C windows system32 svchost exe k imgsvc

Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным).

Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

• C:WINDOWSsystem32
• C:WINDOWSServicePackFilesi386
• C:WINDOWSPrefetch
• С:WINDOWSwinsxs*

Где C: — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

• C:WINDOWSsvchost.exe
• C:WINDOWSsystemsvchost.exe
• C:WINDOWSconfigsvchost.exe
• C:WINDOWSinet20000svchost.exe
• C:WINDOWSinetsponsorsvchost.exe
• C:WINDOWSsistemsvchost.exe
• C:WINDOWSwindowssvchost.exe
• C:WINDOWSdriverssvchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

• svсhost.exe (вместо английской «c» используется русская «с»)
• svch0st.exe (вместо «o» используется ноль)
• svchos1.exe (вместо «t» используется единица)
• svcchost.exe (2 «c»)
• svhost.exe (пропущено «c»)
• svchosl.exe (вместо «t» используется «l»)
• svchost32.exe (в конец добавлено «32»)
• svchosts32.exe (в конец добавлено «s32»)
• svchosts.exe (в конец добавлено «s»)
• svchoste.exe (в конец добавлено «e»)
• svchostt.exe (2 «t» на конце)
• svchosthlp.exe (в конец добавлено «hlp»)
• svehost.exe (вместо «c» используется «e»)
• svrhost.exe (вместо «c» используется «r»)
• svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
• svshost.exe (вместо «c» используется «s»)
• svhostes.exe (пропущено «c» + в конец добавлено «es»)
• svschost.exe (после «v» добавлено лишнее «s»)
• svcshost.exe (после «c» добавлено лишнее «s»)
• svxhost.exe (вместо «c» используется «x»)
• syshost.exe (вместо «vc» используется «ys»)
• svchest.exe (вместо «o» используется «e»)
• svchoes.exe (вместо «st» используется «es»)
• svho0st98.exe
• ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

1. Скачиваем avz, распаковываем архив, запускаем avz.exe
2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
3. Вставляем в появившееся окно скрипт:
   begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
   Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:WINDOWSsystemsyshost.exe прямо между », т.е получиться строки должны так:
   QuarantineFile('C:WINDOWSsystemsyshost.exe','');
DeleteFile('C:WINDOWSsystemsyshost.exe');

4. Жмем «Запустить«, предварительно закрыв все программы.
   
5. Ждем перезагрузки системы
6. Проверяем наличие файла
7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути «C: -> Windows  -> System32» (где диск C: — это тот, куда установлена система).

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт «Запуск от имени администратора«.

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь

• PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
• PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
• PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса

Порой при включении система может долго загружаться, и работать в ней практически невозможно. Одна из причин – полная или частичная перегруженность системными процессами. Если открыть диспетчер задач, то можно обнаружить несколько (если не целую страницу) строчек с одним и тем же названием – svchost.exe. Под этой утилитой могут действовать куча разных программ, чаще системных. Я расскажу, что это за процесс, и какими способами можно решить проблему с перегрузкой процессора.

svchost.exe считается главным процессом операционной системы Windows 10. Он отвечает за ее стабильную работу и поддержку отдельных системных и сторонних служб. Все утилиты под этим именем используют динамические библиотеки DLL.

Плюс этого процесса состоит в том, что он экономит ресурсы компьютера. К примеру, если каждый сервис, функционирующий под этим именем, работал отдельно, оперативная память была бы перегружена куда раньше. А к минусу можно как раз причислить частую трудность определения программы, к которой относится выделенный пункт.

Почему svchost грузит процессор?

Даже при том, что этот процесс сокращает нагрузку на память, порой случаются ситуации, когда именно из-за него система начинает тормозить. Происходить подобное может по нескольким причинам.

1. Переполнение журнала событий, истории посещений в браузере, файлов cookie и прочих временных папок. Да, если их своевременно не чистить, система не будет работать стабильно.
2. Одновременный запуск нескольких системных задач с высоким приоритетом или использование ресурсоемких программ (даже в фоновом режиме). Например, обновление софта, базы данных антивируса, свернутый браузер и так далее. Тут речь больше идет о периодических перегрузках, а не постоянной работе на максимальных показателях. С течением времени подобная активность может просто спасть после завершения всех фоновых операций.
3. Заражение компьютера одним или несколькими вирусными программами. При этом они довольно эффектно маскируются под процесс svchost, и без внимательного наблюдения обнаружить их не так просто. При запуске вирусного софта название исходного процесса может меняться. Чаще просто добавляется или убирается одна буква. Порой и подлинные службы бывают подверженными атакам.
4. Неправильная установка обновлений операционной системы. Тут может помочь простой откат системы до предыдущей версии. Следующая инсталляция должна пройти куда успешнее.
5. Перегрев процессора. Если это ПК, то можно выключить его и почистить внутренности от пыли. Желательно, конечно, доверить данную процедуру специалистам, но даже начинающий пользователь при грамотном обращении может провести эту процедуру как надо. Если же это ноутбук, то желательно отключить его на время или приобрести отдельную подставку со специальным вентилятором.
6. Неполадки с системными файлами. Решаются они проверкой данных ОС на наличие ошибок через утилиту «Командная строка».
7. Ошибки в реестре. Это очень важная база данных, из которой все установленные программы и сервисы берут информацию. При наличии хотя бы мизерных ошибок система будет работать менее стабильно. Появиться они могут при неправильном удалении некоторых важных приложений.
8. Неправильная работа одной из служб, записанных под этим именем, которая запускает высокий уровень использования процессора. Часто такое наблюдается в пиратских сборках. Тут надо просто отследить, что это за служба, и отключить ее, если она не нужна.

Как отследить службу через «Диспетчер задач»

Через «Диспетчер задач» я могу узнать, какой именно процесс больше всего грузит память компьютера. Для начала я открою утилиту – можно нажатием на комбинацию Ctrl + Shift + Esc или через строку поиска Кортаны в панели задач.

Чтобы найти эту службу, сначала перейду во вкладку «Подробности» и отсортирую задачи по мере загрузки на память.

Дальше выберу ту строку с svchost.exe, которая больше остальных грузит память. Вызову контекстное меню нажатием по ней правой кнопкой мыши и кликну по пункту «Перейти к службам».

Окно переключится на вкладку «Службы», где нужная служба будет выделена.

Что делать, если svchost грузит процессор на Windows 10?

В случае если какой-либо процесс svchost грузит память и процессор компьютера, можно прибегнуть к нескольким способам.

Перезагрузка компьютера

Порой простая перезагрузка компьютера с Windows на борту может решить массу возникающих проблем, в том числе загруженность памяти. Возможно, какой-то процесс, службы или драйверы перестали корректно работать. Все это может самоустраниться после перезагрузки системы.

Но и перезагружать компьютер нужно правильно, а не нажатием на кнопку питания. Принудительная перезагрузка может вызвать еще больше проблем. А для правильной перезагрузки мне нужно совершить следующие действия.

1. Сначала закрываю все открытые окна.
2. Нажимаю на иконку «Пуск» в панели задач.
3. В левом нижнем углу щелкаю по кнопке питания.

   

   Для выключения нужно лишь нажать иконку в панели «Пуск»

4. Выбираю один из пунктов – можно «Завершение работы» или «Перезагрузка». В первом варианте необходимо будет потом снова нажать на кнопку питания. Во втором этого делать не нужно – система автоматически выключится и включится.

   

   Выбираю один из двух пунктов

5. После завершения загрузки системы проверяю, грузит ли svchost процессор и память.

Проверка компьютера антивирусом

Даже если нет подозрений на наличие вируса, систему все равно нужно проверить. При этом важно, чтобы базы данных были обновлены до последних версий. Можно воспользоваться встроенным «Защитником Windows».

Найду иконку в виде щита в разделе скрытых значков панели задач и кликну по ней.

В новом открытом окне выберу раздел «Защита от вирусов и угроз».

После нажму на кнопку «Выполнить проверку сейчас», и система начнет быстрое сканирование файлов на наличие вредоносного ПО. Есть еще другой вариант – выполнение более глубокой проверки. Для этого я перейду к нижнему пункту «Запустить новое расширенное сканирование».

Потом откроется раздел «Расширенное сканирование», где я выберу нужный мне тип сканирования и запущу его. Желательно, конечно, запустить «Полное сканирование». Правда, займет оно несколько часов, и из-за него некоторые процессы и приложения могут сильно тормозить. При всем этом, его эффективность стоит потраченного времени.

Осталось только дождаться окончания сканирования. Если вирус есть, то он высветится в списке, и пользователю будет предложено несколько вариантов действия – его удаление или перемещение в карантин.

Очистка временных файлов

Для временных файлов в системе отведена специальная папка Temp, расположенная в разделе Local – AppData. В ней может копиться куча файлов, особенно если очистка не проводилась давно (или вообще с момента установки операционной системы). И чем больше приложений на компьютере установлено, тем быстрее она будет забиваться. Как я писала ранее, ее можно удалять – никакие важные данные потеряны не будут.

Открыть ее я могу следующим образом – просто проследовав по пути C:UsersUserAppDataLocalTemp (обычно если скопировать и вставить его в адресную строку, то она открывается — главное, чтобы имя пользователя совпадало), а также введя %TEMP% в строке проводника.

Обязательно надо открыть папку, потому что некоторые процессы могут не удалиться из-за того, что та или иная программа открыта и задействует эти данные. Перед этим желательно закрыть все окна, но это все равно не считается гарантией.

