Это относится к доп. ПО для защиты компьютера »
да, относится, я кажется объяснил что именно имел ввиду? сформулировал неточно изначально

в предь буду обращаться только на вы »
Назло, да? :o :)

у меня вылезает ошибка svchost.exe а потом я вылетаю из интернета (внду переустановил не помогло) что мне делать :cry:

у меня вылезает ошибка svchost.exe а потом я вылетаю из интернета (внду переустановил не помогло) что мне делать »Рассказать в деталях что и как, после чего, какой софт установлен, версию Виндовс. Да много чего. Возможно потребуется и конфиг. компа.

что мне делать »
читать первое сообщение темы и выполнять указанные в нем рекомендации, ставить хотфиксы и обзавестись файерволом

Первый шаг: заходим в безопасный режим, далее Пуск\выполнить\cmd\sc(или cs одно из двух )\delete msupdate »
svhost, Сегодня вспомнил, есть такой троян, который выдает себя за службу обновления MS :)
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe
такую действительно нужно убивать :)

sasha_hawk,
1. Cкачайте утилиту CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) и запустите полную проверку всех дисков в безопасном режиме. После этого следует просто перегрузиться в обычный режим.
2. Скачайте AVZ (http://z-oleg.com/avz4.zip) и HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3 Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
4. Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
6. Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile".
7. Вложите в сообщение файлы логов (из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

спасибо за помощь :yahoo: щас попробую

не прокатило опять ошибка написано: Исключение неизвестное программное исключение (0xc0000409) в приложении о адресу 0x5bd5a510. И че мне теперь делать?

не прокатило
Что именно?

sasha_hawk, Не запустился cureit в безопасном режиме или AVZ и HJ в обычном?
Попробуйте переименовать avz.exe в 123.com и запустите, выберите стандартные скрипты - 3-ий скрипт, перезагрузитесь и выполнить скрипт 2, далле выложить сюда логи.
Если в обычном режиме и с переименованием не запуститься, скачайте AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.180_06.12.2007_13-24.exe), установите, выберите ручное лечение-сбор информации о системе, после сканирования перезагрузись, выложи логи.
Сделайте лог AVZ в защищенном режиме - Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол. Упакуйте лог в zip и прикрепите.

а потом, что

sasha_hawk, я не понял, вы установили обновление KB924270 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=f4c8e767-4ed2-4e36-aa43-612f3017efc7) или как?

7. Вложите в сообщение файлы логов (из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log »

вот они

sasha_hawk, я не понял, вы установили обновление KB924270 или как? »
да

sasha_hawk,
Выполните в AVZ скрипт (Файл-Выполнить скрипт)
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\HP\Digital Imaging\Unload\HpqXfer.exe','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, выложите карантин на файлообменник (на ifolder.ru или др.) и дайте ссылку. Повторите логи AVZ (2-ой скрипт) и HJ

выложите карантин на файлообменник (на ifolder.ru или др.) »

вот карантин: http://ifolder.ru/4447250

sasha_hawk, подождем результатов анализа аналитиков.

sasha_hawk, теперь можно убрать ссылку на карантин. Ответ из ЛК так и не пришел, но C:\WINDOWS\svchost.exe и так уже удалили, надеюсь. Рекомендую удалить C:\Program Files\HP\Digital Imaging\Unload\HpqXfer.exe от HP Photosmart Essential (лучше деинсталировать), на него в инете много ругани, хотя антивиры к нему равнодушны.
Или выполнить скрипт
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Program Files\HP\Digital Imaging\Unload\HpqXfer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Рекомендую удалить Mail.Ru Agent, есили не очень нужно, есть в нем что-то шпионское )
пофиксить в HJT
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Повторите логи AVZ (2-ой скрипт) и HJT

А попробуйте установить обновление KB924270
Вроде помогло не че не вылезает СПАСИБО :yahoo:

sasha_hawk, Повторите логи для контроля, есть подозрение, что сист. файл c:\windows\system32\svchost.exe у вас изменен (создан: 17.08.2004 5:05:08 ,
изменен: 05.08.2004 1:00:00), хотя это могло быть результатом действия C:\WINDOWS\svchost.exe (вирусные аналитики посчитали его чистым :))
Доп-но
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Отключите всё, что не нужно, если возникнут затруднения - скажите, напишу скрипт