр после форматирования диска?

с охлаждением у меня все ок(50С мах) да и с мощностью компа тоже core 2 duo 2.4mgz 2gb pc6400, wd raptor 10000rpm
ну не должна такая конфа тормозить как только сеть подрубаешь

+ внезапные загрузки чего-то куда-то (не запущено никаких приложений а винт трещит просто ужас)

когда я только заметил эту проблему и постмотрел на активные процессы svchost'ов штук 15 - 20 работало

[quote=KillJoy;107885]...ну не должна такая конфа тормозить как только сеть подрубаешь

+ внезапные загрузки чего-то куда-то (не запущено никаких приложений а винт трещит просто ужас)[/quote]-в подобных ситуациях здорово помогают утилиты выполняющие cетевой анализ и мониторинг, вот например [URL="http://www.microsoft.com/technet/sysinternals/Networking/TcpView.mspx"]TCPView[/URL] или [URL="http://www.tamos.ru/products/commview/"]CommView[/URL]: [quote=CommView®;]это программа для перехвата и анализа трафика Интернета и локальной сети. Она собирает информацию о данных, проходящих через модем (dial-up) или сетевую карту и декодирует анализируемые данные. С помощью CommView вы можете видеть список сетевых соединений, IP-статистику и исследовать отдельные пакеты. IP-пакеты декодируются вплоть до самого низкого уровня с полным анализом распространенных протоколов.[/quote][quote=KillJoy;107885] когда я только заметил эту проблему и постмотрел на активные процессы svchost'ов штук 15 - 20 работало[/quote]-c каждой из них поможет разобраться [URL="http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx"]Process Explorer[/URL], при наведении мыша на тот или иной процесс можно получить массу информации, вплоть до его описания, ключей реестра, используемых библиотек и т.п. и т.д.

[IMG]http://img167.imageshack.us/img167/6729/processexplorervj1.gif[/IMG]

Давайте посмотрим один файлик, всяко бывает...
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wininet.dll','');
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.

ProcessExplorer видит у некоторых приложений пользователя S-1-5-5-0-55434 - группа неизвесна.
в задействованых соединениях(если я правильно понял что это за пункт такой) есть адрес хоста 127.0.0.1

новые логи (3-й день после сноса системы svchostov уже до 8 шт)

@KillJoy
Скажите , а Вы абсолютно уверены, что никакая антивирусная программа Вам не нужна? :)
[QUOTE=Bratez;107874]IMHO, нет у вас никакого трояна. Во всяком случае, по логам не видно.[/QUOTE]
FULL ACK!

Файл из карантина проверил на Virustotal:
[I]No virus found [/I]- единогласно.

до переустановки пользовался nod32
первые логи я сделал практически на голой системе..
могу подождать пока опять трэш не начнется, может так картина яснее будет

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]