Выделяю все пункты нажатием на комбинацию клавиш Ctrl + A и удаляю их. В любом случае выскочит вот такое окошко, да и название файла будет другим. Просто нажму на кнопку «Пропустить» – от пары файлов размером не больше 1 мегабайта ничего не перегрузится.

Удаление некоторых системных папок

Некоторым это может помочь, но тут надо действовать осторожно. Для проведения данной процедуры, и даже простого открытия нужных папок, понадобятся административные права. Перехожу в раздел по адресу C:Windows, ищу папку Prefetch и удаляю ее.

Потом захожу в раздел System32, нахожу папку Tasks, открываю ее и удаляю содержимое.

После завершения этих процедур перезагружаю компьютер.

Отключение служб

К этому способу рекомендуется прибегать в крайнем случае, на свой страх и риск, и то если служба слишком сильно грузит систему даже после перезагрузки и проверки другими программами. Еще перед этим необходимо проверить, насколько она важна. Если это Superfetch или центр обновления, тогда риск не так высок. Правда, вторую службу не рекомендуется отключать окончательно – ее лучше перевести в ручной режим. См. также: Все о процессе SuperFetch в Windows 10

Для начала открою окно со списком служб – сделать это я могу несколькими способами.

• Вызвать окно «Выполнить», нажав на комбинацию Win + R или введя в строке поиска Кортаны одноименный запрос.

  

  Окно «Выполнить» можно найти и с помощью поисковика

• Ввести в поле «Открыть» запрос services.msc, затем нажать на клавишу Enter или кнопку ОК.

  

  Ввожу запрос в поле и нажимаю на кнопку ОК.

• Ввести в строке поиска в панели задач запрос «Службы».

  

  Ввожу в поиске запрос и нажимаю на первый пункт

• Открыть диспетчер задач тем же путем, что был указан ранее. Затем перейти в раздел «Службы», найти нужную строчку, вызвать контекстное меню нажатием на правую кнопку мыши и выбрать пункт «Открыть службы».

  

  Еще к службам можно перейти через диспетчер задач

Уже потом, после открытия окна со списком служб, нахожу строчку с нужной утилитой и отключаю ее. Сделать это тоже можно несколькими способами.

1. Просто нажав на ссылку «Остановить», которая появляется в левой части при выборе той или иной строчки.

   

   Нажимаю на ссылку в правой части экрана

2. Вызвать контекстное меню нажатием правой кнопкой мыши по ней и выбрать пункт «Остановить».

   

   Выбираю соответствующий пункт в контекстном меню

3. Еще в том же разделе можно выбрать пункт «Свойства».

   

   Перехожу в свойства службы

На экране откроется окошко. В графе «Тип запуска» переключаем на пункт «Отключена», нажимаем на кнопку «Остановить» и применяем изменения.

Обязательно после всех этих действий перезагружаем компьютер. После отключения службы можно понаблюдать за работой системы. Если после этого быстродействие снизилось, утилиту можно включить обратно.

Еще один вариант – действовать непосредственно через «Диспетчер задач», не переходя к другому разделу. Просто в контекстном меню нужной службы нажимаю на пункт «Остановить».

Те же действия могут быть применимы к службе «Центр обновлений Windows».

Проверка целостности системных файлов через «Командную строку»

Через встроенный инструмент «Командная строка» можно проводить проверку системных файлов на целостность или даже заменять их на новые. Сначала мне нужно открыть ее с правами администратора, и сделать это можно через поиск в панели задач. В строке ввожу одноименный запрос или просто код CMD.

Тот же код CMD можно ввести в строке окна «Выполнить».

В редакторе вбиваю запрос sfc/scannow и запускаю его нажатием на клавишу Enter.

Проверка будет запущена. Займет она несколько минут – сроки эти зависят от количества установленных приложений и файлов на системном диске. После ее завершения в строке выйдут результаты сканирования и вероятного исправления ошибок.

Восстановление Windows 10

Крайний способ, которым лучше пользоваться только в том случае, если ни один из вышеперечисленных способов не помог и svchost продолжает грузить процессор. Откат стоит делать до того момента, при котором все компоненты работали исправно и никакой перегрузки не наблюдалось.

Запустить программу восстановления можно через окно выполнить, введя в поле «Открыть» запрос rstrui и нажав на клавишу Enter.

Тут может возникнуть следующее – сохранение настроек системы не было настроено, и восстанавливать систему не из чего. Об этом нужно подумать заранее, иначе вместо всей положенной операции появится только такое окно. 

Есть другой вариант – восстановление через раздел настроек операционной системы. Перейти в «Настройки» возможно нажатием на сочетание клавиш Win + I или через соответствующую иконку с шестеренкой через меню «Пуск».

В новом открытом меню перехожу в категорию «Обновление и безопасность».

Потом перехожу к меню «Восстановление», и в разделе «Вернуть компьютер в исходное состояние» нажимаю на кнопку «Начать». Правда, восстановление будет произведено до начального варианта, после установки операционной системы. При необходимости личные данные и файлы можно сохранить.

Какие сторонние программы могут помочь?

Для решения неполадок с перегрузкой процессора можно воспользоваться программами от сторонних разработчиков. Их функционал куда шире, чем у встроенного «Диспетчера задач». С помощью некоторых можно отключить службы, почистить реестр или внутреннюю память от временных файлов.

CCleaner

Этот инструмент прекрасно справляется с очисткой временных файлов системы и настройкой реестра. Интерфейс его достаточно прост – любой желающий, даже если он новичок, быстро разберется, где и что расположено. Скачивается приложение с официального сайта. Для пользователей доступна бесплатная версия с ограниченным функционалом и полная платная.

AnVir Task Manager

В этом бесплатном инструменте предусмотрена поддержка русского языка. С его помощью можно контролировать работу запущенных процессов и провести настройку компьютера. Установщик ее весит мало, скачать его возможно с официального интернет ресурса.

Process Lasso

Платное приложение, усовершенствованная альтернатива «Диспетчеру задач». Через него можно управлять процессами и следить за стабильной работой системы. За лицензию пользователю придется заплатить от 15 до 25 долларов. Интерфейс простой, но новичкам разобраться в нем может быть трудновато, так как русского языка в нем не предусмотрено.

Process Explorer

Бесплатная программа от дочерней компании корпорации Microsoft. Она тоже отображает информацию о запущенных задачах, только в более расширенном варианте. Также она показывает, какой процесс стоит за конкретным окном. Загрузить утилиту можно с официального сайта Microsoft. При этом она совместима со всеми версиями операционной системы Windows, начиная с XP.

Easy Service Optimizer

Это прекрасный инструмент для начинающих пользователей ПК. Разобраться в особенностях интерфейса не составит труда. Помимо прочего, в нем поддерживается русский язык. Скачивание доступно с официального сайта разработчика. Архив с файлом весит не больше 500 КБ, а еще его не нужно инсталлировать в систему. При необходимости с помощью кнопки Default можно провести откат до значений по умолчанию.

Заключение

Чрезмерная нагрузка на память и ЦП компьютера процессом svchost.exe может возникать из-за одновременного запуска нескольких приложений в фоне, при забивании памяти или даже ошибках во время запуска. Все эти неполадки можно с легкостью решить как системными, так и сторонними программами. И все равно нужно стараться не задеть важных процессов и служб, иначе система будет давать сбои, и уже тут решением станет ее восстановление или переустановка.

Post Views: 654

Троянская программа Trojan.Mayachok.1
Антивирусы находят, блокируют в памяти — но при перезагрузке опять появляется.

http://vkontakte.ru/dream_lair Салават Валиуллин
Доброго времени суток всем… Не давно тоже столкнулся с этим, В последнее время эта напасть успела осложнить жизнь многим пользователям интернета, и я надеюсь найденный мной способ поможет сберечь время, деньги и нервы многим будущим пострадавшим от Trojan.Mayachok.1

Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что иногда пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.

Итак, выяснили, у нас действительно Trojan.Mayachok.1. Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого — ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам — при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто. Открываем редактор реестра — regedit.exe, находим ветку: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows и параметр AppInit_DLLs. Смотрим значение этого параметра. Если видим запись, подобную этой: «AppInit_DLLs» = «C:windowssystem32tvhihgf.dll» (кроме tvhihgf.dll имя файла может состоять из любых других латинских букв) — удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Перезагружаемся. После этого разыскиваем этот файл на диске — и так же удаляем. Это и есть наш Trojan.Mayachok.1. Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением .tmp из каталога C:windowssystem32. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов — находим информацию по каждому, и удаляем только троянский ключ.

Для пользователей x64 разрядных систем:

Троянец может находиться в каталоге C:windowsSYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:windowsSysWOW64
Для его запуска через меню «Пуск» — «Выполнить» нужно указывать полный путь:
%SystemRoot%SysWOW64regedit.exe

По умолчанию на x64 разрядных системах запускается редактор из каталога C:windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел — HKLMSOFTWAREWow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows

——
Описание трояна:

http://news.drweb.com/?i=1809

Доброго времени суток, люди добрые!
Посмотрите и мой лог пожалуйста!
Уже второй месяц удаляю нечисть чтотам находится, а она снова появляется!Обратите внимание на вот это — Подозрение на скрытую загрузку библиотек через AppInit_DLLs: «C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll» и вот это пожалуйста, посмотрите! Подозрительные объектыФайл Описание Тип
C:WINDOWSsystem32DRIVERSklif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)
SystemRootsystem32DRIVERSklif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode) Чем только не удаляю, всё все видят, но удалить не возможно! Помогите пожалуйста!

