Огромные счета за интернет, из-за чего...
По сведениям отчетов касперского глобальным качем занимается некий "Host process for windows service"
Старается забрать весь канал, когда он свободен, т.е. если на день оставлю вкл. интернет и ничего не буду качать,
он может слить пару-тройку гигабайт
Что это такое и как его убить?

antikiller_bm, Win7 какая версия у Вас?
Win+R ---> winver ---> Ок

Ultimate 7600 RC
IPv6 включен, но я его не использую

antikiller_bm, IPv6 отключали?

Включение, выключение IP6 не влияет на расход трафика

он может слить пару-тройку гигабайт »
Слишком много! okshef, на вирус не похоже?

Ну хорошо. возможно, Касперский 2010 стоит, ничего не палит.
Что делать то?

antikiller_bm, запретить ему доступ тем же Касперским, KIS или KAV?

Я не могу, я не знаю что но есть, это всего лишь его название.
Я не знаю ни к какой службе он отностися, ни его процесс ни id процесса (кстати в мониторе ресурсов не видно куда уходит трафик) ни адрес и порт куда он обращается...
А самое страшное, что гугл про него ничего не знает!

PS с момента создания этой темы было выкачано 60мб)

Хммм, 2 мега в минуту.... antikiller_bm, всё-таки, похоже, что Вам сюда (http://forum.oszone.net/forum-87.html).

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html) - познакомьтесь, но возьмите оттуда только ссылки на программы и прочитайте, как обращаться с HijackThis. Скачайте CureIt и HijackThis (Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог). Выполните проверку CureIt в безопасном режиме, перезагрузитесь, запустите Hijack и прикрепите к следующему сообщению лог. Скачайте Malwarebytes Anti-Malware здесь (http://malwarebytes.gt500.org//mbam-setup.exe),здесь (http://www.besttechie.net//mbam//mbam-setup.exe) или здесь (http://download.bleepingcomputer.com//malwarebytes//mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
P.S. По результатам решим, переносить ли тему в лечение.

Лог malware думаю не стоит выкладывать, там только написано, что ничего не обнаружено
cureit так же ничего не обнаружил

Процесс в мониторе ресурсов всетаки виден
svchost.exe (netsvcs) попробую поставить еще processexplorer

antikiller_bm, переносить не буду, закрою. Но перед этим - программа во вложении. Разберите ваш svchost.exe "по косточкам"
он может слить пару-тройку гигабайт »
а вы торрентами не пользуйтесь?

Этот же svchost является диспетчером подключений уд. доступа.
Сейчас посмотрим что у него внутри...
Это фоновая интеллектуальная служба передачи файлов (BITS)
ппц, я все службы ненужные отключал, в том числе и эту, (хотя она помоему и по умолчанию выключена)
а у меня на автомате была. Вот еще что интересно, что же она все таки качала?

Для меня можете сделать? Скачайте (http://download.eset.com/download/sysinspector/32/RUS/SysInspector.exe) SysInspector, запустите, дождитесь завершения работы? нажмите Файл - сохранить журнал, сохраните, пришлите мне архив через PM

А это с чем связано, что конкретно интересует (службу ту надо включить обратно?)

Я не нашел ничего вредоносного. Почитайте и выполните Что такое Bonjour Service и как его удалить. (http://virusnet.info/forum/showthread.php?t=153&highlight=bonjour)
Будем ждать ответ от "GHOSTBUSTERS".

Ultimate 7600 RC »
http://forum.oszone.net/post-1120461.html#post1120461

Bonjour service я уже давно снес (это от фотожопа)
ghostbusters - игруха, удалена, возможно ключи реестра остались или еще чего.
укажите что нужно удалить, чтобы небыло вышеперечисленного

на счет участия в программах улучшения качества по - службы отключены, в планировщике задач все запрещено

ghostbusters - игруха »
я имел ввиду ответы в теме "Лечения"
Bonjour service я уже давно снес (это от фотожопа) »
нет, она у вас есть, может в остатках:O10 - Broken Internet access because of LSP provider 'c:\program files (x86)\bonjour\mdnsnsp.dll' missing
Секция O10
Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).

Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной.
Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные.
И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).

Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll

Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.

В разделе лечения начался процесс. Для предупреждения бесполезных советов, тема закрыта (автор может отправить мне в PM просьбу об открытии темы с указанием ссылки на нее).