Доброго времени суток у меня такая проблема процесс svchost.exe запущен от имени пользователя, а как я понял из всего Рунета это Троян. Но проблема в том, что, ни один антивирус не определяет его, комп сканировался каспером 6, нодом и набором бесплатных утилит(procexp, AnVir Task Manager, FixWelch, Dr.Web CureIt). Файл svchost.exe лежит в двух местах (см прил). помогите пожалуйста определить что за зверь. Выкладываю логи по правилам.

В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:debug.exe:$DATA','');
QuarantineFile('C:\temp\HWiNFO32.SYS','');
QuarantineFile('C:\Program Files\Total Sorofix 888\Programm\VolumeControl\volume.exe','');
QuarantineFile('C:\Program Files\CLCL\CLCL.exe','');
QuarantineFile('C:\Program Files\RimArts\B2\B2.exe','');
DeleteFile('c:\windows\system32\svchost.exe:debug.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

Можете деинсталлировать System Spyware Interrogator (SysEnforce) и AdAwarePortable
Удалите Bonjour Service см. здесь (http://virusinfo.info/showthread.php?t=27923) или здесь (http://forum.oszone.net/post-659376.html)
Повторите логи. Если лог от Kaspersky Online Scanner сохранился, можете его запаковать и приложить.

Спасибо большое! На почту файлик отправил. А не могли бы вы подробнее объяснить что это за хрень, откуда она берется и что мы с вами сделали этими скриптами. И такой вопрос теперь не доверяю ни касперу ни доктору вебу ни ноду, хочу поставить zone allarm, не посоветуете какую версию лучше? Логи вылаживаю в AVZ были еще красные надписи это ничего?

что мы с вами сделали этими скриптами. »
Взяли на проверку некоторые файлы и удалили файл в потоке NTFS (см. Альтернативные потоки данных NTFS (http://www.securitylab.ru/analytics/216379.php)), зловред опознается антивирусом Avira как TR/Dldr.Delphi.Gen, скоро и Касперский будет его опознавать. ZA больше брандмауэр, чем антивирус, хотя модуль антивируса есть, имхо лучше ставить проверенные антивирусы (KAV/KIS, Avira, Drweb). Последние версии ZA есть на сайте производителя (http://www.zonealarm.com)
Логи вылаживаю в AVZ были еще красные надписи это ничего? »
Если вы о перехватчиках типа
Функция NtClose (19) перехвачена (805BAEB4->B6D1BC00), перехватчик C:\WINDOWS\system32\drivers\klif.sys
Это нормально
Файла HWiNFO32.SYS физически нет, поэтому можно почистить реестр, выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('HWiNFO32');
DeleteFile('C:\temp\HWiNFO32.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
Некоторые файлы из карантина ушли на анализ вирлаб, подождем ответа.

Примного благодарен за полный ответ

tarakan1983, пришел ответ из вирлаба по файлам CLCL.exe и svchost.exe:debug.exe:$DATA
No malicious software was found in the attached file.

По поводу CLCL.exe, это дополнительная примочка к буферу обмена, я все логи смотрел сам, все что там могу объяснить кроме svchost.exe:debug.exe:$DATA. Извените за тупость, что означает

No malicious software was found in the attached file.

Нет вирусов?

tarakan1983, это значит, что аналитики вирлаба не нашли в файлах ничего вредоносного, рез-ты virustotal здесь (http://www.virustotal.com/ru/analisis/a13b1d3f9e0535365951eb1dc7ce6260)