***********************************************************************
Протокол исследования системы

Kaspersky Virus Removal Tool 2010 9.0.0.722 (база от 11/12/2010; 07:05)
Список процессовИмя файла PID Описание Copyright MD5 Информация
c:windowssystem32alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1972 Application Layer Gateway Service © Microsoft Corporation. All rights reserved. ?? 43.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSSystem32alg.exe
c:program fileskaspersky labkaspersky crystalavp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 680 Kaspersky Anti-Virus Copyright © Kaspersky Lab 1997-2009. ?? 332.54 КБ, rsAh,
создан: 25.03.2010 17:41:44,
изменен: 25.03.2010 17:41:44
Командная строка:
«C:Program FilesKaspersky LabKaspersky CRYSTALavp.exe»
c:program fileskaspersky labkaspersky crystalavp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1916 Kaspersky Anti-Virus Copyright © Kaspersky Lab 1997-2009. ?? 332.54 КБ, rsAh,
создан: 25.03.2010 17:41:44,
изменен: 25.03.2010 17:41:44
Командная строка:
«C:Program FilesKaspersky LabKaspersky CRYSTALavp.exe» -r
c:windowssystem32csrss.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 940 Client Server Runtime Process © Microsoft Corporation. All rights reserved. ?? 6.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32csrss.exe ObjectDirectory=Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
c:windowssystem32ctfmon.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 692 CTF Loader © Microsoft Corporation. All rights reserved. ?? 15.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
«C:WINDOWSsystem32ctfmon.exe»
c:windowsexplorer.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1992 Проводник © Корпорация Майкрософт. Все права защищены. ?? 1010.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSExplorer.EXE
c:windowssystem32lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1024 LSA Shell (Export Version) © Microsoft Corporation. All rights reserved. ?? 13.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32lsass.exe
c:windowssystem32nvsvc32.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 200 NVIDIA Driver Helper Service, Version 66.93 © NVIDIA Corporation. All rights reserved. ?? 124.07 КБ, rsAh,
создан: 29.10.2004 11:50:00,
изменен: 29.10.2004 11:50:00
Командная строка:
C:WINDOWSsystem32nvsvc32.exe
c:program filescommon filesinfowatchcryptostorageprotectedobjectssrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 160 InfoWatch CryptoStorage Protected objects controller service Copyright © 2006 InfoWatch. All rights reserved. ?? 726.55 КБ, rsAh,
создан: 21.12.2009 17:34:38,
изменен: 21.12.2009 17:34:38
Командная строка:
«C:Program FilesCommon FilesInfoWatchCryptoStorageProtectedObjectsSrv.exe»
c:windowssystem32rundll32.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 656 Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены. ?? 32.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
«C:WINDOWSsystem32RUNDLL32.EXE» C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
c:windowssystem32services.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1012 Приложение служб и контроллеров © Корпорация Майкрософт. Все права защищены. ?? 106.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32services.exe
c:d&sстьопаРабочий столvirus removal toolsetup_9.0.0.722_11.12.2010_10-21setup_9.0.0.722_11.12.2010_10-21.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 784 Kaspersky Virus Removal Tool Copyright © Kaspersky Lab 1997-2009. ?? 322.52 КБ, rsAh,
создан: 11.12.2010 10:10:44,
изменен: 01.10.2009 13:55:56,
имя содержит специальные символы
Командная строка:
«C:D&SстьопаРабочий столVirus Removal Toolsetup_9.0.0.722_11.12.2010_10-21setup_9.0.0.722_11.12.2010_10-21.exe» -gui -bl
c:program filesanalog devicessoundmaxsmagent.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 252 SoundMAX service agent component Copyright © 2002 ?? 44.00 КБ, rsAh,
создан: 02.12.2010 13:26:26,
изменен: 20.09.2002 16:50:10
Командная строка:
«C:Program FilesAnalog DevicesSoundMAXSMAgent.exe»
c:program filesanalog devicessoundmaxsmtray.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 668 SoundMAX System Tray Copyright © 2003 Analog Devices ?? 140.00 КБ, rsAh,
создан: 02.12.2010 13:26:26,
изменен: 05.05.2003 8:57:30
Командная строка:
«C:Program FilesAnalog DevicesSoundMAXSMTray.exe»
c:windowssystem32spoolsv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1732 Spooler SubSystem App © Microsoft Corporation. All rights reserved. ?? 56.50 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32spoolsv.exe
c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1312 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32svchost -k rpcss
c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1356 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSSystem32svchost.exe -k netsvcs
c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1544 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32svchost.exe -k NetworkService
c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1596 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32svchost.exe -k LocalService
c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 1180 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32svchost -k DcomLaunch
c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 300 Generic Host Process for Win32 Services © Microsoft Corporation. All rights reserved. ?? 14.00 КБ, rsAh,
создан: 15.04.2008 15:00:00,
изменен: 15.04.2008 15:00:00
Командная строка:
C:WINDOWSsystem32svchost.exe -k imgsvc
c:program filesvistadriveiconvistadrv.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 708 ?? 129.00 КБ, rsAh,
создан: 30.11.2010 21:17:40,
изменен: 02.01.2008 13:52:02
Командная строка:
«C:Program FilesVistaDriveIconVistaDrv.exe»
c:windowssystem32winlogon.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 964 Программа входа в систему Windows NT © Корпорация Майкрософт. Все права защищены. ?? 497.50 КБ, rsAh,
создан: 27.06.2008 9:50:34,
изменен: 27.06.2008 9:50:34
Командная строка:
winlogon.exe
Обнаружено:25, из них опознаны как безопасные 25
Имя модуля Handle Описание Copyright MD5 Используется процессами
C:WINDOWSsystem32USER32.dll
Скрипт: Kарантин, Удалить, Удалить через BC 2117468160 Библиотека клиента USER API Windows XP © Корпорация Майкрософт. Все права защищены. — 1972, 680, 1916, 940, 692, 1992, 1024, 200, 160, 656, 1012, 784, 252, 668, 1732, 1312, 1356, 1544, 1596, 1180, 300, 708, 964
Обнаружено модулей:365, из них опознаны как безопасные 364

Модули пространства ядраПлагин Базовый адрес Размер в памяти Описание Производитель
C:WINDOWSSystem32Driversdump_atapi.sys
Скрипт: Kарантин, Удалить, Удалить через BC F73AE000 018000 (98304)
C:WINDOWSSystem32Driversdump_WMILIB.SYS
Скрипт: Kарантин, Удалить, Удалить через BC F9F5C000 002000 (8192)
C:WINDOWSsystem32ntoskrnl.exe
Скрипт: Kарантин, Удалить, Удалить через BC 804D7000 216600 (2188800) Системный модуль ядра NT © Корпорация Майкрософт. Все права защищены.
C:WINDOWSsystem32DRIVERSNVxbar.sys
Скрипт: Kарантин, Удалить, Удалить через BC F8151000 004000 (16384) NVIDIA WDM A/V Crossbar Copyright © NVIDIA Corp.1999-2002
C:WINDOWSsystem32DRIVERStcpip.sys
Скрипт: Kарантин, Удалить, Удалить через BC F7AB9000 059000 (364544) TCP/IP Protocol Driver © Microsoft Corporation. All rights reserved.
Обнаружено модулей — 123, опознано как безопасные — 118

СлужбыСлужба Описание Статус Файл Группа Зависимости
Обнаружено — 86, опознано как безопасные — 86

