hi.,,, i got 2 dll files in the directory infected by trojan Generic9.XLD and obfustate.VKD virus......
i tryed avg free adition in safe mode ,, spybot, adaware ......nothing happens. AVG finds them but cant kill them. these threats triggers the winxp activation notify.
i have to consider formating the drive because i cant find the problem and nothing help....any suggestion would be appreciated

tatyana

Please download and install the latest version of HijackThis v2.0.2:

Download the HijackThis Installer from this link: HijackThis

1. Save " HJTInstall.exe" to your desktop.
2. Double click on HJTInstall.exe to run the program.
3. By default it will install to C:\Program Files\Trend Micro\HijackThis.
4. Accept the license agreement by clicking the "I Accept" button.
5.Click on the "Do a system scan and save a log file" button. It will scan and then ask you to save the log.
6. Click "Save log" to save the log file and then the log will open in Notepad.
7. Click on "Edit > Select All" then click on "Edit > Copy" to copy the entire contents of the log.
8. Paste the log in your next reply.
9. Do NOT have HijackThis fix anything yet! Most of what it finds will be harmless or even required.

first thanx for the fast answer...i have tryed that program. the infected files are wmic.dll and kbddvq.dll (AVG) . cant delete them nither with AVG nor hijackthis.

the winxp activation still appears.
spybot and adaware wont recognize them as a dangerous threats.

****************************************************
Scan saved at 01:29:32, on 23/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Documents and Settings\אביב\שולחן העבודה\HijackThis.exe

O2 - BHO: (no name) - {0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C} - C:\WINDOWS\System32\kbddvq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C450A32D-CA9F-40C8-A831-EA67EE65A077} - c:\windows\system32\wmic.dll
O3 - Toolbar: &רדיו - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" -win
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanis...
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnl...
O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) - https://service.pelephone.co.il/WebPhone/jsp/Client/CfxIEAx.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...
O16 - DPF: {2B26018A-1D8D-4C19-9A9B-F6C49453A21D} (LauncherV1 Class) - http://irc.msn.co.il/Night/launcher...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/active...
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712...
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CA60848-1F72-4526-B9E5-7F37036C5558}: NameServer = 192.116.202.222 213.8.172.83
O20 - Winlogon Notify: hzuldlav - C:\WINDOWS\SYSTEM32\wmic.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

/***********************************************

thanx in advance,
tatyana

Looks like Vundo.

Please download ComboFix to the desktop from this link:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double-click combofix.exe
Follow the prompts.
(Don't click on the window while the program is running, it may cause your system to hang.)

Please post the log it produces.

tryed the prog in safe mode..with no success. the prog detected the exact bag threads but didnt or couldnt clean.

the 2 bad files are empty REG entries and related to the internet explorer and to the winxp activation proccess. !!!!!!!!

the result of the test comofix test::::

C:\WINDOWS\Downloaded Program Files.\launcher.ocx
C:\WINDOWS\system32\{1A76A10A-9661-48B5-940F-250B063B5160}.exe

.
((((((((((((((((((((((((( Files Created from 2007-10-21 to 2007-11-21 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-21 19:27 2,633,728 ----a-w C:\Documents and Settings\אסתר\ntuser.dat
2007-11-21 19:27 2,633,728 ----a-w C:\Documents and Settings\אסתר\ntuser.dat
2007-11-21 19:07 4,718,592 ----a-w C:\Documents and Settings\אביב\ntuser.dat
2007-11-21 19:07 4,718,592 ----a-w C:\Documents and Settings\אביב\ntuser.dat
2007-11-20 21:39 --------- d-----w C:\Program Files\Uniblue
2007-11-20 21:39 --------- d-----w C:\Documents and Settings\אביב\Application Data\Uniblue
2007-11-20 21:32 --------- d-----w C:\Program Files\MalWhere
2007-11-08 23:03 --------- d-----w C:\Program Files\FLV Player
2007-11-05 00:08 --------- d-----w C:\Documents and Settings\אסתר\Application Data\Help
2007-10-11 12:42 8,925 ----a-w C:\clean.bat
2007-10-11 06:55 347 ----a-w C:\run2.reg
2007-09-29 16:16 --------- d-----w C:\Documents and Settings\אביב\Application Data\InstallShield
2007-09-23 21:18 162,955 ----a-w C:\WINDOWS\Audio Converter Uninstaller.exe
2007-09-23 21:18 --------- d-----w C:\Program Files\River Past
2007-09-23 21:18 --------- d-----w C:\Program Files\Common Files\River Past
2007-09-23 21:18 --------- d-----w C:\Documents and Settings\אביב\Application Data\River Past G5
2007-09-23 21:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\River Past G5
2007-09-23 21:14 --------- d-----w C:\Program Files\QuickTime
2007-09-23 21:14 --------- d-----w C:\Program Files\Apple Software Update
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-09-18 16:34 92,064 ----a-w C:\Documents and Settings\אביב\mqdmmdm.sys
2007-09-18 16:34 92,064 ----a-w C:\Documents and Settings\אביב\mqdmmdm.sys
2007-09-18 16:34 9,232 ----a-w C:\Documents and Settings\אביב\mqdmmdfl.sys
2007-09-18 16:34 9,232 ----a-w C:\Documents and Settings\אביב\mqdmmdfl.sys
2007-09-18 16:34 79,328 ----a-w C:\Documents and Settings\אביב\mqdmserd.sys
2007-09-18 16:34 79,328 ----a-w C:\Documents and Settings\אביב\mqdmserd.sys
2007-09-18 16:34 66,656 ----a-w C:\Documents and Settings\אביב\mqdmbus.sys
2007-09-18 16:34 66,656 ----a-w C:\Documents and Settings\אביב\mqdmbus.sys
2007-09-18 16:34 6,208 ----a-w C:\Documents and Settings\אביב\mqdmcmnt.sys
2007-09-18 16:34 6,208 ----a-w C:\Documents and Settings\אביב\mqdmcmnt.sys
2007-09-18 16:34 5,936 ----a-w C:\Documents and Settings\אביב\mqdmwhnt.sys
2007-09-18 16:34 5,936 ----a-w C:\Documents and Settings\אביב\mqdmwhnt.sys
2007-09-18 16:34 4,048 ----a-w C:\Documents and Settings\אביב\mqdmcr.sys
2007-09-18 16:34 4,048 ----a-w C:\Documents and Settings\אביב\mqdmcr.sys
2007-09-18 16:34 25,600 ----a-w C:\Documents and Settings\אביב\usbsermptxp.sys
2007-09-18 16:34 25,600 ----a-w C:\Documents and Settings\אביב\usbsermptxp.sys
2007-09-18 16:34 22,768 ----a-w C:\Documents and Settings\אביב\usbsermpt.sys
2007-09-18 16:34 22,768 ----a-w C:\Documents and Settings\אביב\usbsermpt.sys
2004-01-12 06:45 11,854 ----a-w C:\Program Files\MPLAB_LicenseAgreement.rtf
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C}]
04/09/2003 12:00 PM 83968 --a------ C:\WINDOWS\System32\kbddvq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C450A32D-CA9F-40C8-A831-EA67EE65A077}]
04/09/2003 12:00 PM 83456 --a------ c:\windows\system32\wmic.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreeRAM XP"="C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" [11/30/2003 11:13 PM]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [09/25/2007 01:11 AM]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [10/27/2007 01:59 PM]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [10/27/2007 01:59 PM]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hzuldlav]
wmic.dll 04/09/2003 12:00 PM 83456 C:\WINDOWS\system32\wmic.dll

