Помогите найти что скрывает svchost.exe

[RainBoy]

Система WinXP Pro, накатаны все патчи

При подключении ее к локалке ложится инет-шлюз (winroute)
Стал проверять - генерит массу коннектов к нему. Толком проверить не могу, т.к. шлюз нужен, а при подключении этой системы он ложится и практически ни на что не реагирует

GMER пишет C:\windows\system32\svchost.exe (hidden)

при этом когда открываешь папку system32 в проводнике файлы постоянно "колбасит" (дергаются на экране -)
также есть файл c:\windows\system32\mssrv32.exe, который нельзя даже скопировать. Когда убиваю скрытый процесс - файло копируется спокойно. Прогнал через virustotal
Microsoft 1.3704 2008.07.09 TrojanDownloader:Win32/Chksyn.gen!ASymantec 10 2008.07.09 XPAntivirus
Все остальные антивири молчат. Может это файло и не вирус совсем, не знаю.

Во вложении - логи от AVZ

virusinfo_syscheck.zip

Подскажите, что за зараза и как убить -)
Спасибо.

[V_Bond]

нужны 3 лога по правилам http://virusinfo.info/showthread.php?t=1235

[RainBoy]

Прошу прощения, сейчас сделаю.

[RainBoy]

hijackthis.log
Вложение 59906
virusinfo_syscheck.zip
virusinfo_syscure.zip

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 BC_DeleteSvc('msupdate');
 DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[RainBoy]

Спасибо, помогло

Прогнал сегодня файл

Файл mssrv32.zip получен 2008.07.10 14:43:39 (CET)
Антивирус Версия Обновление Результат
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 -
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 -
eSafe 7.0.17.0 2008.07.09 -
eTrust-Vet 31.6.5942 2008.07.10 -
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.10 -
Ikarus T3.1.1.26.0 2008.07.10 -
Kaspersky 7.0.0.125 2008.07.10 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 TrojanDownloader:Win32/Chksyn.gen!A
NOD32v2 3257 2008.07.10 -
Norman 5.80.02 2008.07.10 -
Panda 9.0.0.4 2008.07.09 -
Prevx1 V2 2008.07.10 -
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 XPAntivirus
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 -
VBA32 3.12.6.9 2008.07.10 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.10 -

Грустно -(

[Гриша]

Какой файл прогнали?Повторите логи...

[RainBoy]

файл c:\windows\system32\mssrv32.exe
я его перед лечением вытянул с компа и сохранил
сейчас прогнать заново AVZ не могу - комп недоступен