Эту систему (Windows XP SP3) я устанавливал сам, но давно. За время моего отсутствия на ней отключили антивирус для большей производительности и сумели подхватить заразу. Симптомы заразы просты. Даже слишком просты. Непрерывное сканирование случайно выбираемых адресов по порту 445 (microsoft-ds). netstat показывает много исходящих соединений на этот порт в состоянии SYN_SENT (поскольку случайно выбранные адреса чаще всего недостижимы). Да, ещё постоянно выключаются службы автоматического обновления и фоновой передачи данных (BITS). И отключается показ скрытых/системных файлов в Проводнике. В остальном, каких-либо нареканий на работу системы у владельцев нет. Но такое поведение не нравится мне. Это ненормально.
показывает, что эти соединения открывает один из процессов svchost. не показывает никаких подозрительных объектов автозапуска.
Приходится запустить более сильнодействующее средство - .
Выбираю в списке процессов svchost, на который показал TcpView, включаю нижнюю панель (Ctrl-L) и отображение дескрипторов, открытых процессом (Ctrl-H). И точно - в списке виднеется подозрительная DLL с именем из случайно выбранных латинских букв. Файл лежит в \windows\system32. Ищу все активные ссылки на имя этого файла по всем процессам (Ctrl-F). Ссылка только одна - DLL загружена только в этот самый svchost. Закрываю найденный дескриптор с помощью того же Process Explorerа (контекстное меню в списке нижней панели).
Теперь заглядываю в \windows\system32 - и не могу там отыскать этот посторонний файл. Несмотря на закрытие дескриптора, поток исполнения кода этой DLL продолжается, посторонняя активность всё та же.
Перезапускаю систему в безопасном режиме. Открываю "Панель управления - Администрирование - Службы". Хорошенько ищу (глазами и вручную) подозрительные службы. Обнаруживаю службу со странным именем Shell Task, с не слишком осмысленным русским описанием (скопированным у другой службы из списка), и с коротким именем в виде ещё одной случайной последовательности букв.
Запускаю regedit и ищу это короткое имя. Нахожу его в списке служб, которые надо запускать в контексте svchost, и удаляю оттуда. Ищу дальше - и нахожу данные "посторонней" службы со ссылкой на найденную ранее постороннюю DLL. Всё это удаляю. Что не удаляется, на то добавляю разрешения "Полный доступ" для пользователя SYSTEM и группы "Все" - и тогда получается удалить. AutoRuns не показывал этот объект потому, что разрешения на чтение его ветви реестра были только для пользователя SYSTEM.
Перезапускаю систему в нормальном режиме - и вот он результат, посторонняя активность прекратилась.
Правда, DLL в \windows\system32 так и не нашлась. Компьютер достаточно отрезанный от Интернета, а бесплатных антивирусов у меня с собой не было. На этом систему и вернул владельцам в дальнейшее пользование.

Пишите, Вас читают .