ДрайверыСлужба Описание Статус Файл Группа Зависимости
NVXBAR
Драйвер: Выгрузить, Удалить, Отключить nVidia WDM A/V Crossbar Работает C:WINDOWSsystem32DRIVERSNVxbar.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
Tcpip
Драйвер: Выгрузить, Удалить, Отключить Драйвер протокола TCP/IP Работает C:WINDOWSsystem32DRIVERStcpip.sys
Скрипт: Kарантин, Удалить, Удалить через BC PNP_TDI IPSec
Abiosdsk
Драйвер: Выгрузить, Удалить, Отключить Abiosdsk Не запущен Abiosdsk.sys
Скрипт: Kарантин, Удалить, Удалить через BC Primary disk  
abp480n5
Драйвер: Выгрузить, Удалить, Отключить abp480n5 Не запущен abp480n5.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
adpu160m
Драйвер: Выгрузить, Удалить, Отключить adpu160m Не запущен adpu160m.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Aha154x
Драйвер: Выгрузить, Удалить, Отключить Aha154x Не запущен Aha154x.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
aic78u2
Драйвер: Выгрузить, Удалить, Отключить aic78u2 Не запущен aic78u2.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
aic78xx
Драйвер: Выгрузить, Удалить, Отключить aic78xx Не запущен aic78xx.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
AliIde
Драйвер: Выгрузить, Удалить, Отключить AliIde Не запущен AliIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
amsint
Драйвер: Выгрузить, Удалить, Отключить amsint Не запущен amsint.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
asc
Драйвер: Выгрузить, Удалить, Отключить asc Не запущен asc.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
asc3350p
Драйвер: Выгрузить, Удалить, Отключить asc3350p Не запущен asc3350p.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
asc3550
Драйвер: Выгрузить, Удалить, Отключить asc3550 Не запущен asc3550.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Atdisk
Драйвер: Выгрузить, Удалить, Отключить Atdisk Не запущен Atdisk.sys
Скрипт: Kарантин, Удалить, Удалить через BC Primary disk  
cd20xrnt
Драйвер: Выгрузить, Удалить, Отключить cd20xrnt Не запущен cd20xrnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Changer
Драйвер: Выгрузить, Удалить, Отключить Changer Не запущен Changer.sys
Скрипт: Kарантин, Удалить, Удалить через BC Filter  
CmdIde
Драйвер: Выгрузить, Удалить, Отключить CmdIde Не запущен CmdIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
Cpqarray
Драйвер: Выгрузить, Удалить, Отключить Cpqarray Не запущен Cpqarray.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
dac960nt
Драйвер: Выгрузить, Удалить, Отключить dac960nt Не запущен dac960nt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
dpti2o
Драйвер: Выгрузить, Удалить, Отключить dpti2o Не запущен dpti2o.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
hpn
Драйвер: Выгрузить, Удалить, Отключить hpn Не запущен hpn.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
i2omgmt
Драйвер: Выгрузить, Удалить, Отключить i2omgmt Не запущен i2omgmt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI Class  
i2omp
Драйвер: Выгрузить, Удалить, Отключить i2omp Не запущен i2omp.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ini910u
Драйвер: Выгрузить, Удалить, Отключить ini910u Не запущен ini910u.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
IntelIde
Драйвер: Выгрузить, Удалить, Отключить IntelIde Не запущен IntelIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
lbrtfdc
Драйвер: Выгрузить, Удалить, Отключить lbrtfdc Не запущен lbrtfdc.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
mraid35x
Драйвер: Выгрузить, Удалить, Отключить mraid35x Не запущен mraid35x.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
PCIDump
Драйвер: Выгрузить, Удалить, Отключить PCIDump Не запущен PCIDump.sys
Скрипт: Kарантин, Удалить, Удалить через BC PCI Configuration  
PCIIde
Драйвер: Выгрузить, Удалить, Отключить PCIIde Не запущен PCIIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
PDCOMP
Драйвер: Выгрузить, Удалить, Отключить PDCOMP Не запущен PDCOMP.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
PDFRAME
Драйвер: Выгрузить, Удалить, Отключить PDFRAME Не запущен PDFRAME.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
PDRELI
Драйвер: Выгрузить, Удалить, Отключить PDRELI Не запущен PDRELI.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
PDRFRAME
Драйвер: Выгрузить, Удалить, Отключить PDRFRAME Не запущен PDRFRAME.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
perc2
Драйвер: Выгрузить, Удалить, Отключить perc2 Не запущен perc2.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
perc2hib
Драйвер: Выгрузить, Удалить, Отключить perc2hib Не запущен perc2hib.sys
Скрипт: Kарантин, Удалить, Удалить через BC Filter  
ql1080
Драйвер: Выгрузить, Удалить, Отключить ql1080 Не запущен ql1080.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Ql10wnt
Драйвер: Выгрузить, Удалить, Отключить Ql10wnt Не запущен Ql10wnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ql12160
Драйвер: Выгрузить, Удалить, Отключить ql12160 Не запущен ql12160.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ql1240
Драйвер: Выгрузить, Удалить, Отключить ql1240 Не запущен ql1240.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
ql1280
Драйвер: Выгрузить, Удалить, Отключить ql1280 Не запущен ql1280.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
Simbad
Драйвер: Выгрузить, Удалить, Отключить Simbad Не запущен Simbad.sys
Скрипт: Kарантин, Удалить, Удалить через BC Filter  
Sparrow
Драйвер: Выгрузить, Удалить, Отключить Sparrow Не запущен Sparrow.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
sym_hi
Драйвер: Выгрузить, Удалить, Отключить sym_hi Не запущен sym_hi.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
sym_u3
Драйвер: Выгрузить, Удалить, Отключить sym_u3 Не запущен sym_u3.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
symc810
Драйвер: Выгрузить, Удалить, Отключить symc810 Не запущен symc810.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
symc8xx
Драйвер: Выгрузить, Удалить, Отключить symc8xx Не запущен symc8xx.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
TosIde
Драйвер: Выгрузить, Удалить, Отключить TosIde Не запущен TosIde.sys
Скрипт: Kарантин, Удалить, Удалить через BC System Bus Extender  
ultra
Драйвер: Выгрузить, Удалить, Отключить ultra Не запущен ultra.sys
Скрипт: Kарантин, Удалить, Удалить через BC SCSI miniport  
WDICA
Драйвер: Выгрузить, Удалить, Отключить WDICA Не запущен WDICA.sys
Скрипт: Kарантин, Удалить, Удалить через BC  
Обнаружено — 186, опознано как безопасные — 137

АвтозапускИмя файла Статус Метод запуска Описание
C:WINDOWSSystem32driversdwprot.sys
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemDwProt, EventMessageFile
Удалить
C:WINDOWSSystem32hidserv.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesHidServParameters, ServiceDll
Удалить
C:WINDOWSSystem32igmpv2.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemIGMPv2, EventMessageFile
Удалить
C:WINDOWSSystem32ipbootp.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemIPBOOTP, EventMessageFile
Удалить
C:WINDOWSSystem32iprip2.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemIPRIP2, EventMessageFile
Удалить
C:WINDOWSSystem32ospf.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemOSPF, EventMessageFile
Удалить
C:WINDOWSSystem32ospfmib.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemOSPFMib, EventMessageFile
Удалить
C:WINDOWSSystem32polagent.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemPolicyAgen­t, EventMessageFile
Удалить
C:WINDOWSSystem32spmsg.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemWudf01000, EventMessageFile
Удалить
C:WINDOWSSystem32syssetup.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemSetup, EventMessageFile
Удалить
C:WINDOWSSystem32tssdis.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemTermServSe­ssDir, EventMessageFile
Удалить
C:WINDOWSSystem32user32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystemUSER32, EventMessageFile
Удалить
C:WINDOWSsystem32MsSip1.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesWinTrustSubjectPackagesM­S Subjects 1, $DLL
Удалить
C:WINDOWSsystem32MsSip2.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesWinTrustSubjectPackagesM­S Subjects 2, $DLL
Удалить
C:WINDOWSsystem32MsSip3.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesWinTrustSubjectPackagesM­S Subjects 3, $DLL
Удалить
C:WINDOWSsystem32psxss.exe
Скрипт: Kарантин, Удалить, Удалить через BC — Ключ реестра HKEY_LOCAL_MACHINE, SystemCurrentControlSetControlSession ManagerSubSystems, Posix
C:WINDOWSsystem32stisvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesEventlogSystem, EventMessageFile
Удалить
kbd101.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesi8042prtParameters, LayerDriver JPN
Удалить
kbd101a.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SYSTEMCurrentControlSetServicesi8042prtParameters, LayerDriver KOR
Удалить
logon.scr
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULTControl PanelDesktop, scrnsave.exe
Удалить
logon.scr
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-18Control PanelDesktop, scrnsave.exe
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULTControl PanelIOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-19Control PanelIOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-20Control PanelIOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-18Control PanelIOProcs, MVB
Удалить
mvfs32.dll
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-1708537768-838170752-1801674531-1003Control PanelIOProcs, MVB
Удалить
vgafix.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SoftwareMicrosoftWindows NTCurrentVersionWOWboot, fixedfon.fon
Удалить
vgaoem.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SoftwareMicrosoftWindows NTCurrentVersionWOWboot, oemfonts.fon
Удалить
vgasys.fon
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, SoftwareMicrosoftWindows NTCurrentVersionWOWboot, fonts.fon
Удалить
Обнаружено элементов автозапуска — 581, опознано как безопасные — 552

Плагины Microsoft Internet Explorer (BHO, панели …)Имя файла Тип Описание Производитель CLSID
Обнаружено элементов — 7, опознано как безопасные — 7

Плагины ПроводникаИмя файла Назначение Описание Производитель CLSID
deskpan.dll
Скрипт: Kарантин, Удалить, Удалить через BC Расширение CPL панорамирования дисплея {42071714-76d4-11d1-8b24-00a0c9068ff3}
Удалить
Расширения оболочки для сжатия файлов {764BF0E1-F219-11ce-972D-00AA00A14F56}
Удалить
Контекстное меню шифрования {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}
Удалить
Панель задач и меню »Пуск» {0DF44EAA-FF21-4412-828E-260A8728E7F1}
Удалить
Avi Properties Handler {87D62D94-71B3-4b9a-9489-5FE6850DC73E}
Удалить
rundll32.exe C:WINDOWSsystem32shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
Скрипт: Kарантин, Удалить, Удалить через BC Autoplay for SlideShow {00E7B358-F65B-4dcf-83DF-CD026B94BFD4}
Удалить
Учетные записи пользователей {7A9D77BD-5403-11d2-8785-2E0420524153}
Удалить
Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
Удалить
Обнаружено элементов — 199, опознано как безопасные — 191

Плагины системы печати (мониторы печати, провайдеры)Имя файла Тип Наименование Описание Производитель
Обнаружено элементов — 5, опознано как безопасные — 5

Задания планировщика задач Task SchedulerИмя файла Имя задания Состояние задания Описание Производитель
Обнаружено элементов — 0, опознано как безопасные — 0

Параметры SPI/LSP
Поставщики пространства имен (NSP) Поставщик Статус Исполняемый файл Описание GUID
Обнаружено — 3, опознано как безопасные — 3

Поставщики транспортных протоколов (TSP, LSP) Поставщик Исполняемый файл Описание
Обнаружено — 17, опознано как безопасные — 17