R0 eantexhs;eantexhs;C:\WINDOWS\System32\drivers\gojcfgfa.sys
R3 msloop;Microsoft Loopback Adapter Driver;C:\WINDOWS\System32\DRIVERS\loop.sys
R3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S2 clqmvqep;NDIS System Controller;C:\WINDOWS\System32\svchost.exe -k netsvcs
S2 tdim;tdim;\??\C:\WINDOWS\System32\drivers\tdim.sys
S3 motmodem;Motorola USB CDC ACM Driver;C:\WINDOWS\System32\DRIVERS\motmodem.sys
S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\System32\DRIVERS\tj2knd5.sys
S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\System32\DRIVERS\tj2kunic.sys
S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\System32\DRIVERS\usbsermptxp.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
clqmvqep

.
Contents of the 'Scheduled Tasks' folder
"2007-11-20 22:00:02 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 23:00:02 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-21 00:00:02 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 01:00:02 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 02:00:02 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-19 03:00:02 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-04 04:00:02 C:\WINDOWS\Tasks\At7.job"
"2007-11-04 05:00:02 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-04 06:00:02 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-04 07:00:02 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-04 08:00:02 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-04 09:00:02 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-05 10:00:02 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-13 11:00:02 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-14 12:00:02 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 13:00:02 C:\WINDOWS\Tasks\At16.job"
"2007-11-20 14:00:02 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-21 15:00:02 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-21 16:00:02 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-21 17:00:02 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-21 18:00:02 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 19:00:02 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 20:00:02 C:\WINDOWS\Tasks\At23.job"
"2007-11-20 21:00:02 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\System32\cxc3gJt0.exe
"2007-11-20 23:27:44 C:\WINDOWS\Tasks\At25.job"
- C:\WINDOWS\System32\rundll32.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-21 21:30:14
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
thanx in advance,,
tatyana

have tryed avenger to kill the entries either....without success.

avenger log file::

Script file located at: \??\C:\Program Files\sosqkklg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Could not open file C:\WINDOWS\SYSTEM32\kbddvq.dll for deletion
Deletion of file C:\WINDOWS\SYSTEM32\kbddvq.dll failed!

Could not process line:
C:\WINDOWS\SYSTEM32\kbddvq.dll
Status: 0xc0000022

Could not open file C:\WINDOWS\SYSTEM32\wmic.dll for deletion
Deletion of file C:\WINDOWS\SYSTEM32\wmic.dll failed!

Could not process line:
C:\WINDOWS\SYSTEM32\wmic.dll
Status: 0xc0000022

File C:\WINDOWS\SYSTEM32\wdigestp.dll not found!
Deletion of file C:\WINDOWS\SYSTEM32\wdigestp.dll failed!

Could not process line:
C:\WINDOWS\SYSTEM32\wdigestp.dll
Status: 0xc0000034

tatyana

Open Notepad and copy/paste everything between the X"s into it and make sure "File::" is at the very top of the page.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
File::
C:\WINDOWS\SYSTEM32\kbddvq.dll
C:\WINDOWS\SYSTEM32\wmic.dll
C:\WINDOWS\System32\cxc3gJt0.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job

Driver::
clqmvqep
hzuldlav

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hzuldlav]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C450A32D-CA9F-40C8-A831-EA67EE65A077}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C450A32D-CA9F-40C8-A831-EA67EE65A077}]

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Go to File on the top bar and choose" Save As", Change the "Save As Type" to All Files, Name it CFScript.txt then save it to your desktop.
Then drag/drop the CFScript.txt onto ComboFix.exe (the red X on your desktop) if combofix does not auto start click "run".

Post a new Hijack This log and a new Combofix log please.

hi,

the hijack is the same

Scan saved at 04:13:57, on 23/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\אביב\שולחן העבודה\HijackThis.exe

O2 - BHO: (no name) - {0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C} - C:\WINDOWS\System32\kbddvq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C450A32D-CA9F-40C8-A831-EA67EE65A077} - c:\windows\system32\wmic.dll
O3 - Toolbar: &רדיו - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" -win
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanis...
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnl...
O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) - https://service.pelephone.co.il/WebPhone/jsp/Client/CfxIEAx.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...
O16 - DPF: {2B26018A-1D8D-4C19-9A9B-F6C49453A21D} (LauncherV1 Class) - http://irc.msn.co.il/Night/launcher...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/active...
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712...
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CA60848-1F72-4526-B9E5-7F37036C5558}: NameServer = 192.116.202.222 213.8.172.83
O20 - Winlogon Notify: hzuldlav - C:\WINDOWS\SYSTEM32\wmic.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

--
End of file - 4233 bytes

the combo fix log file is

ComboFix 07-11-19.3 - אביב 11/23/2007 4:05:19.4 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition 5.1.2600.1.1255.1.1037.18.74 [GMT 2:00]
Running from: C:\Documents and Settings\אביב\שולחן העבודה\ComboFix.exe
Command switches used :: C:\Documents and Settings\אביב\שולחן העבודה\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\System32\cxc3gJt0.exe
C:\WINDOWS\SYSTEM32\kbddvq.dll
C:\WINDOWS\SYSTEM32\wmic.dll
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
.

Unable to gain System Privileges

((((((((((((((((((((((((( Files Created from 2007-10-23 to 2007-11-23 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-08 23:03 --------- d-----w C:\Program Files\FLV Player
2007-10-11 12:42 8,925 ----a-w C:\clean.bat
2007-10-11 06:55 347 ----a-w C:\run2.reg
2007-10-03 21:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
2007-09-23 21:18 162,955 ----a-w C:\WINDOWS\Audio Converter Uninstaller.exe
2007-09-23 21:18 --------- d-----w C:\Program Files\River Past
2007-09-23 21:18 --------- d-----w C:\Program Files\Common Files\River Past
2007-09-23 21:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\River Past G5
2007-09-23 21:14 --------- d-----w C:\Program Files\QuickTime
2007-09-23 21:14 --------- d-----w C:\Program Files\Apple Software Update
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-09-05 21:22 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
2004-01-12 06:45 11,854 ----a-w C:\Program Files\MPLAB_LicenseAgreement.rtf
.

