Получил новый процесс AVZ его подозревает

[Jadou]

nxmg.exe сразу в c:\WINDOWS сел , вместе с fxuf.exe .
Созданы были примерно полтора часа назад одновременно вместе
с
NXMG.EXE-046EF69A.pf (11kb)
NXMG.EXE-138B7D31.pf (12kb)
FXUF.EXE-15A2F968.pf (11kb)
FXUF.EXE-16DB4A08.pf (12kb)
в c:\WINDOWS\Prefetch

Сначала просто на c:\ появились , я удалил .
Перезагрузил , нашел новый ,как мне кажется,процесс (nxmg.exe) .
Попробовал удалить nxmg из c:\WINDOWS . В результате ,после
перезагрузки , получил сообщение что nxmg не найден и у меня
ни одной программы не вышло запустить . В безопасном режиме
скопировал обратно заведомо сохраненную копию nxmg , пере-
загрузил . Процесс опять запустился , программы работают , но
вот что говорит про него AVZ :

Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe c:\windows\nxmg.exe"
(это после сканирования)

explorer.exe C:\WINDOWS\nxmg.exe
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell

explorer.exe C:\WINDOWS\nxmg.exe
C:\WINDOWS\system.ini, boot, shell

ключ реестра ...

(это после исследования системы)

Я возможно в чем то ошибаюсь , но все же прошу специалистов
меня успокоить , или помочь с решением проблемы , если она
все же есть . Не помню я такого процесса ...nxmg Вредных
программ не находит , подозревает конечно DAP в ADWare немного
>_> Обновлять - обновлял , NOD32 вроде то же на стреме всегда .

Я и в google пробовал поискать nxmg и fxuf - ничего толкового
не нашел . fxuf процесса нет конечно , но создан он был
одновременно с nxmg .

Надеюсь кто-нибудь пояснит/поможет/прокоментирует ..?

[Muzzle]

выполните правила http://virusinfo.info/showthread.php?t=1235

[Jadou]

Точно , забыл про правила совсем в торопях .
Вроде HiJackThis зафиксировал его ...

Вернусь , если что ...в следующий раз уже по правилам

[Jadou]

...я вернулся .
Обновил NOD32 сегодня и он честно мне сказал :

01.) Файл C:\WINDOWS\fxuf.exe инфицирован модифицированный Win32/TrojanDropper.Delf.
NFP троян. Файл может быть удален. Рекомендуется сделать копии любых критических
данных перед продолжением. Очистка невозможна

02.) Файл C:\WINDOWS\nxmg.exe инфицирован модифицированный Win32/TrojanDropper.Delf.
NFP троян. Файл может быть удален. Рекомендуется сделать копии любых критических
данных перед продолжением. Очистка невозможна

...вот такие вот дела...

Удалять боюсь (см.первый пост) nxmg . Вдруг опять ничего грузить
не будет после ... а копии сделать не могу - не копирует их , что
странно .

Процесс nxmg пофиксил , а вот исходники остались .

Что делать ?
Логи прилагаю .

К слову , что значит "изолирован" ? У меня сейчас они оба
изолированы NOD32 говорит .

[Jadou]

Забыл дописать ...

Это нормально когда svchost-ов сразу 6 процессов по умолчанию
идет ?

svchost.exe LOCAL SERVICE
svchost.exe NETWORK SERVICE
svchost.exe SYSTEM
svchost.exe NETWORK SERVICE
svchost.exe SYSTEM
svchost.exe SYSTEM

[Muzzle]

Так не пойдёт,Вы читали правила?у вас очееееееееееень старая AVZ ,текущая версия 4.27,скачайте её и сделайте логи снова.
да это нормально когда svchost-ов сразу 6 процессов.

[Jadou]

Правила читал , AVZ качал , обновил базы .
Но сканировать он (в отличие от моего старого) отказывается -
говорит "RichEdit line insertion error" ...

...уже дальше и не знаю чего делать >_>

[PavelA]

в старой или новой AVZ выполнить:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
ExecuteSysClean;
RebootWindows(true);
end.

Задания в Планировщике удалить.

DownloadAccelerator - деинсталлировать. Пользоваться нужно чем-нибудь более чистым.

[Jadou]

Хм...без обид . А что будет ?
В смысле , это поможет ? Удалит оба эти вируса ?

Просто , если будут какие то неожиданные для меня последствия ,
то желательно о них предупредить заранее .

[PavelA]

Rpcc.dll это троян.
Смотри http://virusinfo.info/showthread.php?t=7049

Хуже от его удаления точно не станет.
Ежели не веришь, то проверь этот файлик на virustotal.com

В DownloadAccelerator живет Adware.

Это только начало, затем будем удалять остальную компанию.

[Jadou]

Ясно . Как выполнить скрипт ? Уточняю , так как в правилах не
помню чтобы пересекался со скриптами .

[V_Bond]

выполнить скрипт