Результаты автоматического анализа параметров SPI
Параметры LSP проверены. Ошибок не обнаружено
Порты TCP/UDPПорт Статус Remote Host Remote Port Программа Примечания
Порты TCP
135 LISTENING 0.0.0.0 24652 [1312] c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
445 LISTENING 0.0.0.0 51403 [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
1031 LISTENING 0.0.0.0 30842 [1972] c:windowssystem32alg.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
1110 LISTENING 0.0.0.0 53440 [1916] c:program fileskaspersky labkaspersky crystalavp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
12321 LISTENING 0.0.0.0 41193 [1916] c:program fileskaspersky labkaspersky crystalavp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
19780 LISTENING 0.0.0.0 47292 [1916] c:program fileskaspersky labkaspersky crystalavp.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
Порты UDP
123 LISTENING — — [1356] c:windowssystem32svchost.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
445 LISTENING — — [4] System
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
500 LISTENING — — [1024] c:windowssystem32lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  
4500 LISTENING — — [1024] c:windowssystem32lsass.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить  

Downloaded Program Files (DPF)Имя файла Описание Производитель CLSID URL-загрузки
Обнаружено элементов — 0, опознано как безопасные — 0

Апплеты Панели управления (CPL)Имя файла Описание Производитель
Обнаружено элементов — 24, опознано как безопасные — 24

Active SetupИмя файла Описание Производитель CLSID
Обнаружено элементов — 12, опознано как безопасные — 12

Файл hostsЗапись файла hosts

127.0.0.1 localhost

Протоколы и обработчикиИмя файла Тип Описание Производитель CLSID
Обнаружено элементов — 24, опознано как безопасные — 24

Подозрительные объектыФайл Описание Тип
C:WINDOWSsystem32DRIVERSklif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)
SystemRootsystem32DRIVERSklif.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на руткит Перехватчик привилегированного режима (KernelMode)

Основной скрипт исследования
Версия Microsoft Windows: Microsoft Windows XP, Build=2600, SP=»Service Pack 3″
Восстановление системы: Отключено
1.1 Поиск перехватчиков API, работающих в пользовательском режиме
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Обнаружена модификация IAT: CreateProcessA — 00C90010<>7C80236B
Обнаружена модификация IAT: GetModuleFileNameA — 00C90080<>7C80B55F
Обнаружена модификация IAT: GetModuleFileNameW — 00C900F0<>7C80B465
Обнаружена модификация IAT: CreateProcessW — 00C90160<>7C802336
Обнаружена модификация IAT: LoadLibraryW — 00C90240<>7C80AEDB
Обнаружена модификация IAT: LoadLibraryA — 00C90320<>7C801D7B
Обнаружена модификация IAT: GetProcAddress — 00C90390<>7C80AE30
Обнаружена модификация IAT: FreeLibrary — 00C90400<>7C80AC6E
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в привилегированном режиме
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
  SDT = 8055A220
  KiST = 804E26A8 (284)
Функция NtAdjustPrivilegesToken (0B) перехвачена (8058D0A1->F811C598), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (805678DD->F811CE18), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtConnectPort (1F) перехвачена (805879EB->F811D92E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateEvent (23) перехвачена (8056D57A->F811DEA0), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateFile (25) перехвачена (8056CDC0->F811D0FA), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (8057065D->F811B442), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateMutant (2B) перехвачена (80578037->F811DD78), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2C) перехвачена (80583F3F->F811C19E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreatePort (2E) перехвачена (805975B1->F811DC34), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateSection (32) перехвачена (805652B3->F811C35A), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateSemaphore (33) перехвачена (8057243B->F811DFD2), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (34) перехвачена (8059F509->F811FC14), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateThread (35) перехвачена (8058E63F->F811CAB6), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtCreateWaitablePort (38) перехвачена (805DB124->F811DCD6), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (8065B1CD->F811F606), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtDeleteKey (3F) перехвачена (805952BE->F811BA06), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80592D50->F811BD94), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (42) перехвачена (8058EFAD->F811D582), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (805715E0->F81205D6), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80570D64->F811BED6), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F811BF80), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (54) перехвачена (8057AAB5->F811D38E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (61) перехвачена (805A3AF1->F811F698), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtLoadKey (62) перехвачена (805AED5D->F811B41E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtLoadKey2 (63) перехвачена (805AEB9A->F811B430), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtMapViewOfSection (6C) перехвачена (80573B61->F811FCC8), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtNotifyChangeKey (6F) перехвачена (8058A68D->F811C0CC), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenEvent (72) перехвачена (8057DCDD->F811DF42), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenFile (74) перехвачена (8056CD5B->F811CE9A), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80568D59->F811B5E8), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenMutant (78) перехвачена (805780E5->F811DE10), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805717C7->F811C79E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenSection (7D) перехвачена (80570FD7->F811FC3E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenSemaphore (7E) перехвачена (8059EFC5->F811E074), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058A1BD->F811C6C2), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80570A6D->F811C02A), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtQueryMultipleValueKey (A1) перехвачена (8064E320->F811BC52), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtQuerySection (A7) перехвачена (8057D4CC->F811FFE0), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F811B8A2), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (8059108B->F811F92E), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtRenameKey (C0) перехвачена (8064E79E->F811BB1A), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C1) перехвачена (8064F0FA->F811B2BC), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtReplyPort (C2) перехвачена (8057CCDA->F811E3FE), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtReplyWaitReceivePort (C3) перехвачена (8056B82E->F811E2C4), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (C8) перехвачена (80576CE6->F811F3A6), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064EC91->F8122E38), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtResumeThread (CE) перехвачена (8058ECB2->F81204B8), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSaveKey (CF) перехвачена (8064ED92->F811B254), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (D2) перехвачена (8058F4DE->F811D668), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (8062DCDF->F811CCD4), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSetInformationToken (E6) перехвачена (805A86F0->F811EC56), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (8059B19B->F811F792), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F0) перехвачена (805A7BDD->F8120120), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80572889->F811B72A), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (FD) перехвачена (8062F8C1->F8120204), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (805E045E->F812032C), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (FF) перехвачена (80649CE3->F811F532), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (101) перехвачена (805822E0->F811C916), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (8057B885->F811C86C), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtUnmapViewOfSection (10B) перехвачена (805736E6->F811FE96), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (8057E420->F811C9F6), перехватчик C:WINDOWSsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (80512919) — модификация машинного кода. Метод JmpTo jmp F81114DC SystemRootsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (804E875A) — модификация машинного кода. Метод JmpTo jmp F81118B6 SystemRootsystem32DRIVERSklif.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 61, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: «C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll»

Выполняется исследование системы…
Исследование системы завершено
Команды скрипта
Добавить в скрипт команды:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить, false-отключить)
BootCleaner: импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner: активация
Перезагрузка
Вставить заготовку для QuarantineFile() — помещение файла на карантин
Вставить заготовку для BC_QrFile() — помещение файла на карантин через BC
Вставить заготовку для DeleteFile() — удаление файла
Вставить заготовку для DelCLSID() — удаление CLSID-класса из реестра

Предупреждение: данный процесс подразумевает некоторую степень риска, а потому желательно иметь хотя бы общее представление о том, что мы собираемся сделать.

DHCP-клиент (DHCP Client)
Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен
Имя службы: Dhcp
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Многие DSL или кабельные подключения требуют эту службу для предоставления доступа в Интернет. Если вы отключите эту службу и ваше Интернет соединение перестанет работать, то верните режим — Авто. В моей конфигурации эта служба в режиме — Вручную

DNS-клиент (DNS Client)
Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш.
Имя службы: Dnscache
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k NetworkService
Если служба остановлена, не удастся разрешить DNS-имена и разместить службу каталогов Active Directory контроллеров домена. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Рекомендуемый режим — Авто. Хотя у меня режим — Вручную

MS Software Shadow Copy Provider (MS Software Shadow Copy Provider)
Управляет теневыми копиями, полученными при помощи теневого копирования тома.
Имя службы: SwPrv
Исполняемый файл или название процесса: C:WINDOWSsystem32dllhost.exe /Processid:{C955AE18-46FF-4919-9457-DA8F44302902}
Если служба будет остановлена, не будет возможности управлять теневыми копиями. Если служба будет отключена, не удастся запустить все явно зависимые службы. Рекомендуемый режим — Вручную

NetMeeting Remote Desktop Sharing (NetMeeting Remote Desktop Sharing)
Разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting.
Имя службы: mnmsrvc
Исполняемый файл или название процесса: C:WINDOWSsystem32mnmsrvc.exe
Если эта служба остановлена, удаленное управление рабочим столом недоступно. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Собственная безопасность дороже, поэтому режим — Отключено

Plug and Play (Plug and Play)
Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму.
Имя службы: PlugPlay
Исполняемый файл или название процесса: C:WINDOWSsystem32services.exe
Остановка или отключение этой службы может привести к нестабильной работе системы. Никогда не отключайте эту службу. Режим всегда — Авто

QoS RSVP (QoS RSVP)
Обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ
Имя службы: RSVP
Исполняемый файл или название процесса: C:WINDOWSsystem32rsvp.exe
Рекомендуемый режим — Отключено

Telnet (Telnet)
Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами UNIX и Windows.
Имя службы: TlntSvr
Исполняемый файл или название процесса: C:WINDOWSsystem32tlntsvr.exe
Если эта служба остановлена, то удаленный пользователь не сможет запускать программы. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Зачем мне удаленный пользователь? Рекомендуемый режим — Отключено

Windows Audio (Windows Audio)
Управление звуковыми устройствами для Windows-программ
Имя службы: AudioSrv
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если эта служба остановлена, звуковые устройства и эффекты не будут работать должным образом. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Рекомендуемый режим — Авто