((((((((((((((((((((((((((((( snapshot@Fri 11-23-2007_ 3.12.59.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
+ 2007-11-23 02:11:00 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_730.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C}]
04/09/2003 12:00 PM 83968 --a------ C:\WINDOWS\System32\kbddvq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C450A32D-CA9F-40C8-A831-EA67EE65A077}]
04/09/2003 12:00 PM 83456 --a------ c:\windows\system32\wmic.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreeRAM XP"="C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [09/25/2007 01:11 AM]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [10/27/2007 01:59 PM]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [06/11/2007 11:25 AM]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [10/27/2007 01:59 PM]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hzuldlav]
wmic.dll 04/09/2003 12:00 PM 83456 C:\WINDOWS\system32\wmic.dll

R0 eantexhs;eantexhs;C:\WINDOWS\System32\drivers\gojcfgfa.sys
R3 msloop;Microsoft Loopback Adapter Driver;C:\WINDOWS\System32\DRIVERS\loop.sys
R3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S2 tdim;tdim;\??\C:\WINDOWS\System32\drivers\tdim.sys
S3 motmodem;Motorola USB CDC ACM Driver;C:\WINDOWS\System32\DRIVERS\motmodem.sys
S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\System32\DRIVERS\tj2knd5.sys
S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\System32\DRIVERS\tj2kunic.sys
S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\System32\DRIVERS\usbsermptxp.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
clqmvqep

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-23 04:11:35
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 11/23/2007 4:12:19 - machine was rebooted
.
--- E O F ---

tanya

Please download SDFix by AndyManchesta and save it to your desktop.

Please then reboot your computer in Safe Mode by doing the following:
Restart your computer.
After hearing your computer beep once during startup, but just before the Windows icon appears, tap the F8 key continually.
Instead of Windows loading as normal, a menu with options should appear.
Select the first option, to run Windows in "Safe Mode", then press "Enter".
Choose your usual account.

Once in Safe Mode, please do the following:
In Safe Mode, right-click the SDFix.zip folder and choose Extract All.
Open the extracted folder and double-click RunThis.bat to start the script.
Type Y to begin the script.
It will remove the Trojan Services then make some repairs to the registry and prompt you to press any key to Reboot.
Press any Key and it will restart the PC.
Your system will take longer that normal to restart as the fixtool will be running and removing files.
When the desktop loads the fixtool will complete the removal and display Finished, then press any key to end the script and load your desktop icons.
Finally open the SDFix folder on your desktop and copy and paste the contents of the results file Report.txt

Go to this link, VirusTotal copy the following files one at the time into the "upload and scan box", click submit then post the results.

C:\WINDOWS\System32\drivers\gojcfgfa.sys

nop......the virus wont leave so fast. seems like it hides in internet explorer program cause whenever i try to run ie i got this notice from AVG about virus and trojan horse infection.

the VIRUS TOTAL wont work couse the virus doesnt want to be uploaded to the server.

the sdfix log file is as followed:

Run by אביב on Fri 11/23/2007 at 02:50 PM

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-23 14:55:03
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Files with Hidden Attributes:

Wed 16 Sep 1998 93,880 ..SH. --- "C:\COMMAND.COM"
Sun 3 Apr 2005 194 ..SH. --- "C:\BOOT.BAK"
Wed 9 Apr 2003 57,344 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Fri 15 Apr 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 22 Nov 2005 2,521 ...H. --- "C:\Documents and Settings\€‰\My Documents\~WRL0004.tmp"
Tue 22 Nov 2005 26,262 ...H. --- "C:\Documents and Settings\€‰\My Documents\~WRL0460.tmp"
Wed 23 Nov 2005 77,895 ...H. --- "C:\Documents and Settings\€‰\My Documents\~WRL3431.tmp"
Wed 6 Sep 2006 29,184 ...H. --- "C:\Program Files\Microsoft Office\Templates\~WRL3759.tmp"
Mon 13 Nov 2006 319,456 A..H. --- "C:\Program Files\Common Files\Motorola Shared\MotPCSDrivers\difxapi.dll"
Sun 7 Aug 2005 20 A..H. --- "C:\Documents and Settings\€‰\My Documents\My Music\License Backup\drmv1lic.bak"
Fri 15 Apr 2005 4,348 ...H. --- "C:\Documents and Settings\€‰\My Documents\My Music\License Backup\drmv1key.bak"
Sun 7 Aug 2005 488 A.SH. --- "C:\Documents and Settings\€‰\My Documents\My Music\License Backup\drmv2key.bak"

Finished!

any help would be appreciated :)

tanya

Lets look for a rootkit. This will be the first attempt.

Please download the Sophos Anti-Rootkit Scanner and save it to your desktop from the following link.
Sophos-Anti-Rootkit

You will need to enter your name, e-mail address and location in order to access the download page.
Once you have downloaded the file, double click the sarsfx icon
Review the licence agreement and click on the Accept button
The scanner will prompt you to extract the files to C:\SOPHTEMP - DO NOT change this location, simply click the Install button
Once the files have been extracted; using Windows Explorer, navigate to C:\SOPHTEMP and double click on the blue shield icon called sargui.

Ensure that there are checkmarks next to Running processes, Windows registry and Local hard drives, then click Start scan
Allow the program to scan your computer - please be patient as it may take some time
Once the scan has completed a window will pop-up with the results of the scan - click OK to this.

In the main window, you will see each of the entries found by the scan (if any)
If the scanner generated any warning messages, please click on each warning and copy and paste the text of it into this thread for me to review.

Once you have posted any warning messages here, you can close the scanner and wait for me to get back to you.

If you have not had any warnings, any entries which can be cleaned up by the scanner will have a box with a green checkmark in it next to the entry
To clean up these entries click on the Clean up checked items button.

If you accidentally check a file NOT recommended for clean up, you will get a warning message and if necessary can re-select the entries you want to clean up
Once you have cleaned the selected files, you will be prompted to re-boot your computer - please do so.

ok......i run the prog in normal mode.the prog found 2 entries but without the option to erase them..........its really complicated one maybe the only way is to format the diskkkk...:( ,the option that i want to avoid for many reasons

1..
Area: Windows registry
Description: Hidden registry value
Location: \HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Removable: No
Notes: DWORD 0x2000 = 8192

2..

