Помощь в лечении систем от нечисти

[NickGolovko]

Проделайте следующее. Скачайте http://z-oleg.com/avz4.zip, отключитесь от сети. Распакуйте архив, запустите AVZ, далее Файл - Стандартные скрипты, выполните скрипт номер 3, перезагрузитесь после выполнения. В папке с AVZ появится папка LOG - прикрепите ZIP архив из этой папки к вашему следующему сообщению. Будем лечить.

Проделайте следующее. Скачайте http://z-oleg.com/avz4.zip, отключитесь от сети. Распакуйте архив, запустите AVZ, далее Файл - Стандартные скрипты, выполните скрипт номер 3, перезагрузитесь после выполнения. В папке с AVZ появится папка LOG - прикрепите ZIP архив из этой папки к вашему следующему сообщению. Будем лечить.

Oops.. удалите дубль

[AntiHacker]

Также забыл добавить следующее...

Дней 5 назад обнаружил просто нереальное количество *.ехе файлов в корне WINDOWS (естественно я их не запускал).. Все весили по 32 килобайта и были созданы в одно и тоже время (около 100 штук.) Также ещё неделей раньше, я удалил около 500 файлов (по 2-10 кб.. т.к. были созданы в одно и тоже время.. то через поиск я их все нашёл без труда и удалил также..)

Я уверен что это не всё конечно же.. поэтому нужна детальная помощь по возможности!

[NickGolovko]

Я сказал вам, что делать..

[AntiHacker]

Я сказал вам, что делать..

Сделал, создалось 2 архива и 1 *.html файл.

Прикрепляю архив который побольше (первый только 22 байта.)

virusinfo_syscure.zip

virusinfo_syscure.zip

[NickGolovko]

Для начала определитесь, какой брандмауэр вы используете - ZoneAlarm или Outpost.

Далее: бэкдор я не вижу. Вероятно, он защищен руткитом.

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.

После перезагрузки повторите процедуру исследования системы, описанную мной выше.

beginSetAVZPMStatus (true);RebootWindows (true);end.

[AntiHacker]

Для начала определитесь, какой брандмауэр вы используете - ZoneAlarm или Outpost.

Я вижу вы совсем не профессионал в отличие от Saule.. У меня стоит ТОЛЬКО OUTPOST, ZoneAlarm никогда не стоял и даже не устанавливался. :)

Далее: бэкдор я не вижу. Вероятно, он защищен руткитом.

И что в этом случае мне делать? Это же может повториться и главное, что повторялось. При том прямо у меня на глазах(во время нахождения меня за компом.)

[NickGolovko]

Я вижу вы совсем не профессионал в отличие от Saule.. У меня стоит ТОЛЬКО OUTPOST, ZoneAlarm никогда не стоял и даже не устанавливался. :(

Тогда объясните мне, почему у вас половина протокола забита компонентами ZoneAlarm.. :) Не спешите с выводами. Сейчас я подготовлю скрипт удаления: похоже, управление реализуется через эти "ZA"-компоненты.

[NickGolovko]

Уточнил информацию: это другой продукт ZoneLabs, использующий компоненты с теми же названиями. В таком случае подозревать их действительно не следует. Жаль... это упростило бы ситуацию.

По поводу руткита повторю еще раз, что вам следует сделать.

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.

После перезагрузки повторите процедуру исследования системы, описанную мной выше.

Код

begin

SetAVZPMStatus (true);

RebootWindows (true);

end.

[AntiHacker]

Уточнил информацию: это другой продукт ZoneLabs, использующий компоненты с теми же названиями. В таком случае подозревать их действительно не следует. Жаль... это упростило бы ситуацию.

По поводу руткита повторю еще раз, что вам следует сделать.

Спасибо, можете не повторять, проблема для меня очень важная, и можно сказать глобальная, поэтому я по нескольку раз перечитываю то, о чём мы с Вами говорим.

Значит.. проделал я то, о чём вы просили, и начал заново анализ системы через AVZ.. но тут выскочил синий экранчик... сейчас попробую повторить.

Да, кстати, FIREWALL & Kaspersky надо отключать или нет?

[NickGolovko]

Отключать не обязательно, но можно. Проблем совместимости AVZPM с Касперским и Outpost не отмечалось - возможно, бэкдор противодействует обнаружению себя. Перед сканированием проверьте: в меню AVZPM пункт Установить драйвер мониторинга.. должен быть неактивен.

[AntiHacker]

Ну насколько я полагаю, от сети Интернет нужно отключиться в любом случае?! :)

[rrs]

Хелп! Кто поможет осилить эту лабуду? Беспокоят строчки 020... Вот лог:

Logfile of HijackThis v1.99.1

Scan saved at 12:05:15, on 18.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\SmartPCTools\Registry Repair Wizard\RCHelper.exe

C:\Program Files\WinTools\RAM Saver Pro\ramsaverpro.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\DU Meter\DUMeter.exe

C:\INSTALL\ANTISPAY\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.31.1.15:8888

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O1 - Hosts: // Created By BPS Popup Shield.

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programs\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [Registry Repair Wizard Scheduler] "C:\Program Files\SmartPCTools\Registry Repair Wizard\RCHelper.exe" /startup

O4 - HKCU\..\Run: [RAMSaverPro] C:\Program Files\WinTools\RAM Saver Pro\ramsaverpro.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: interceptor.dll,firewall\wl_hook.dll

O20 - Winlogon Notify: WBSrv - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[NickGolovko]

Ну насколько я полагаю, от сети Интернет нужно отключиться в любом случае?!

Так как предыдущий протокол вы делали в оффлайне, следующий было бы желательно получить, когда компьютер подключен к сети. Если это не удастся сделать, тогда второй тоже делайте в режиме оффлайн.