Автоматическое обновление (Automatic Updates)
Включает загрузку и установку ключевых обновлений Windows в автоматическом режиме.
Имя службы: wuauserv
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Данная служба необходима для безопасности и исправления ошибок операционной системы но поддержка Windows XP прекращена и поэтому ставим режим — Отключено

Автонастройка проводного доступа
Данная служба выполняет проверку подлинности IEEE 802.1X для интерфейсов Ethernet.
Имя службы: Dot3svc
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k dot3svc
Данная служба необходима для безопасности и поэтому ставим режим — Вручную

Агент защиты доступа к сети
Позволяет клиентам Windows принимать участие в защите доступа к сети.
Имя службы: napagent
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Данная служба необходима для безопасности компьютера и поэтому ставим режим — Вручную

Адаптер производительности WMI (WMI Performance Adapter)
Предоставляет информацию о библиотеках производительности от поставщиков WMI HiPerf. Похоже, имеет отношение к т.н. Perfomance Counters — системе предоставления информации о загрузке памяти, ресурсов, различных устройств и пр.
Имя службы: WmiApSrv
Исполняемый файл или название процесса: C:WINDOWSsystem32wbemwmiapsrv.exe
Необходимо лишь для специфического софта, поэтому — Отключено

Беспроводная настройка (Wireless Zero Configuration)
Предоставляет автоматическую настройку 802.11 адаптеров.
Имя службы: WZCSVC
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если к компьютеру не подключено адаптеров беспроводной связи, то — Отключено

Брандмауэр Windows/Общий доступ к Интернету (ICS)
Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса.
Имя службы: SharedAccess
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
При использовании стороннего продукта для защиты компьютера, например Outpost firewall, Norton Personal Firewall, ZoneAlarm и т.п, то рекомендуется режим — Отключено

Веб-клиент (WebClient)
Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете.
Имя службы: WebClient
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k LocalService
Полезных функций в данной службе не усмотрено, поэтому режим — Отключено

Вторичный вход в систему (Secondary Logon)
Позволяет запускать процессы от имени другого пользователя. Если эта служба остановлена, этот тип регистрации пользователя недоступен
Имя службы: seclogon
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Эта службу желательно поставить в режим — Отключено

Диспетчер авто-подключений удаленного доступа (Remote Access Auto Connection Manager)
Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.
Имя службы: RasAuto
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Данная служба может быть необходима для функционирования вашего Интернет соединения. Выставляем — Вручную

Диспетчер логических дисков (Logical Disk Manager)
Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков
Имя службы: dmserver
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если эта служба остановлена, состояние динамических дисков и информация о конфигурации может оказаться устаревшей. Выставляем — Вручную

Диспетчер очереди печати (Print Spooler)
Диспетчер очереди печати является ключевым компонентом системы печати в Windows. Он управляет очередями печати в системе, а также взаимодействует с драйверами принтеров и компонентами ввода-вывода, например USB-портами и протоколами семейства TCP/IP.
Имя службы: Spooler
Исполняемый файл или название процесса: C:WINDOWSsystem32spoolsv.exe
Если у Вас не установлено ни одного принтера, выставляем — Отключено

Диспетчер подключений удаленного доступа (Remote Access Connection Manager)
Создает сетевое подключение
Имя службы: RasMan
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Данная служба необходима, если вы используете общий доступ к Интернету. Выставляем — Вручную

Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager)
Управляет возможностями удаленного помощника.
Имя службы: RDSessMgr
Исполняемый файл или название процесса: C:WINDOWSsystem32sessmgr.exe
Так как в услугах удаленного помощника я не нуждаюсь, то выставляем — Отключено

Диспетчер сетевого DDE (Network DDE DSDM)
Управляет сетевыми общими ресурсами динамического обмена данными (DDE).
Имя службы: NetDDE dsdm
Исполняемый файл или название процесса: C:WINDOWSsystem32netdde.exe
Если вы не используете Сервер папки обмена (ClipBook), режим — Отключено

Диспетчер учетных записей безопасности (Security Accounts Manager)
Хранит информацию о безопасности для учетной записи локального пользователя
Имя службы: SamSs
Исполняемый файл или название процесса: C:WINDOWSsystem32lsass.exe
Данная служба необходима для IIS Admin (IIS Admin). Рекомендуется — Авто

Доступ к HID-устройствам (Human Interface Device Access)
Обеспечивает универсальный доступ к HID-устройствам (Human Interface Devices), который активизирует и поддерживает использование заранее определенных клавиш быстрого вызова на клавиатуре, устройствах управления или иных устройствах мультимедиа
Имя службы: HidServ
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe
Если нет никаких проблем после отключения, то режим — Отключено

Журнал событий (Event Log)
Обеспечивает поддержку сообщений журналов событий, выдаваемых Windows-программами и компонентами системы, и просмотр этих сообщений
Имя службы: Eventlog
Исполняемый файл или название процесса: C:WINDOWSsystem32services.exe
Эта служба не может быть остановлена. Данная служба помогает определить сбойные программы, которые вызывают ошибки при работе операционной системы. Рекомендуется режим — Авто

Журналы и оповещения производительности (Performance Logs and Alerts)
Управляет сбором данных о производительности с локального или удаленных компьютеров, выполняемым на основе заданного расписания, и обеспечивает запись этих данных в журналы или инициирует оповещение.
Имя службы: SysmonLog
Исполняемый файл или название процесса: C:WINDOWSsystem32smlogsvc.exe
Если Вы не собираетесь делать сбор данных о производительности, то режим — Отключено

Запуск серверных процессов DCOM
Обеспечивает запуск для служб DCOM.
Имя службы: DcomLaunch
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost -k DcomLaunch
Важная служба для сетевых протоколов, оставляем тип запуска — Авто

Защищенное хранилище (Protected Storage)
Обеспечивает защищенное хранение секретных данных, таких, как закрытые ключи, для предотвращения несанкционированного доступа служб, процессов или пользователей.
Имя службы: ProtectedStorage
Исполняемый файл или название процесса: C:WINDOWSsystem32lsass.exe
Если Вам приходится работать с зашифрованными данными и ключами от различных программ, то режим — Авто. 

Инструментарий управления Windows (Windows Management Instrumentation)
Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами
Имя службы: Winmgmt
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
После остановки данной службы многие Windows-приложения могут работать некорректно. При отключении данной службы зависимые от нее службы не смогут быть запущены. Рекомендуется режим — Авто

Источник бесперебойного питания (Uninterruptible Power Supply)
Управляет работой источников бесперебойного питания (ИБП), подключенных к компьютеру.
Имя службы: UPS
Исполняемый файл или название процесса: C:WINDOWSSystem32ups.exe
Если источника бесперебойного питания нет, то и режим — Отключено

Клиент отслеживания изменившихся связей (Distributed Link Tracking Client)
Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене.
Имя службы: TrkWks
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Для данной службы можно выставить режим — Вручную

Координатор распределенных транзакций (Distributed Transaction Coordinator)
Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы.
Имя службы: MSDTC
Исполняемый файл или название процесса: C:WINDOWSsystem32msdtc.exe
Если данная служба остановлена, такие транзакции выполнены не будут. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Рекомендуется режим — Вручную

Локатор удаленного вызова процедур (RPC) (Remote Procedure Call Locator)
Системная служба локатора удаленного вызова процедур управляет базой данных службы имен RPC.
Имя службы: RpcLocator
Исполняемый файл или название процесса: C:WINDOWSsystem32locator.exe
Если есть сетевое подключение, то режим — Вручную

Маршрутизация и удаленный доступ (Routing and Remote Access)
Предлагает услуги маршрутизации организациям в локальной и глобальной сетях.
Имя службы: RemoteAccess
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Данная служба необходима, если вы хотите разрешить входящие подключения к вашему компьютеру с помощью модема (или других устройств) для получения доступа к вашей локальной сети. Рекомендуется в целях повышения безопасности режим — Отключено

Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service)
Включает поддержку службы NetBIOS через TCP/IP (NetBT) и разрешения NetBIOS-имен в адреса. Данная служба необходима для нормальной поддержки NetBIOS через TCP/IP.
Имя службы: LmHosts
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k LocalService
Рекомендуется режим — Авто. Если ваша сеть не использует NetBIOS или WINS, или сети нет вообще, то — Отключено

Модуль поддержки смарт-карт (Smart Card Helper)
Обеспечивает поддержку для старых устройств чтения смарт-карт (без PnP).
Имя службы: SCardDrv
Исполняемый файл или название процесса: SCardSvr.exe
Если вы не используете смарт-карты, то режим — Отключено.

Обозреватель компьютеров (Computer Browser)
Обслуживает список компьютеров в сети и выдает его программам по запросу.
Имя службы: Browser
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
У кого есть локальная сеть то — Авто
Если сети нет, то можно спокойно перевести в режим — Отключено

Оповещатель (Alerter)
Посылает выбранным пользователям и компьютерам административные оповещения.
Имя службы: Alerter
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k LocalService
Если служба остановлена, программа, использующая административные оповещения их не получит. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Мне эта служба не нужна, поэтому режим — Отключено

Определение оборудования оболочки (Shell Hardware Detection)
Предоставляет уведомления для событий автоматического воспроизведения или выполнения «Автозапуск».
Имя службы: ShellHWDetection
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
В последнее время чрезвычайно широко распространены вирусы, использующие файл autorun.inf для автозапуска со съемных носителей, поэтому ставим — Отключено

Планировщик заданий (Task Scheduler)
Позволяет настраивать расписание автоматического выполнения задач на этом компьютере.
Имя службы: Scheduler
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если Вы не планируете запуск в определенное время программ, то режим — Отключено

Поставщик поддержки безопасности NT LM (NT LM Security Support Provider)
Обеспечивает безопасность программам, использующим удаленные вызовы процедур (RPC) через транспорты, отличные от именованных каналов.
Имя службы: NtLmSsp
Исполняемый файл или название процесса: C:WINDOWSsystem32lsass.exe
Данная служба необходима при использовании Message Queuing или Telnet сервера. Рекомендуется режим — Вручную

Протокол HTTP SSL (Protocol HTTP SSL)
Эта служба обеспечивает безопасный протокол передачи данных гипертекста (HTTPS) для службы HTTP, используя SSL (Secure Socket Layer).
Имя службы: HTTPFilter
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k HTTPFilter
Данная служба отвечает за безопасную передачи данных по зафифрованному протоколу SSL на проверенных сайтах тип запуска — Вручную

Рабочая станция (Workstation)
Обеспечивает поддержку сетевых подключений и связь.
Имя службы: lanmanworkstation
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Если служба остановлена, программа, данные подключения будут недоступны. Если данная служба неразрешена, не удастся запустить любые явно зависимые службы. Рекомендуемый режим — Авто

Расширения драйверов WMI (Windows Management Instrumentation Driver Extension)
Обеспечивает обмен управляющей информацией с устройствами
Имя службы: Wmi
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Режим для данной службы — Вручную

Сервер (Server)
Обеспечивает поддержку общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение.
Имя службы: lanmanserver
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
У кого есть локальная сеть то — Авто
Если сети нет, то можно спокойно перевести в режим — Отключено

Сервер папки обмена (ClipBook)
Позволяет просматривать страницы папок обмена удаленных компьютеров.
Имя службы: ClipSrv
Исполняемый файл или название процесса: C:WINDOWSsystem32clipsrv.exe
Если эта служба остановлена, программа просмотра страниц папок обмена не может обмениваться информацией с удаленными компьютерами. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Данная служба у меня в режиме — Отключено

Сетевой вход в систему (Net Logon)
Поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена.
Имя службы: Netlogon
Исполняемый файл или название процесса: C:WINDOWSsystem32lsass.exe
Данную службу можно перевести в режим — Отключено

Сетевые подключения (Network Connections)
Управляет объектами папки Сеть и удаленный доступ к сети, отображающей свойства локальной сети и подключений удаленного доступа.
Имя службы: Netman
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Данная служба необходима для поддержки сетевых соединений. Рекомендуется режим — Вручную

Система событий COM+ (COM+ Event System)
Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM.
Имя службы: EventSystem
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Если данная служба остановлена, SENS будет закрыта и не сможет предоставлять уведомления входа и выхода. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Рекомендуемый режим — Вручную

Системное приложение COM+ (COM+ System Application)
Управление настройкой и отслеживанием компонентов COM+.
Имя службы: COMSysApp
Исполняемый файл или название процесса: C:WINDOWSsystem32dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
Если данная служба остановлена, большинство компонентов COM+ не будет работать правильно. Если данная служба отключена, все явно зависящие от нее службы не смогут запуститься. Рекомендуемый режим — Вручную

Служба COM записи компакт-дисков IMAPI (IMAPI CD-Burning COM Service)
Данная служба осуществляет управление записью компакт-дисков с помощью IMAPI (Image Mastering Applications Programming Interface).
Имя службы: ImapiService
Исполняемый файл или название процесса: C:WINDOWSsystem32imapi.exe
Если стоит популярный пакет для записи дисков Nero, то зачем нужна эта служба? Правда, в журнале событий после каждого запуска системы остаются красные отметки, но это исправимо: Администрирование — Службы компонентов — Корень консоли — Службы компонентов — Компьютеры — Мой компьютер — Настройка DCOM — Microsoft IMAPI. Далее «Свойства», вкладка «Расположение», убираем галочку «Запустить приложение на данном компьютере». Для данной службы режим — Отключено

Служба администрирования диспетчера логических дисков (Logical Disk Manager Administrative Service)
Выполняет настройку жестких дисков и томов.
Имя службы: dmadmin
Исполняемый файл или название процесса: C:WINDOWSSystem32dmadmin.exe /com
Эта служба выполняется только во время процессов настройки конфигурации, а затем останавливается. Рекомендуемый режим — Вручную

Служба восстановления системы (System Restore Service)
Выполняет функции восстановления системы. Чтобы остановить данную службу, следует отключить восстановление системы на вкладке Восстановление системы, в которую можно попасть, нажав правой кнопкой мыши на ярлыке Мой компьютер на рабочем столе и выбрав пункт Свойства
Имя службы: srservice
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Конечно отключение данной службы повлияет на производительность, но при сбоях в работе системы или после вирусной активности всегда можно выполнить восстановление раннего состояния системы. Так что я рекомендую тип запуска — Авто. 

Служба времени Windows (Windows Time)
Управляет синхронизацией даты и времени на всех клиентах и серверах в сети.
Имя службы: W32Time
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если эта служба остановлена, синхронизация даты и времени не будет доступна. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Выставляем режим — Авто

Служба загрузки изображений (WIA) (Windows Image Acquisition)
Обеспечивает службы получения изображений со сканеров и цифровых камер.
Имя службы: stisvc
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k imgsvc
Выставляем режим — Вручную

Служба индексирования (Indexing Service)
Индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, обеспечивает быстрый доступ к файлам с помощью гибкого языка запросов.
Имя службы: cisvc
Исполняемый файл или название процесса: C:WINDOWSsystem32cisvc.exe
Система индексирования может включиться не только во время простоя компьютера, но и в любое самое неподходящее время. Данную службу переводим в режим — Отключено

Служба обеспечения сети
Управляет XML-файлами конфигурации на базе домена для автоматического обеспечения поддержки сети.
Имя службы: xmlprov
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Тип запуска для данной службы оставляем — Вручную

Служба обнаружения SSDP (SSDP Discovery Service)
Включить обнаружение UPnP-устройств в домашней сети.
Имя службы: SSDPSRV
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k LocalService
Данную службу отключаем. Режим — Отключено

Служба протокола EAP
Позволяет клиентам Windows использовать службу протокола EAP
Имя службы: EapHost
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k eapsvcs
Тип запуска для данной службы оставляем — Вручную

Служба регистрации ошибок (Error Reporting Service)
Позволяет регистрировать ошибки для служб и приложений, выполняющихся в нестандартной среде.
Имя службы: ERSvc
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
При возникновении ошибки служба отправляет информацию в корпорацию Microsoft. Мне такая служба не нужна — Отключено

Служба серийных номеров переносных устройств мультимедиа
Получает серийный номер переносного проигрывателя мультимедиа, подключенного к этому компьютеру.
Имя службы: WmdmPmSp
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если эта служба остановлена, то защищенное содержимое может не загружаться на устройство. Оставим эту службу в режиме — Вручную

Служба сетевого DDE (Network DDE)
Обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) для программ, выполняющихся на одном или на различных компьютерах.
Имя службы: NetDDE
Исполняемый файл или название процесса: C:WINDOWSsystem32netdde.exe
Если Ds не используете Сервер папки обмена (ClipBook), то режим — Отключено

Служба сетевого расположения (NLA) (Network Location Awareness)
Данная служба собирает и хранит сведения о размещении и настройки сети, а также уведомляет приложения об их изменении
Имя службы: Nla
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Служба сообщений (Messenger)
Посылает и получает сообщения, переданные администраторами или службой оповещений. Данная служба не имеет отношения к программа Windows Messenger.
Имя службы: Messenger
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Если Вы не используете Windows Messenger, то рекомендуемый режим — Отключено

Служба управления сертификатами и ключами работоспособности
Управляет сертификатами и ключами работоспособности (которые используются для защиты доступа к сети)
Имя службы: hkmsvc
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Служба шлюза уровня приложения (Application Layer Gateway Service)
Предназначена для поддержки подключаемых модулей, которые позволяют сетевым протоколам проходить через брандмауэр и функционировать в случае использования общего доступа к подключению Интернета.
Имя службы: ALG
Исполняемый файл или название процесса: C:WINDOWSSystem32alg.exe
Рекомендуемый режим — Вручную

Службы IPSEC (IPSEC Services)
Управляет политикой IP-безопасности и запускает ISAKMP/Oakley (IKE) и драйвер IP-безопасности.
Имя службы: PolicyAgent
Исполняемый файл или название процесса: C:WINDOWSsystem32lsass.exe
На домашнем компьютере данную службу можно — Отключить

Службы криптографии (Cryptographic Services)
Предоставляет три службы управления: службу баз данных каталога, которая проверяет цифровые подписи файлов Windows; службу защищенного корня, которая добавляет и удаляет сертификаты доверенного корня центра сертификации с этого компьютера; и службу ключей, которая позволяет подавать заявки на сертификаты с этого компьютера.
Имя службы: CryptSvc
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Если эта служба остановлена, все эти службы управления не будут работать. По сути, эта служба проверяет подписи файлов Windows. Рекомендуемый режим — Авто

Службы терминалов (Terminal Services)
Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.
Имя службы: TermService
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost -k DComLaunch
Рекомендуемый режим для этой службы — Вручную

Смарт-карты (Smart Card)
Данная служба управляет доступом к устройствам чтения смарт-карт.
Имя службы: SCardSvr
Исполняемый файл или название процесса: C:WINDOWSSystem32SCardSvr.exe
Если эта служба остановлена, этот компьютер не сможет считывать смарт-карты. Мне это не надо — Отключено

Совместимость быстрого переключения пользователей (Fast User Switching Compatibility)
Данная служба осуществляет управление приложениями, которые требуют поддержки в многопользовательской среде.
Имя службы: FastUserSwitching Compatibility
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Службу имеет смысл включить, если в вашей системе работает несколько пользователей, в противном случае нет необходимости в запуске этой службы. Если вы все-таки решили включить службу, то она позволит переключаться между пользователями без закрытия работающих программ, что бывают очень удобно. Рекомендуемый режим — Вручную

Справка и поддержка (Help and Support)
Обеспечивает возможность работы центра справки и поддержки на этом компьютере.
Имя службы: helpsvc
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Данная служба необходима для запуска справочных документов Microsoft. Рекомендуемый режим — Вручную

Съемные ЗУ (Removable Storage)
Данная служба управляет съемными носителями, дисками и библиотеками. Она необходима для работы со сменными носителями (магнито-оптическими приводами и т.д.).
Имя службы: NtmsSvc
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Если у вас стали возникать проблемы (перестал работать автозапуск и т.д.) с вашими CD-ROM, DVD-ROM и т.д., то поставьте значение Авто. Рекомендуемый режим — Вручную

Телефония (Telephony)
Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием и голосовыми IP-подключениями на этом компьютере, а также через ЛВС — на серверах, где запущена соответствующая служба.
Имя службы: TapiSrv
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Темы (Themes)
Управление темами оформления.
Имя службы: Themes
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Если используются темы, то режим — Авто. Меня устраивает классический вид. Режим — Отключено

Теневое копирование тома (Volume Shadow Copy)
Управляет созданием теневых копий (контрольных точек состояния) дисковых томов, которые используются для архивации и восстановления или для иных целей.
Имя службы: VSS
Исполняемый файл или название процесса: C:WINDOWSSystem32vssvc.exe
Если эта служба остановлена, теневые копии томов для восстановления не будут доступны и архивация и восстановление могут не работать. Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены. Рекомендуемый режим — Вручную

Уведомление о системных событиях (System Event Notification)
Данная служба протоколирует системные события, такие как регистрация в Windows, в сети и изменения в подаче электропитания. Уведомляет подписчиков из разряда COM+ системное событие, рассылая оповещения.
Имя службы: SENS
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Рекомендуемое значение — Авто

Удаленный вызов процедур (RPC) (Remote Procedure Call)
Эту службу можно назвать ключевой в Windows XP, ваша система не будет без нее работать, именно поэтому это единственная служба, которую вы не можете отключить через консоль Службы
Имя службы: RpcSs
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost -k rpcss
Эта служба всегда должна быть в режиме — Авто

Удаленный реестр (Remote Registry Service)
Позволяет удаленным пользователям изменять параметры реестра на этом компьютере
Имя службы: RemoteRegistry
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k LocalService
Данную службу рекомендуется перевести в режим — Отключено

Узел универсальных PnP-устройств (Universal Plug and Play Device Host)
Данная служба обеспечивает поддержку универсальных PnP-устройств узла
Имя службы: UPNPhost
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k LocalService
Рекомендуемый режим — Отключено

Управление приложениями (Application Management)
Обеспечивает службы установки программного обеспечения, такие, как назначение, публикация и удаление.
Имя службы: AppMgmt
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Рекомендуемый режим — Вручную

Установщик Windows
Позволяет добавлять, изменять или удалять приложения, предоставленные пакетом установщика Windows (*.msi). Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены.
Имя службы: MSIServer
Исполняемый файл или название процесса: C:WINDOWSsystem32msiexec.exe /V
Рекомендуемый режим — Вручную

Фоновая интеллектуальная служба передачи (Background Intelligent Transfer Service)
Обеспечивает передачу данных между клиентами и серверами в фоновом режиме.
Имя службы: BITS
Исполняемый файл или название процесса: C:WINDOWSsystem32svchost.exe -k netsvcs
Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать. Особо и не надо. Режим — Отключено

Центр обеспечения безопасности (Security Center)
Ведет наблюдение за настройками и параметрами безопасности системы.
Имя службы: wscsvc
Исполняемый файл или название процесса: C:WINDOWSSystem32svchost.exe -k netsvcs
Центр обеспечения безопасности не несет никакой дополнительной функциональности кроме облегчения доступа к настройкам защиты вашего компьютера. Рекомендуемый режим — Отключено

Данный материал не является официальной точкой зрения «Лаборатории Касперского». Это мой личный взляд, основанный на многолетнем наблюдении за всем, что происходит в развитии различных атак (пусть это будут вирусы, троянские программы или хакеры). Атакуются именно настройки ОС Microsoft Windows по умолчанию, всегда!

Для тех, которые желает однозначное решение проблемы: вы должны отключить ненужные и/или потенциально опасные службы.

Данные рекомендации применимы прежде всего к Windows XP.

Самый лучший способ: отказаться от всех возможностей по обмену файлами (и в Интернет, и в локальной сети).

Сначала отключим Интернет. Потом делаем вот так:

Удалить в свойствах подключения (или подключений, если их несколько) всё, чтобы остался только Протокол TCP/IP.

Потом в свойствах этого Протокола в раздел WINS отключить NetBIOS и снять галочку, где стоит Включить просмотр LMHosts. (Подробнее про это.)

Потом в Панель управления => Администрирование => Службы. Где ничего не указано — отключить (готовьтесь, это не мало):

* .NET Runtime Optimization Service (если такое имеется)

* ASP.NET State Service (если такое имеется)

* DHCP-клиент (только если у вас нет модема или СТРИМа)

* DNS-клиент (все программы могут делать этот самый запрос)

* iPodService (если имеется, ставить вручную и остановить)

* Machine Debug Manager

* NetMeeting Remote Desktop Sharing

* NVIDIA Display Driver Service (тоже не нужна. Всё будет нормально работать. Она периодически в Интернете что-то ищет)

* Office Source Engine (если имеется, ставить «вручную» и остановить)

* QoS RSVP

* Windows Media Player Network Sharing Service (если такое имеется)

* Автоматическое обновление (вручную, один раз в месяц на Авто для обновления)

* Брандмауэр Windows/Общий доступ к Интернету (ICS)

* Веб-клиент

* Вторичный вход в систему (если вы единственный пользователь на компьютере)

* Диспетчер сетевого DDE

* Доступ к HID-устройствам

* Координатор распределенных транзакций

* Маршрутизация и удаленный доступ

* Модуль поддержки NetBIOS через TCP/IP

* Планировщик заданий (если ни одна из ваших программ защиты его не использует! По-моему, у продуктов ЛК есть свой)

* Сервер папки обмена

* Служба COM записи компакт-дисков IMAPI (только если вы не пользуетесь встроенными возможностями Windows для записи)

* Служба Windows Media Connect (если такое имеется, то тогда на «вручную»)

* Служба восстановления системы (лучше пользоваться другими средствами для восстановления)

* Служба времени Windows (вручную)

* Служба загрузки изображений (WIA)

* Служба индексирования (сначала нужно на всех дисках снять галочку, где стоит «Разрешить индексирования для быстрого поиска». Будет на С ошибка — отвечать для всех Да. От этих действий поиск никак не замедляется!)

* Служба обнаружения SSDP

* Служба регистрации ошибок

* Служба сетевого DDE

* Служба шлюза уровня приложения (Application Layer Service) (отключить только на SP2!)

* Служба IPSEC

* Служба терминалов

* Совместимость быстрого переключения пользователей (если вы единственный пользователь на компьютере)

* Справка и поддержка (вручную)

* Темы (это уже дело вкуса. С Интернетом не связано)

* Узел универсальных PnP-устройств

* Фоновая интеллектуальная служба передачи (BITS) (вручную. Если работает — остановить)

* Центр обеспечения безопасности

* И Last but not Least: Remote Registry — Удалённый реестр (если вы на Pro). Просто стыд-позор, что корпорация Microsoft поставила эту службу на Авто! Любой человек может управлять вашим компьютером на расстоянии!..

Теперь перезагрузка компьютера.

Любые плееры, ICQ, и т.д. НЕ стартовать вместе с Windows! Есть хороший Startup Manager (Startup Control Panel). Выберите Standalone EXE version (34КБ). http://www.mlin.net/StartupCPL.shtml

Установка не требуется. Там можно снять галочки и при следующем запуске Windows программы уже не будет.

Любые автоматические обновления отключить (это дружеский совет).

Любые Mail-Protection и всё подобное отключить и принимать ТОЛЬКО простой текстовый формат в почтовом клиенте. HTML-сообщения и Java-скрипты в электронной почте противопоказаны! Отключить предварительный просмотр сообщений.

В браузерах ЗАПРЕТИТЬ выполнение скрипов. Разумно управлять cookies (куками).

Если ещё есть вопросы, пишите.

С уважением и с искреннем желанием на улучшение ситуации,

Paul Wynant

Moscow, Russia

P.S. Для тех, кто не знает, как отключить службы:

Пуск => Панель управления (классический вид) => Администрирование => Службы.

Откройте.

Ищите название службы.

Щелкайте дважды.

Поставьте параметр Тип запуска на: «Отключить» или на «Вручную» (как указано выше).

Остановите службу (ссылка слева стоит).

Перезагрузите компьютер.