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-21-1409082233-507921405-854245398-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.il/?w=/@attach&acode=byebyweamptur9gtboxferQQI376d!0D4D6FD37B&fid=-1000&id=38454753&aid=1&n=&save=1&filename=%72%65%70%6F%72%74%34%2E%31%2E%64%6F%63
Removable: No
Notes: (no more detail available)

tatyana

Post a new Combofix log and a new Hijack This log please.

first thanx for the very very fast answer...i really appreciate your help.

to work......

i ran combofix as you told. here is the log file.....

i dont know why but i keep getting this message while running combofix. the message is something like this: "SED 1 expression11 unmached parentheses".

here is the log:

Microsoft Windows XP Home Edition 5.1.2600.1.1255.1.1037.18.78 [GMT 2:00]
Running from: C:\Documents and Settings\אביב\שולחן העבודה\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-10-23 to 2007-11-23 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-23 15:56 4,980,736 ----a-w C:\Documents and Settings\אביב\ntuser.dat
2007-11-23 15:56 4,980,736 ----a-w C:\Documents and Settings\אביב\ntuser.dat
2007-11-23 15:56 2,633,728 ----a-w C:\Documents and Settings\אסתר\ntuser.dat
2007-11-23 15:56 2,633,728 ----a-w C:\Documents and Settings\אסתר\ntuser.dat
2007-11-23 14:51 --------- d-----w C:\Program Files\Sophos
2007-11-21 22:24 --------- d-----w C:\Documents and Settings\אביב\Application Data\Grisoft
2007-11-20 21:39 --------- d-----w C:\Documents and Settings\אביב\Application Data\Uniblue
2007-11-08 23:03 --------- d-----w C:\Program Files\FLV Player
2007-11-05 00:08 --------- d-----w C:\Documents and Settings\אסתר\Application Data\Help
2007-10-11 12:42 8,925 ----a-w C:\clean.bat
2007-10-11 06:55 347 ----a-w C:\run2.reg
2007-10-03 21:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
2007-09-29 16:16 --------- d-----w C:\Documents and Settings\אביב\Application Data\InstallShield
2007-09-23 21:18 162,955 ----a-w C:\WINDOWS\Audio Converter Uninstaller.exe
2007-09-23 21:18 --------- d-----w C:\Program Files\River Past
2007-09-23 21:18 --------- d-----w C:\Program Files\Common Files\River Past
2007-09-23 21:18 --------- d-----w C:\Documents and Settings\אביב\Application Data\River Past G5
2007-09-23 21:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\River Past G5
2007-09-23 21:14 --------- d-----w C:\Program Files\QuickTime
2007-09-23 21:14 --------- d-----w C:\Program Files\Apple Software Update
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-09-18 16:34 92,064 ----a-w C:\Documents and Settings\אביב\mqdmmdm.sys
2007-09-18 16:34 92,064 ----a-w C:\Documents and Settings\אביב\mqdmmdm.sys
2007-09-18 16:34 9,232 ----a-w C:\Documents and Settings\אביב\mqdmmdfl.sys
2007-09-18 16:34 9,232 ----a-w C:\Documents and Settings\אביב\mqdmmdfl.sys
2007-09-18 16:34 79,328 ----a-w C:\Documents and Settings\אביב\mqdmserd.sys
2007-09-18 16:34 79,328 ----a-w C:\Documents and Settings\אביב\mqdmserd.sys
2007-09-18 16:34 66,656 ----a-w C:\Documents and Settings\אביב\mqdmbus.sys
2007-09-18 16:34 66,656 ----a-w C:\Documents and Settings\אביב\mqdmbus.sys
2007-09-18 16:34 6,208 ----a-w C:\Documents and Settings\אביב\mqdmcmnt.sys
2007-09-18 16:34 6,208 ----a-w C:\Documents and Settings\אביב\mqdmcmnt.sys
2007-09-18 16:34 5,936 ----a-w C:\Documents and Settings\אביב\mqdmwhnt.sys
2007-09-18 16:34 5,936 ----a-w C:\Documents and Settings\אביב\mqdmwhnt.sys
2007-09-18 16:34 4,048 ----a-w C:\Documents and Settings\אביב\mqdmcr.sys
2007-09-18 16:34 4,048 ----a-w C:\Documents and Settings\אביב\mqdmcr.sys
2007-09-18 16:34 25,600 ----a-w C:\Documents and Settings\אביב\usbsermptxp.sys
2007-09-18 16:34 25,600 ----a-w C:\Documents and Settings\אביב\usbsermptxp.sys
2007-09-18 16:34 22,768 ----a-w C:\Documents and Settings\אביב\usbsermpt.sys
2007-09-18 16:34 22,768 ----a-w C:\Documents and Settings\אביב\usbsermpt.sys
2007-09-05 21:22 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
2004-01-12 06:45 11,854 ----a-w C:\Program Files\MPLAB_LicenseAgreement.rtf
.

((((((((((((((((((((((((((((( snapshot@Fri 11-23-2007_ 3.12.59.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
- 2007-11-21 19:03:04 4,546,560 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-11-23 12:50:18 4,870,144 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
- 2007-11-21 19:03:04 319,488 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-11-23 12:50:18 319,488 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C}]
04/09/2003 12:00 PM 83968 --a------ C:\WINDOWS\System32\kbddvq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C450A32D-CA9F-40C8-A831-EA67EE65A077}]
04/09/2003 12:00 PM 83456 --a------ c:\windows\system32\wmic.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreeRAM XP"="C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" [11/30/2003 11:13 PM]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [09/25/2007 01:11 AM]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [10/27/2007 01:59 PM]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [06/11/2007 11:25 AM]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [10/27/2007 01:59 PM]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hzuldlav]
wmic.dll 04/09/2003 12:00 PM 83456 C:\WINDOWS\system32\wmic.dll

R0 eantexhs;eantexhs;C:\WINDOWS\System32\drivers\gojcfgfa.sys
R3 msloop;Microsoft Loopback Adapter Driver;C:\WINDOWS\System32\DRIVERS\loop.sys
R3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S2 tdim;tdim;\??\C:\WINDOWS\System32\drivers\tdim.sys
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\System32\4.tmp
S3 motmodem;Motorola USB CDC ACM Driver;C:\WINDOWS\System32\DRIVERS\motmodem.sys
S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\System32\DRIVERS\tj2knd5.sys
S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\System32\DRIVERS\tj2kunic.sys
S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\System32\DRIVERS\usbsermptxp.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
clqmvqep

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-23 18:01:30
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 11/23/2007 18:02:18
C:\ComboFix3.txt ... 11/23/2007 06:24 AM
C:\ComboFix2.txt ... 11/23/2007 05:58 PM
.
--- E O F ---

hijack log:

Scan saved at 18:19:37, on 23/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\אביב\שולחן העבודה\HijackThis.exe

O2 - BHO: (no name) - {0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C} - C:\WINDOWS\System32\kbddvq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C450A32D-CA9F-40C8-A831-EA67EE65A077} - c:\windows\system32\wmic.dll
O3 - Toolbar: &רדיו - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" -win
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanis...
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnl...
O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) - https://service.pelephone.co.il/WebPhone/jsp/Client/CfxIEAx.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...
O16 - DPF: {2B26018A-1D8D-4C19-9A9B-F6C49453A21D} (LauncherV1 Class) - http://irc.msn.co.il/Night/launcher...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/active...
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712...
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CA60848-1F72-4526-B9E5-7F37036C5558}: NameServer = 192.116.202.222 213.8.172.83
O20 - Winlogon Notify: hzuldlav - C:\WINDOWS\SYSTEM32\wmic.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

--
End of file - 4143 bytes

thanx in advance,
tatyana

Open Notepad and copy/paste everything between the X"s into it and make sure "File::" is at the very top of the page.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
File::
C:\WINDOWS\System32\wmic.dll
C:\WINDOWS\System32\kbddvq.dll
C:\WINDOWS\System32\drivers\gojcfgfa.sys

Driver::
hzuldlav
clqmvqep
eantexhs

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hzuldlav]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C}]

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Go to File on the top bar and choose" Save As", Change the "Save As Type" to All Files, Name it CFScript.txt then save it to your desktop.
Then drag/drop the CFScript.txt onto ComboFix.exe (the red X on your desktop) if combofix does not auto start click "run".

Post a new Hijack This log and a new Combofix log please.

seems like they won again....i still get virus alerts. they won the battle but not the war....still hoping to save my disk from formatting.
i drugged the file on combofix and that what i got:

FAT32[/b][/color]x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.1.1255.1.1037.18.152 [GMT 2:00]
Running from: C:\Documents and Settings\אביב\שולחן העבודה\ComboFix.exe
Command switches used :: C:\Documents and Settings\אביב\שולחן העבודה\CFScript.txt

FILE
C:\WINDOWS\System32\drivers\gojcfgfa.sys
C:\WINDOWS\System32\kbddvq.dll
C:\WINDOWS\System32\wmic.dll
.

Unable to gain System Privileges

((((((((((((((((((((((((( Files Created from 2007-10-23 to 2007-11-23 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-23 14:51 --------- d-----w C:\Program Files\Sophos
2007-11-08 23:03 --------- d-----w C:\Program Files\FLV Player
2007-10-11 12:42 8,925 ----a-w C:\clean.bat
2007-10-11 06:55 347 ----a-w C:\run2.reg
2007-10-03 21:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
2007-09-23 21:18 162,955 ----a-w C:\WINDOWS\Audio Converter Uninstaller.exe
2007-09-23 21:18 --------- d-----w C:\Program Files\River Past
2007-09-23 21:18 --------- d-----w C:\Program Files\Common Files\River Past
2007-09-23 21:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\River Past G5
2007-09-23 21:14 --------- d-----w C:\Program Files\QuickTime
2007-09-23 21:14 --------- d-----w C:\Program Files\Apple Software Update
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-09-23 21:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2007-09-05 21:22 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
2004-01-12 06:45 11,854 ----a-w C:\Program Files\MPLAB_LicenseAgreement.rtf
.

((((((((((((((((((((((((((((( snapshot@Fri 11-23-2007_ 3.12.59.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2007-11-21 19:03:04 4,546,560 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-11-23 12:50:18 4,870,144 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
- 2007-11-21 19:03:04 319,488 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-11-23 12:50:18 319,488 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0C9A449A-8EFA-435E-8B2A-BCBCF75CCE2C}]
04/09/2003 12:00 PM 83968 --a------ C:\WINDOWS\System32\kbddvq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C450A32D-CA9F-40C8-A831-EA67EE65A077}]
04/09/2003 12:00 PM 83456 --a------ c:\windows\system32\wmic.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreeRAM XP"="C:\Documents and Settings\אביב\שולחן העבודה\FreeRAM XP Pro 1.40.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [09/25/2007 01:11 AM]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [10/27/2007 01:59 PM]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [10/27/2007 01:59 PM]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hzuldlav]
wmic.dll 04/09/2003 12:00 PM 83456 C:\WINDOWS\system32\wmic.dll

R0 eantexhs;eantexhs;C:\WINDOWS\System32\drivers\gojcfgfa.sys
R3 msloop;Microsoft Loopback Adapter Driver;C:\WINDOWS\System32\DRIVERS\loop.sys
S2 tdim;tdim;\??\C:\WINDOWS\System32\drivers\tdim.sys
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\System32\4.tmp
S3 motmodem;Motorola USB CDC ACM Driver;C:\WINDOWS\System32\DRIVERS\motmodem.sys
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\System32\DRIVERS\tj2knd5.sys
S3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\System32\DRIVERS\tj2kunic.sys
S3 usbsermptxp;Motorola USB Modem Driver for MPT XP;C:\WINDOWS\System32\DRIVERS\usbsermptxp.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
clqmvqep

*Newly Created Service* - EANTEXHS
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-23 19:41:20
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 11/23/2007 19:42:01 - machine was rebooted
C:\ComboFix2.txt ... 11/23/2007 06:02 PM
C:\ComboFix3.txt ... 11/23/2007 05:58 PM
.
--- E O F ---

Please download http://www.bleepingcomputer.com/files/getservices.php then follow the instructions at the link and post the list of services in you next post.

nothing unusual........heres the log

PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
דיווח למשתמשים ומחשבים נבחרים על התראות ניהוליות. אם פעולת השירות מופסקת, תוכניות המשתמשות בהתראות ניהוליות לא יקבלו אותן. אם השירות הופך לבלתי פעיל, לא תהיה אפשרות להפעיל שירותים התלויים בו.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Alerter
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: ALG
מתן תמיכה ליישומי Plug-in של פרוטוקולים של ספקים חיצוניים עבור שיתוף ההתקשרויות לאינטרנט ועבור Firewall של ההתקשרויות לאינטרנט
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\alg.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Application Layer Gateway Service
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: AppMgmt
שירותי התקנת תוכנה כגון הקצאה, פרסום והסרה.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Application Management
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AudioSrv
‏‏מנהל התקני שמע עבור תכניות מבוססות Windows. אם שרות זה יופסק, התקני שמע ואפקטים לא יפעלו כראוי. אם שרות זה לא יהיה זמין, כל השרות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : AudioGroup
TAG : 0
DISPLAY_NAME : Windows Audio
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Avg7Alrt
(null)
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AVG7 Alert Manager Server
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Avg7UpdSvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : AVG7 Update Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
‏‏נעשה שימוש ברוחב פס ברשת שאינו פעיל לשם העברת נתונים.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Background Intelligent Transfer Service
DEPENDENCIES : LanmanWorkstation
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Browser
ניהול רשימה עדכנית של מחשבים ברשת והעברת הרשימה למחשבים המוגדרים כדפדפנים. אם פעולת השירות מופסקת, רשימה זו לא תעודכן ולא תישמר. אם השירות הופך לבלתי פעיל, לא תהיה אפשרות להפעיל שירותים התלויים בו.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Computer Browser
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: CiSvc
Indexes contents and properties of files on local and remote computers; provides rapid access to files through flexible querying language.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Indexing Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
‏‏מאפשר לתצוגת ספר-לוח לאכסן מידע ולשתף אותו עם מחשבים מרחוקים. אם שרות זה יופסק, תצוגת ספר-לוח לא תוכל לשתף מידע עם מחשבים מרוחקים. אם שרות זה יהפוך ללא זמין, כל השירותים הסומכים עליו במפורש לא יצליחו להתחיל.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ClipBook
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: COMSysApp
מנהל את המעקב וקביעת התצורה של הרכיבים מבוססי COM+‎‎. אם השירות לא פועל, רוב הרכיבים מבוססי COM+‎ לא יפעלו בצורה תקינה. אם השירות מושבת, השירותים התלויים בו במפורש לא יצליחו להתחיל לפעול.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : COM+ System Application
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 30 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds
: Restart DELAY: 5000 seconds
: None DELAY: 1000 seconds

SERVICE_NAME: CryptSvc
אספקת שלושה שירותי ניהול: Catalog Database Service, המאמת את החתימות של קבצי Windows‏; Protected Root Service, המוסיף ומסיר ממחשב זה אישורי רשות אישורים מהימנה המשמשת כבסיס; וכן Key Service, המסייע ברישום מחשב זה לקבלת אישורים. אם שירות זה מופסק, שירותי ניהול אלה לא יתפקדו כראוי. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Cryptographic Services
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dhcp
ניהול תצורת הרשת על-ידי רישום ועדכון כתובות IP ושמות DNS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP Client
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
קביעת התצורה של כוננים ואמצעי אחסון של הדיסק הקשיח. השירות פועל עבור תהליכי תצורה בלבד ולאחר מכן עוצר.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Logical Disk Manager Administrative Service
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
מאתר ומפקח על כוננים קשיחים חדשים ושולח מידע אודות אמצאי אחסון לשרות מנהל ההתקן של הדיסק הלוגי עבור הגדרת תצורה. אם שרות זה מופסק, מצב דיסק דינמי ומידע הגדרת תצורה לא יתעדכנו. אם שרות זה יבוטל, כל שרות שתלוי בו באופן מפורש, לא יפעל.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Logical Disk Manager
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
זיהוי ואחסון של שמות Domain Name System‏ (DNS) עבור מחשב זה. אם פעולת השירות מופסקת, למחשב זה לא תהיה אפשרות לזהות שמות DNS ולאתר בקרי קבוצות מחשבים ב- Active Directory. אם השירות הופך לבלתי פעיל, לא תהיה אפשרות להפעיל שירותים התלויים בו.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k NetworkService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DNS Client
DEPENDENCIES : Tcpip
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: ERSvc
Allows error reporting for services and applictions running in non-standard environments.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Error Reporting Service
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
מתן אפשרות להציג במציג האירועים הודעות של יומן האירועים המונפקות על-ידי תוכניות ורכיבים מבוססי Windows. לא ניתן להפסיק שירות זה.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Event Log
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
תומך בשירות התראות על אירועי מערכת (SENS), המספק התפלגות אירועים אוטומטית לרכיבים המנויים עליו ‎‎Object Model (COM)‎‎ Component . אם השירות הופסק, SENS ייסגר ולא יוכל לספק התראות כניסה ויציאה. אם השירות אינו פעיל, תיכשל ההפעלה של כל השירותים התלויים בו במפורש.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : COM+ Event System
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: FastUserSwitchingCompatibility
מתן אפשרויות ניהול ליישומים המחייבים סיוע בסביבה מרובת משתמשים.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Fast User Switching Compatibility
DEPENDENCIES : TermService
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: helpsvc
‏‏מתן אפשרות להפעלת מרכז העזרה והתמיכה במחשב זה. אם פעולתו של שירות זה נפסקת, מרכז העזרה והתמיכה לא יהיה זמין. אם שירות זה יבוטל, לא ניתן יהיה להפעיל את כל השירותים המסתמכים באופן מפורש על שירות זה.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Help and Support
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds

SERVICE_NAME: HidServ
מתן אפשרות לגישת קלט כללית להתקני ממשק אנוש (HID), המפעילים ומתחזקים את השימוש בלחצנים 'חמים' מוגדרים מראש במקלדות, בשלטים רחוקים ובהתקני מולטימדיה נוספים. אם שירות זה מופסק, לחצנים 'חמים' הנשלטים על-ידו לא יתפקדו עוד. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Human Interface Device Access
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ImapiService
ניהול צריבת תקליטורים באמצעות ממשק Image Mastering Applications Programming Interface (IMAPI). אם שירות זה הופסק, מחשב זה לא יוכל להעתיק תקליטורים. אם שירות זה לא זמין, כל השירותים שנתמכים בברור על ידי השירות לא יצליחו לפעול.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\imapi.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IMAPI CD-Burning COM Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
תמיכה בשיתוף של קבצים, הדפסה ורכיבי named pipe ברשת עבור מחשב זה. אם פעולת השירות מופסקת, פונקציות אלה לא יהיו זמינות. אם השירות הופך לבלתי פעיל, לא תהיה אפשרות להפעיל שירותים התלויים בו.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
יצירה ותחזוקה של חיבורי לקוח לשרתים מרוחקים ברשת. אם פעולת השירות מופסקת, חיבורים אלה לא יהיו זמינים. אם השירות הופך לבלתי פעיל, לא תהיה אפשרות להפעיל שירותים התלויים בו.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Workstation
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
מאפשר תמיכה בשירות NetBIOS over TCP/IP ‏(NetBT) ופענוח שמות NetBIOS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : TCP/IP NetBIOS Helper
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Messenger
שידור הודעות net send והודעות של שירות ההתראות בין לקוחות ושרתים. שירות זה אינו קשור ל- Windows Messenger. אם פעולת השירות מופסקת, ההודעות של שירות ההתראות לא ישודרו. אם השירות הופך לבלתי פעיל, לא תהיה אפשרות להפעיל שירותים התלויים בו.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Messenger
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: PlugPlay
: RpcSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
‏‏מתן אפשרות למשתמשים מורשים לבצע גישה מרחוק אל שולחן העבודה של Windows באמצעות NetMeeting ברשת האינטרא-נט העיסקית. אם שירות זה יופסק, שיתוף שולחן העבודה המרוחק לא יהיה זמין. אם שרות זה יהפוך ללא זמין, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetMeeting Remote Desktop Sharing
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
‏‏תיאום טרנזאקציות המבוזרות על פני שניים או יותר מסדי נתונים, תורי הודעות, מערכות קבצים או מנהלי משאבים אחרים המוגנים בפני טרנזאקציות.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Distributed Transaction Coordinator
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: MSIServer
(null)
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\msiexec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
‏‏אספקת אבטחה ותעבורה ברשת עבור חילופי מידע דינאמיים (DDE) עבור תכניות הפועלות על אותו מחשב או על מחשבים שונים. אם שרות זה יופסק, אבטחה ותעבורה של DDE לא יהיו זמינים. אם שרות זה יבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : Network DDE
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
‏‏מנהל חילופי מידע דינאמיים משותפים ברשת. אם שרות זה יופסק, שיתופי DDE ברשת לא יהיו זמינים. אם זרות זה יהפוך ללא זמין, כל השרותים הסומכים עליו במפורש לא יצליחו להתחיל.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Network DDE DSDM
DEPENDENCIES :
: EGrLocalSystem
: Network DDE DSDM
: etwork DDE
: workService
: Distributed Transaction Coordinator
: ion
: _02\lib\p
: 
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
תמיכה באימות תוך מעבר של אירועי כניסה לחשבון עבור מחשבים בקבוצת מחשבים.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Net Logon
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
ניהול אובייקטים בתיקיה התקשרויות רשת וחיוג, בה ניתן להציג הן התקשרויות של רשת תקשורת מקומית והן התקשרויות מרוחקות.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Network Connections
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Nla
איסוף ואחסון של מידע אודות מיקום ותצורה של רשת ומתן הודעה ליישומים כאשר מידע זה משתנה.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Network Location Awareness (NLA)
DEPENDENCIES : Tcpip
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
מספק אבטחה לתוכניות קריאה להליך מרוחק (RPC) המשתמשות בתעבורות מלבד רכיבי named pipe.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NT LM Security Support Provider
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Removable Storage
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PlugPlay
מתן אפשרות למחשב לזהות ולהסתגל לשינויי חומרה עם קלט מועט מהמשתמש או ללא קלט משתמש. הפסקה או ביטול של שירות זה יגרמו לאי-יציבות של המערכת.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\services.exe
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Plug and Play
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PolicyAgent
ניהול מדיניות אבטחת IP והפעלת ISAKMP/Oakley ‏(IKE) ומנהל התקן אבטחת IP.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IPSEC Services
DEPENDENCIES : RPCSS
: Tcpip
: IPSec
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ProtectedStorage
אחסון מוגן עבור נתונים רגישים, כגון מפתחות פרטיים, כדי למנוע גישה של שירותים, תהליכים או משתמשים שאינם מורשים.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Protected Storage
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasAuto
יצירת חיבור לרשת מרוחקת בכל פעם שתוכנית מבצעת הפניה אל שם או אל כתובת מסוג DNS או NetBIOS.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Access Auto Connection Manager
DEPENDENCIES : RasMan
: Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasMan
יצירת חיבור רשת.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Access Connection Manager
DEPENDENCIES : Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RDSessMgr
‏‏מנהל ושולט בעזרה מרחוק. אם שרות זה מופסק, אפשרות עזרה מרחוק לא תהיה זמינה. לפני הפסקת שרות זה, ראה את הכרטיסיה יחסי תלות בתיבת הדו-שיח מאפיינים .
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\sessmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Desktop Help Session Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteAccess
הצעת שירותי ניתוב לבתי-עסק בסביבות של רשת תקשורת מקומית ורשת תקשורת מרחבית.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Routing and Remote Access
DEPENDENCIES : RpcSS
: +NetBIOSGroup
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RpcLocator
ניהול מסד הנתונים של שירות השמות של RPC.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\locator.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Procedure Call (RPC) Locator
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: NT AUTHORITY\NetworkService

SERVICE_NAME: RpcSs
אספקת ממפה נקודות הקצה ושירותי RPC שונים נוספים.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost -k rpcss
LOAD_ORDER_GROUP : COM Infrastructure
TAG : 0
DISPLAY_NAME : Remote Procedure Call (RPC)
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Reboot DELAY: 60000 seconds

