Здравствуйте!
Помогите, пожалуйста, решить следующую проблему.
С недавних пор после включения компьютера в запущенных процессах один из svchost.exe стал постепенно отъедать память (примерно по 4 КБ в секунду), из-за чего компьютер начинает тормозить все больше и больше. Обнаружив, что этот svchost отвечает за службу автоматических обновлений, я отключил ее. После следующей перезагрузки в процессах появился другой svchost, ведущий себя аналогичным образом, но на этот раз он отвечал за службу центра обеспечения безопасности. Я уже не удивился, что в следующий раз жрущий память svchost так и остался, но теперь это служба Windows Management Instrumentation. Я не уверен, можно ли мне отключать эту службу, но уверен, что даже если я ее отключу и это никак не скажется на работе всего компьютера, эта пакость подцепится к какой-то еще службе. Проверка антивирусами ничего не дала (хотя антивирус Касперского инсталлировать не получается – подозревается наличие "severe infection"), проверка на malware - тоже. Подозреваю наличие руткита, но несколько программ по их поиску ничего не нашли, хотя GMER написал о наличии rootkit-like activity в некоторых местах, но красным ничего не отметил и не высветил возможность "убить" процесс или файл.
Кроме того, есть еще одна странность. Борясь когда-то с одной ошибкой, я закрыл некоторые порты с помощью программы Windows Worms Door Cleaner (WWDC). Недавно я решил, на всякий случай, проверить, закрыты ли порты, как и раньше. Порты закрыты, но теперь при запуске WWDC выдает следующее: "Your system seems to be infected by a virus, your SVCHOST virtual memory usage 28180Ko [цифра может меняться] is beyond usual values. It is strongly advised to check your system with an AntiVirus up to date and an AntiTrojans."

лог гмера в студию...а так же остальные логи подготовьте пока
здесь как это сделатьhttp://forum.oszone.net/thread-98169.html

Хорошо. Сейчас немножко занят, но завтра попробую предоставить логи.
P.S. Кажись, при работе GMER комп стал виснуть. Причем намертво.

Наконец-то нашел время все сделать.
Прикрепляю все необходимые логи.

Здравствуйте!
hosts сами правили?

• Пофиксить в hijackthis
Поставить галочки напротив указанных строк и нажать Fix Cheked

R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {709746D8-FEB8-4474-9D25-4DBDBBDF2565} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('Cbidp02ppma.sys','');
QuarantineFile('C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys','');
QuarantineFile('C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe','');
QuarantineFile('C:\Program.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\mmjcn.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\mmjcn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('Cbidp02ppma');
BC_DeleteSvc('sxxoriph');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Сделайте повторные логи AVZ и подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.



Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/)
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

Да, Hosts сам правил. Это для торрентов.
Как будет время, сделаю все, что вы сказали.

Карантин отправил. Повторные логи добавляю. Логи RSIT и Anti-Malware добавляю.
P.S. Пока ничего не изменилось - память "кушается".

Проверьте эти файлы на www.virustotal.com
C:\Documents and Settings\Featus\Application Data\Microsoft\Internet Explorer\Quick Launch\cglptnt.sys
C:\WWWPrograms\SDL_Trados_7_1_Freelance\Program Files\TRADOS\T7_FL\TT\WordLang.exe
C:\Program.exe
Дайте ссылки с результатами проверки

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\german.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\drvsyskit');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\WinUpdate');
end.

Удалите в MBAM
c:\wincmd\cx_wincmd451.exe (Trojan.Bancos) -> No action taken.

Активного заражения у вас не вижу.

По логам увидел у вас: Avast, Avira,Kaspersky Internet Security (некорректно удален),AVG AntiRootkit,AdAware,SuperAntiSpyware,Prevx,Dr.Web (некорректно удален) ...
Деинсталлируйте ненужные антивирусные/антишпионские программы!!!
Перед установкой нового антивируса обязательно удаляйте предыдущий!!!

Чистка системы после некорректного удаления антивируса (http://virusnet.info/forum/showthread.php?t=58)

cglptnt.sys и Program.exe в названных папках у меня нет.
Проверка оставшегося WordLang.exe вот здесь:
http://www.virustotal.com/file-scan/report.html?id=406a75509a5ee7401ea5762ac9313ccde849cd6f98a79a4dd42db3db486e5f8e-1291741912
Ничего не найдено.
Скрипт сделал. Перегружусь - посмотрю, изменилось ли что-нибудь.
Удалил папку Wincmd. У меня уже давно Total Commander стоит.
Остатки KIS и Dr. Web удалил.

Память по-прежнему естся. Из-за этого бывает, что отказывают некотоыре программы. Например, может не открываться диспетчер задач.

cglptnt.sys и Program.exe в названных папках у меня нет. »
Поищите файлы через AVZ
Как искать файлы при помощи AVZ и отправить на анализ (http://virusnet.info/forum/showthread.php?t=3080)
Карантин отправьте при помощи этой (http://www.oszone.net/virusnet/) формы

• Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить
>> Заблокированы настройки системы Windows Update
>> Заблокирована настройка автоматического обновления

Установите Service Pack 3 и обновите Internet Explorer до 8-ой версии.

Оставьте только одну антивирусную программу,остальные антивирусы/антишпионы необходимо деинсталлировать, так как это крайне негативно сказывается на работе вашей ОС!!!

Удивительно, но после убиения какого-то непонятного процесса увеличение памяти прекратилось.
Так что, как всегда, "помоги себе сам".