столкнулся, пришлось заходить в безопасный режим, перекидывать все файлы и ставить ось заново

проверял авп, симантеком, ничего не нашли, сейчас сканирую вебом.
наблюдается следующее: при отключении компа от сети, этот процесс висит, но ест всего 10 метров, как только подключаю к сети, сразу подскакивает до 70-ти; если отрубаем этот процесс, не дает регулировать звук, не проигрываются медиа-файлы, говорит что не установлено аудио-устройств, если процесс не выключать, медиа файлы проигрываются нормально.

я не с сети ) но это обновление ставить уже пробовал, на винду MUI ставил, ругается что язык обновления не совпадает с языком оси ):

не помогло обновление :( придется видимо все таки сносить.

вирь, или троян....причем умеет прятатца.
выдергивай винт, неси другу, и посканируй его без загрузки своей винды.

ну вы даете, это опасный вирус! все exe файлы инфицирует!
к слову о Svchost.exe
Цитата Microsoft:

Svchost.exe — название главного процесса для служб, запускаемых из динамически загружаемых библиотек (DLL).
Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом улучшается контроль и упрощается отладка.
Группы Svchost.exe определены в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Каждый параметр этого раздела представляет собой отдельную Svchost-группу и отображается на экране как отдельный экземпляр при просмотре активных процессов. Каждый параметр имеет тип «REG_MULTI_SZ» и содержит службы, выполняющиеся в составе Svchost-группы. Каждая Svchost-группа содержит имена одной или более служб, взятых из следующего раздела реестра, при условии, что в ее подразделе Parameters содержится параметр ServiceDLL.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба
Чтобы просмотреть список служб, выполняющихся в Svchost, выполните следующие действия.
1. Нажмите кнопку Пуск на панели задач Windows и выберите команду Выполнить.
2. В поле Открыть введите команду CMD и нажмите клавишу ENTER.
3. Введите Tasklist /SVC и нажмите клавишу ENTER.
Будет показан список активных процессов. Параметра /SVC служит для отображения списка активных служб для каждого процесса. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ENTER.
Tasklist /FI "PID eq идентификатор_процесса" (включая кавычки)

В случае возникновения подозрений рекомендуем проверить следующие варианты:
1) Команда msconfig, закладка Автозагрузка: оригинальный процесс Svchost.exe не использует автозагрузку для старта. Если данный файл указан как файл автозапуска, он не является тем, за кого себя выдает.
2) Произвести поиск файла svchost.exe на системном диске. Оригинальное месторасположение файла - \WINDOWS\system32\. В других случаях этот файл также не является оригинальным.
3) Внимательно перечитайте имя подозрительного файла. Некоторые вирусы копируют себя в папку оригинального файла с другим, но очень похожим именем (например, swchost.exe).

Внимание!
Работа многих функций операционной системы основана на использовании данного процесса. Остановка его крайне нежелательна и может быть критична для работы ОС.

А сам вирус вот:

Virus.Win32.Hidrag.d
Другие версии: .a, .b, .c
Другие названия
Virus.Win32.Hidrag.d («Лаборатория Касперского») также известен как: W32/Jeefo (McAfee),   W32.Jeefo (Symantec),   Win32.HLLP.Jeefo.36352 (Doctor Web),   W32/Jeefo (H+BEDV),   W32/Jeefo.A (FRISK),   Win32/Hidrag.A (Grisoft),   Win32.Jeefo.A (SOFTWIN),   W32.Jeefo (ClamAV),   W32/Jeefo (Panda)

Компьютерный вирус. Инфицирует PE EXE файлы с сохранением их работоспособности. Имеет размер 36352 байта. Написан на языке C++.

Относится к классу HLLP-вирусов (High Level Language Parasitic Virus).

Инсталляция
При запуске зараженного файла вирус копирует себя в корневой каталог Windows с именем svchost.exe:

%WinDir%\svchost.exe
При этом тело вируса модифицируется так, что в конец файла добавляется ресурс VERSIONINFO, частично совпадающий с аналогичным ресурсом в оригинальном системном файле svchost.exe Windows XP, который расположен в %WinDir%\system32 (различие только в номерах версий — созданный файл имеет номер версии 5.1.0.0).

После этого вирус запускает созданный файл, передавая ему в качестве параметров командной строки имя запущенного инфицированного Exe-файла и его параметры командной строки.

Затем выполнение программы завершается. Это делается для лечения запустившегося инфицированного Exe-файла.

Запущенный вирусом файл svchost.exe проверяет тип операционной системы. Если это Windows NT, 2000 или XP, то он регистрирует себя в виде службы с именем «PowerManager» и описанием «Manages the power save features of the computer». Если тип операционной системы другой (Windows 95, 98), то запущенный процесс (svchost.exe) прячется из списка задач с помощью функции RegisterServiceProcess и регистрируется в системном реестре:

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.exe"
Запущенный файл svchost.exe анализирует параметры командной строки; если они есть, то вирус лечит указанный в них файл и запускает его с оригинальными параметрами командной строки. Затем, если одна копия вируса уже выполняется, процесс завершает свою работу.

Деструктивная активность

В ходе фонового выполнения файла svchost.exe производится поиск и инфицирование других Exe-файлов. При поиске файлов просматриваются все несъёмные диски, начиная с диска C: до диска Z:. Для каждого диска просматривается дерево подкаталогов и производится поиск файлов с расширением Exe. Найденные файлы инфицируются.

При этом заражение файлов не происходит, если выполняется одно из следующих условий:

файл импортирует одну из функций: PackDDElParam или StartServiceCtrlDispatcher;
размер файла меньше 100 КБ;
тип пользовательского интерфейса — не GUI;
файл является защищённым (определяется посредством SfcIsFileProtected);
файл уже инфицирован этим вирусом (определяется путём нахождения строки; «Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/» по смещению 610h от начала файла (данная строка является зашифрованной строкой «Hidden Dragon virus. Born in a tropical swamp.»).
Все строковые константы в теле вируса зашифрованы.

При заражении файлов у них на время инфицирования снимается атрибут «Только для чтения». Также не изменяются время создания, записи и последнего доступа к файлу. В ходе инфицирования файлов вирус шифрует и меняет местами некоторые данные файла.

Рекомендации по удалению

Удалить ключ реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"PowerManager"="%WinDir%\svchost.exe"
Остановить службу с именем PowerManager.
Удалить файл svchost.exe в каталоге %WinDir% (но не в %WinDir%\system32!).
Произвести полную проверку компьютера Антивирусом Касперского для удаления всех копий вирусов в Exe-файлах, которые невозможно обнаружить и вылечить вручную.

вообщем бля юзайте касперского а то заразите всех
1000р лицензия на год 600р подление.. и нах ключи искать забаненные..
все равно не поможет, пора привыкать к нормальному поведению

Исправлено oleggy (31.03.07 19:29)