SERVICE_NAME: RSVP
מספק תפקודיות התקנה של איתות ברשת ושליטה על תעבורה מקומית עבור תוכניות התומכות ב- QoS ויישומי בקרה.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\rsvp.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QoS RSVP
DEPENDENCIES : TcpIp
: Afd
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SamSs
אחסון מידע אבטחה עבור חשבונות משתמשים מקומיים.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\lsass.exe
LOAD_ORDER_GROUP : LocalValidation
TAG : 0
DISPLAY_NAME : Security Accounts Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardDrv
מתן אפשרות תמיכה עבור קוראי כרטיסים חכמים מהדור הקודם שאינם שייכים לטכנולוגיית הכנס-הפעל ושבהם נעשה שימוש במחשב זה. אם שירות זה מופסק, מחשב זה לא יתמוך בקורא מדור קודם. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Smart Card Helper
DEPENDENCIES : +Smart Card Reader
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: SCardSvr
ניהול הגישה לכרטיסים חכמים הנקראים על-ידי מחשב זה. אם שירות זה מופסק, מחשב זה לא יוכל לקרוא כרטיסים חכמים. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\SCardSvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Smart Card
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Schedule
מתן אפשרות למשתמש להגדיר ולתזמן משימות אוטומטיות במחשב זה. אם שירות זה מופסק, משימות אלה לא יופעלו במועדים שנקבעו. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יופעל.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : SchedulerGroup
TAG : 0
DISPLAY_NAME : Schedule
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: seclogon
‏‏מתן אפשרות למשתמשים לפעול לפי ערכת אישורים חלופית. אם שרות זה יופסק, כניסה למערכת בצורה זו לא תהיה זמינה. אם שרות זה יבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Secondary Logon
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SENS
מעקב אחר אירועי מערכת כגון אירועים של כניסה ל- Windows, רשת וצריכת חשמל. הצגת הודעה למנויי מערכת אירועים של COM+‎ לגבי אירועים אלה.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : System Event Notification
DEPENDENCIES : EventSystem
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SharedAccess
אספקת שירותי תרגום כתובות רשת, כתובות, זיהוי שמות ו/או מניעת פריצה עבור רשת ביתית או רשת של משרד קטן.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
DEPENDENCIES : Netman
: NLA
: RasMan
: ALG
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ShellHWDetection
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : ShellSvcGroup
TAG : 0
DISPLAY_NAME : Shell Hardware Detection
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SNMP
כולל סוכנים המפקחים על הפעילות בהתקני הרשת ומדווחים לתחנת העבודה של מסוף הרשת.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\snmp.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SNMP Service
DEPENDENCIES : EventLog
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SNMPTRAP
קבלת הודעות מלכודת שהופקו על-ידי סוכני SNMP מקומיים או מרוחקים והעברת ההודעות אל שירותי ניהול SNMP הפועלים במחשב זה.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\snmptrap.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SNMP Trap Service
DEPENDENCIES : EventLog
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: Spooler
טעינת קבצים לזיכרון לצורך הדפסה במועד מאוחר יותר.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\spoolsv.exe
LOAD_ORDER_GROUP : SpoolerGroup
TAG : 0
DISPLAY_NAME : Print Spooler
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: srservice
ביצוע תפקידים של שחזור המערכת. כדי להפסיק את השירות, בטל את שחזור המערכת מתוך הכרטיסיה שחזור המערכת ביישום המחשב שלי->מאפיינים
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : System Restore Service
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SSDPSRV
מתן אפשרות לגילוי התקני UPnP ברשת הביתית שלך.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : SSDP Discovery Service
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: stisvc
מתן שירותי רכישת תמונות לסורקים ולמצלמות.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k imgsvc
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Image Acquisition (WIA)
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SwPrv
‏‏מנהל תמונות רקע של

TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\System32\dllhost.exe /Processid:{023ED454-7D16-405C-960D-1CA103705C05}
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : MS Software Shadow Copy Provider
DEPENDENCIES : rpcss
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SysmonLog
איסוף נתוני ביצועים ממחשבים מקומיים או מרוחקים לפי פרמטרי תזמון שנקבעו מראש ולאחר מכן כתיבת נתונים אלה ביומן רישום או הפעלת התראה. אם שירות זה מופסק, מידע הביצועים לא ייאסף. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\smlogsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Performance Logs and Alerts
DEPENDENCIES :
SERVICE_START_NAME: NT Authority\NetworkService

SERVICE_NAME: TapiSrv
תמיכה ב- TAPI ‏(Telephony API) עבור תוכניות השולטות על התקני טלפוניה והתקשרויות קוליות מבוססות IP במחשב המקומי ובנוסף, באמצעות רשת התקשורת המקומית (LAN), גם בשרתים שהשירות פועל בהם.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Telephony
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TermService
מאפשר למספר משתמשים להיות מחוברים בצורה אינטראקטיבית למחשב וגם להצגת שולחנות עבודה ויישומים למחשבים המרוחקים. קביעת שולחן העבודה המרוחק ברקע (כולל שולחנות עבודה מרוחקות עבור מנהלים), מעבר מהיר בין משתמשים, סיוע מרחוק , ושרת המסוף.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Terminal Services
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Themes
מתן אפשרויות ניהול לערכות הנושא המעניקות חוויה למשתמש.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : UIGroup
TAG : 0
DISPLAY_NAME : Themes
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds
: None DELAY: 0 seconds

SERVICE_NAME: TrkWks
‏‏אחזקת קישורים בין קבצי NTFS בתוך מחשב או בין מחשבים בקבוצת מחשבים ברשת.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Distributed Link Tracking Client
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UMWdf
מאפשר מנהלי התקנים של מצב משתמש של Windows.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\wdfmgr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows User Mode Driver Framework
DEPENDENCIES : RpcSs
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: uploadmgr
ניהול העברות קבצים סינכרוניות ואסינכרוניות בין לקוחות ושרתים ברשת. אם פעולתו של שירות זה מופסקת, העברות קבצים סינכרוניות ואסינכרוניות בין לקוחות ושרתים ברשת לא יתבצעו. אם שירות זה מבוטל, לא תהיה אפשרות להפעיל שירותים התלויים בו באופן מפורש.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Upload Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 100 seconds
: Restart DELAY: 100 seconds
: None DELAY: 100 seconds

SERVICE_NAME: upnphost
מתן תמיכה באירוח התקני הכנס-הפעל אוניברסלי.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Universal Plug and Play Device Host
DEPENDENCIES : SSDPSRV
SERVICE_START_NAME: NT AUTHORITY\LocalService
FAIL_RESET_PERIOD : -1 seconds
FAILURE_ACTIONS : Restart DELAY: 0 seconds

SERVICE_NAME: UPS
Manages an uninterruptible power supply (UPS) connected to the computer.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\ups.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Uninterruptible Power Supply
DEPENDENCIES :
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: VSS
‏‏ניהול ויישום של תמונות רקע של אמצעי אחסון המשמשות לגיבוי ולמטרות נוספות. אם שירות זה יופסק, תמונות לא יהיו זמינות עבור גיבוי והגיבוי עלול להיכשל. אם שירות זה מבוטל, כל שירות התלוי בו באופן מפורש לא יוכל לפעול.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\vssvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Volume Shadow Copy
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: W32Time
Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.

TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Time
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WebClient
מתן אפשרות לתוכניות מבוססות Windows ליצור, לשנות ולקבל גישה לקבצים מבוססי אינטרנט. אם שירות זה מופסק, יכולות אלה לא יהיו זמינות. אם שירות זה מבוטל, הפעלתם של שירותים התלויים בו באופן מפורש לא תתאפשר.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k LocalService
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : WebClient
DEPENDENCIES : MRxDAV
SERVICE_START_NAME: NT AUTHORITY\LocalService

SERVICE_NAME: winmgmt
מתן ממשק משותף ומודל אובייקט כדי לאפשר גישה למידע ניהול אודות מערכת ההפעלה, התקנים, יישומים ושרותים. אם שרות זה מופסק, רוב התוכנות מבוססות Windows לא יפעלו כראוי. אם שרות זה מבוטל, כל שרות התלוי בו מאופן מפורש, לא יוכל לפעול.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINDOWS\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Management Instrumentation
DEPENDENCIES : RPCSS
: Eventlog
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: WmdmPmSN
Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Portable Media Serial Number Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem