services.exe, грузит проц на 50-100%

первое дело на руткит подумал.... прогон каспером и cureit ничего не нашел.....
Может кто сталкивался c этим демоном?

пиши в личку, все сделаю

давай для общественности прямо тут делись инфой....

Логи gmеr+аvz выложи

завтра когда доберусь до сервака.....

2k3 или 2k8?
Обновления все стоят? Компы в аd?

да, стоит sp2, кстати после установки всякая хрень начала твориться.....

да

один раз прогон avz ничего не нашел...
gmеr запустил к хренам все зависло.... жесткая перезагрузка сервак еле шевелится.....

Хайджак лог выложи, он не должен систему подвисать.
Так я понимаю ты одмин?

угу начинающий...

avz log:Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 05.05.2010 10:47:51
Загружена база: сигнатуры - 359492, нейропрофили - 2, микропрограммы лечения - 56, база от 03.05.2010 15:52
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 238720
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#2)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0A6380)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 808A6380
KiST = 80834190 (296)
Функция NtAdjustPrivilegesToken (0C) перехвачена (809668E0->B88BD532), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtClose (1B) перехвачена (80934648->B88BDC96), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtConnectPort (21) перехвачена (809201DA->B88BE45A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateFile (27) перехвачена (808EEB1E->B88BDEFE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateNamedPipeFile (2E) перехвачена (808EEB58->B88BD3F8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateSymbolicLinkObject (36) перехвачена (8093D5B8->B88BF508), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtCreateThread (37) перехвачена (8094AD3A->B88BDA48), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (3B) перехвачена (809A0DFE->B88BEF3A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDeviceIoControlFile (45) перехвачена (808EECDE->B88BE22C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (47) перехвачена (80936198->B88BF94A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtFsControlFile (58) перехвачена (808EED12->B88BE0DE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtLoadDriver (65) перехвачена (808F9F6E->B88BEFCC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenFile (7A) перехвачена (808EFC28->B88BDD42), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenProcess (80) перехвачена (80944966->B88BD730), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenSection (83) перехвачена (809267C8->B88BF532), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtOpenThread (86) перехвачена (80944BF4->B88BD654), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (BC) перехвачена (8094AF78->B88BF260), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtReplaceKey (C9) перехвачена (808BC2B4->B88BC8C8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRequestWaitReplyPort (D0) перехвачена (8091E4A2->B88BEDC0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtRestoreKey (D4) перехвачена (808BBB3A->B88BCA2A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtResumeThread (D6) перехвачена (8094EEDC->B88BF81E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSaveKey (D7) перехвачена (808BBC36->B88BC6CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSecureConnectPort (DA) перехвачена (8091F886->B88BE31C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetContextThread (DD) перехвачена (8094B448->B88BDB48), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (F6) перехвачена (80938BA6->B88BF0C6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (F9) перехвачена (8098D0E8->B88BF55C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendProcess (106) перехвачена (8094EFA2->B88BF640), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSuspendThread (107) перехвачена (8094EE18->B88BF6FC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (108) перехвачена (80994820->B88BEE66), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateProcess (10A) перехвачена (8094C714->B88BD8A8), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtTerminateThread (10B) перехвачена (8094C920->B88BD7FE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (11F) перехвачена (8092F13C->B88BD988), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция FsRtlCheckLockForReadAccess (808175B8) - модификация машинного кода. Метод JmpTo. jmp B88D00FA \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Функция IoIsOperationSynchronous (8081C796) - модификация машинного кода. Метод JmpTo. jmp B88D04D4 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
Проверено функций: 296, перехвачено: 32, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 432)
Маскировка процесса с PID=2032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2032)
Маскировка процесса с PID=2484, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2484)
Маскировка процесса с PID=3088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3088)
Маскировка процесса с PID=3752, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3752)
Маскировка процесса с PID=432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 432)
Маскировка процесса с PID=2192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2192)
Маскировка процесса с PID=2892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2892)
Маскировка процесса с PID=3040, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3040)
Маскировка процесса с PID=3564, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3564)
Маскировка процесса с PID=2820, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2820)
Маскировка процесса с PID=3964, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3964)
Маскировка процесса с PID=4004, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4004)
Маскировка процесса с PID=3104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3104)
Маскировка процесса с PID=3160, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3160)
Маскировка процесса с PID=2868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2868)
Маскировка процесса с PID=308, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 308)
Маскировка процесса с PID=2244, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2244)
Маскировка процесса с PID=3308, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3308)
Маскировка процесса с PID=2736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2736)
Маскировка процесса с PID=4048, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4048)
Маскировка процесса с PID=312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 312)
Маскировка процесса с PID=2028, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2028)
Маскировка процесса с PID=4092, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4092)
Маскировка процесса с PID=1248, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1248)
Маскировка процесса с PID=4016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4016)
Маскировка процесса с PID=3248, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3248)
Маскировка процесса с PID=920, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 920)
Маскировка процесса с PID=3216, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3216)
Маскировка процесса с PID=3076, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3076)
Маскировка процесса с PID=704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 704)
Маскировка процесса с PID=3208, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3208)
Маскировка процесса с PID=3220, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3220)
Маскировка процесса с PID=3084, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3084)
Маскировка процесса с PID=2548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2548)
Маскировка процесса с PID=3808, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=3976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3976)
Маскировка процесса с PID=3544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3544)
Маскировка процесса с PID=3508, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3508)
Маскировка процесса с PID=3724, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3724)
Маскировка процесса с PID=3472, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3472)
Маскировка процесса с PID=2892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2892)
Маскировка процесса с PID=720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 720)
Маскировка процесса с PID=2164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2164)
Маскировка процесса с PID=3800, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3800)
Маскировка процесса с PID=2648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2648)
Маскировка процесса с PID=3228, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3228)
Маскировка процесса с PID=3548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3548)
Маскировка процесса с PID=3204, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3204)
Маскировка процесса с PID=864, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 864)
Маскировка процесса с PID=804, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 804)
Маскировка процесса с PID=2428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2428)
Маскировка процесса с PID=2932, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2932)
Маскировка процесса с PID=3480, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3480)
Маскировка процесса с PID=796, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 796)
Маскировка процесса с PID=3544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3544)
Маскировка процесса с PID=2896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2896)
Маскировка процесса с PID=3244, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3244)
Маскировка процесса с PID=3764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3764)
Маскировка процесса с PID=2496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2496)
Маскировка процесса с PID=648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 648)
Маскировка процесса с PID=4048, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4048)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=1248, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1248)
Маскировка процесса с PID=2344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2344)
Маскировка процесса с PID=3796, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3796)
Маскировка процесса с PID=1180, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1180)
Маскировка процесса с PID=3952, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3952)
Маскировка процесса с PID=3200, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3200)
Маскировка процесса с PID=3724, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3724)
Маскировка процесса с PID=920, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 920)
Маскировка процесса с PID=1344, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1344)
Маскировка процесса с PID=2480, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2480)
Маскировка процесса с PID=1500, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1500)
Маскировка процесса с PID=428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 428)
Маскировка процесса с PID=1100, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1100)
Маскировка процесса с PID=3524, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3524)
Маскировка процесса с PID=2180, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2180)
Маскировка процесса с PID=3544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3544)
Маскировка процесса с PID=3812, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3812)
Маскировка процесса с PID=4068, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4068)
Маскировка процесса с PID=648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 648)
Маскировка процесса с PID=2792, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2792)
Маскировка процесса с PID=760, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 760)
Маскировка процесса с PID=2932, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2932)
Маскировка процесса с PID=2924, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2924)
Маскировка процесса с PID=544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 544)
Маскировка процесса с PID=2140, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2140)
Маскировка процесса с PID=3992, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3992)
Маскировка процесса с PID=1100, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1100)
Маскировка процесса с PID=308, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 308)
Маскировка процесса с PID=2916, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2916)
Маскировка процесса с PID=3168, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3168)
Маскировка процесса с PID=3756, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3756)
Маскировка процесса с PID=1088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1088)
Маскировка процесса с PID=4080, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4080)
Маскировка процесса с PID=2260, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2260)
Маскировка процесса с PID=1756, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1756)
Маскировка процесса с PID=1496, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1496)
Маскировка процесса с PID=544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 544)
Маскировка процесса с PID=3476, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3476)
Маскировка процесса с PID=524, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 524)
Маскировка процесса с PID=4056, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4056)
Маскировка процесса с PID=3156, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3156)
Маскировка процесса с PID=400, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 400)
Маскировка процесса с PID=2868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2868)
Маскировка процесса с PID=3548, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3548)
Маскировка процесса с PID=3168, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3168)
Маскировка процесса с PID=2212, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2212)
Маскировка процесса с PID=2852, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2852)
Маскировка процесса с PID=3264, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3264)
Маскировка процесса с PID=3028, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3028)
Маскировка процесса с PID=400, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 400)
Маскировка процесса с PID=532, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 532)
Маскировка процесса с PID=428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 428)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=2852, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2852)
Маскировка процесса с PID=3596, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3596)
Маскировка процесса с PID=2936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2936)
Маскировка процесса с PID=2416, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2416)
Маскировка процесса с PID=3232, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3232)
Маскировка процесса с PID=3364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3364)
Маскировка процесса с PID=2884, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2884)
Маскировка процесса с PID=3964, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3964)
Маскировка процесса с PID=3988, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3988)
Маскировка процесса с PID=3948, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3948)
Маскировка процесса с PID=1404, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1404)
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 46
Анализатор - изучается процесс 1532 C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2300 C:\Program Files\Openfire\bin\openfire-service.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 3588 C:\Program Files\Acronis\TrueImageEchoServer\TimounterMonitor.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 1924 C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Количество загруженных модулей: 375
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 36933, извлечено из архивов: 27838, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 05.05.2010 11:02:47

сделай лог не из терминальной сессии и приложи логи hijackthis

короче все проше оказалось.... удалил касперского workstation 6.0.... и все залетало .... за что сцуко платим если тех подджержка нихера не помогает.....

бывает