[AntiHacker]

прикрепляю заново сделанный в OFFline, чуть ниже сделаю в ON-line.

virusinfo_syscure.zip

virusinfo_syscure.zip

[AntiHacker]

ON-line protocal is in the attachment!

c:\program files\common files\lightscribe\lssrvc.exe

Рискну предположить, этот файл мне абсолютно не нужен, т.к. не пользуюсь давным давно принтером.

В чем будет отличие протокола, сделанного в ОФФлайн от ОНлайн?

Как могли пробраться сотни тех *.ехе файлов о которых я писал выше?

В протоколе, в самом низу пишет следующее:

"6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем."

Это нормально?

virusinfo_syscure.zip

virusinfo_syscure.zip

[NickGolovko]

ON-line protocal is in the attachment!

c:\program files\common files\lightscribe\lssrvc.exe

Рискну предположить, этот файл мне абсолютно не нужен, т.к. не пользуюсь давным давно принтером.

В чем будет отличие протокола, сделанного в ОФФлайн от ОНлайн?

Как могли пробраться сотни тех *.ехе файлов о которых я писал выше?

В протоколе, в самом низу пишет следующее:

"6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем."

Это нормально?

Да, этот параметр выключен по умолчанию.

Я ожидал, что, возможно, бэкдор запускается только при наличии сетевого соединения - поэтому просил онлайн-протокол. Однако по-прежнему ничего не видно.

В таком случае у меня к вам следующая просьба: загрузитесь в безопасном режиме, откройте AVZ - Сервис - Диспетчер служб и драйверов. Задайте фильтр Все и откройте вкладку Сервисы (по анализу реестра). Сохраните протокол и выложите его здесь. Возможно, нам удастся обнаружить бэкдор по записи в реестре.

[AntiHacker]

Да, этот параметр выключен по умолчанию.

Я ожидал, что, возможно, бэкдор запускается только при наличии сетевого соединения - поэтому просил онлайн-протокол. Однако по-прежнему ничего не видно.

В таком случае у меня к вам следующая просьба: загрузитесь в безопасном режиме, откройте AVZ - Сервис - Диспетчер служб и драйверов. Задайте фильтр Все и откройте вкладку Сервисы (по анализу реестра). Сохраните протокол и выложите его здесь. Возможно, нам удастся обнаружить бэкдор по записи в реестре.

Хорошо, сейчас проделаем.

Но вы уверены, что такое могло произойти только из-за наличия бэкдор?

do you thinks there is no backdoors? so you wrong!! hahaha!!

I know even your new account and I know your gmail account!!! I can stop this for $140

[NickGolovko]

Такой функционал, как вы описываете, невозможно осуществить обычной атакой извне: для этого нужно серьезное средство удаленного администрирования, то есть бэкдор. Приведенная вами цитата это подтверждает. Кстати, какой у вас тип подключения?

[AntiHacker]

Выкладываю, и надеюсь на помощь!

как грамотно убить этот файл?? просто удалить и всё?

c:\program files\common files\lightscribe\lssrvc.exe

Такой функционал, как вы описываете, невозможно осуществить обычной атакой извне: для этого нужно серьезное средство удаленного администрирования, то есть бэкдор. Приведенная вами цитата это подтверждает. Кстати, какой у вас тип подключения?

Тип подключения во время первых взломов (самых ощутимых и шокирующих для меня тогда) был Dial-up обычный, 42-45 кб/с...

месяца 4 назад (25.10.2006) поставил X-DSL. 512/256.. По трафику. Работал в Режиме Bridge Mode модем сначала, потом перешёл на Router и в данный момент именно на нём.

Комп включён не круглосуточно, в основном только на выходных.

avz_services.htm

avz_services.htm

[AntiHacker]

Такой функционал, как вы описываете, невозможно осуществить обычной атакой извне: для этого нужно серьезное средство удаленного администрирования, то есть бэкдор.

Да, здесь и дураку понятно, что нечто слишком серьёзное в компьютере таится. Если он успевал использовать только что сменённый пароль быстрее меня, то я просто не могу дойти на памяти на самом деле как такое может происходить..

Однажды мнена счёт перевели деньги, и через 6 минут счёт голый...

Потом буквально недавно (недели 2 назад) на мой сайт на платном хосте зашли непонятно каким путём и сменили только мой е-mail на свой, всё остальное оставили как прежде!! как такое могло случиться не имею понятия просто малейшего! :D

[NickGolovko]

Протокол завтра посмотрю. У меня еще вопрос, связанный с другой версией: где вы живете и кто ваш провайдер?

[AntiHacker]

Протокол завтра посмотрю. У меня еще вопрос, связанный с другой версией: где вы живете и кто ваш провайдер?

BY, www.byfly.by

www.beltelecom.by

[NickGolovko]

Хорошо. Тогда зачем вам компьютер некоего иранского института в качестве прокси-сервера? Вы сами так назначили?

[NickGolovko]

И еще к слову: у вас есть что-нибудь от GEAR Software?

[Тори]

Saule, доброй ночи!

Знакомый прислал ссылку по аське - зашла. Оказалось у него на компе вирус рассылающий спам. Боюсь,у меня теперь та же история. Но не уверена. Не посмотрите?

Logfile of HijackThis v1.99.1

Scan saved at 3:27:09, on 19.03.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Mail.Ru\Agent\MAgent.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\Maxthon\Maxthon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\User\Мои документы\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [uIWatcher] C:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\MAgent.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{93906EC4-9D7B-4EAE-8244-0FE9819206FD}: NameServer = 80.70.224.2,80.70.224.4

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe

O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Program Files\Microsoft Private Folder 1.0\PrfldSvc.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe