NTAuthoruty\System перезагружает компьютер

[AskoLd]

ну вот прошу помочь с такой проблемой: после включения интернета через некоторое время(разное) выскакивает окошко с ошибкой NTAuthority\System и пояснением, что неожиданно завершен процесс services.exe и поэтому система будет перезагружена
поискал подобные случаи в интернете - все они старые и связаны с Blast или Sasser, скачал несколько утилит для удаления таких вирусов, но они не нашли ничего
мой антивирус nod32 с последними обновлениями не справился с данной проблемой
скачал в соответствии с правилами утилиту Касперского и она нашла 61 вирус: трояны и один вирус, которые я вручную удалил,так как ждать 9 часов пока весь жесткий диск будет проверен нет сил, то остановил после проверки С:\
кстати удалил в том числе 35 найденных нод32 трояна, которые он не успел удалить, так как комп перезагрузился во время скана

насчет прикрепленных файлов: почему то avz не сделал лог после первого стандартного скрипта(то есть Скрипт лечения\карантина и сбора информации, хотя довольно долго сканировал диск С:\ и даже перевел в карантин 3 трояна, которые я до этого удалил касперским)
2 других лога тут
ОС Windows XP SP2
еще раз сделал сканирование avz, но лога все равно нет, хотя опять нашел 3 трояна, в папке лог только virusinfo_syscheck

[NickGolovko]

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\iedrives.dll','');
 QuarantineFile('sys32.dll','');
 QuarantineFile('c005CFAB.mat','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\rpcc1.dll','');
 QuarantineFile('C:\WINDOWS\system32\a3dxx.dll','');
 QuarantineFile('C:\Documents and Settings\Владимир\Application Data\Microsoft\Windows\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\winsys2f.dll','');
 QuarantineFile('C:\WINDOWS\system32\windev-62a2-cbe.sys','');
 QuarantineFile('C:\WINDOWS\system32\wincom32.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nty41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hns62.sys','');
 QuarantineFile('C:\Program Files\SuperUtility\Fxdrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\msdrives\driverpp.sys','');
 QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
 DeleteFile('C:\WINDOWS\system32\msdrives\driverpp.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbg73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbh62.sys');
 DeleteFile('C:\WINDOWS\system32\wincom32.sys');
 DeleteFile('C:\WINDOWS\system32\windev-62a2-cbe.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windj16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winej63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfl27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfl62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhn05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlr27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winms27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winou84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrx62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winub38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxe30.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxe73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winyf62.sys');
 DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\winsys2f.dll');
 DeleteFile('C:\Documents and Settings\Владимир\Application Data\Microsoft\Windows\lsass.exe');
 DeleteFile('C:\WINDOWS\system32\a3dxx.dll');
 DeleteFile('C:\WINDOWS\system32\rpcc1.dll');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('sys32.dll');
 DeleteFile('c005CFAB.mat');
 DeleteFile('C:\WINDOWS\iedrives.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hns62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kqv05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nty41.sys');
 BC_ImportALL;
 BC_DeleteSvc('Winyf62');
 BC_DeleteSvc('Winxe73');
 BC_DeleteSvc('Winxe30');
 BC_DeleteSvc('Winub38');
 BC_DeleteSvc('Winrx62');
 BC_DeleteSvc('Winou84');
 BC_DeleteSvc('Winms27');
 BC_DeleteSvc('Winmr17');
 BC_DeleteSvc('Winlr27');
 BC_DeleteSvc('Winjp05');
 BC_DeleteSvc('Winhn05');
 BC_DeleteSvc('Winfl62');
 BC_DeleteSvc('Winfl27');
 BC_DeleteSvc('Winek62');
 BC_DeleteSvc('Winej63');
 BC_DeleteSvc('Windj16');
 BC_DeleteSvc('windev-62a2-cbe');
 BC_DeleteSvc('wincom32');
 BC_DeleteSvc('Winbh62');
 BC_DeleteSvc('Winbg73');
 BC_DeleteSvc('Nty41');
 BC_DeleteSvc('Kqv05');
 BC_DeleteSvc('Hns62');
 BC_DeleteSvc('driverpp');
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки пришлите полученный карантин в соответствии с правилами.

У вас есть брандмауэр, или стоит только антивирус?

[AskoLd]

сделал, прислал, надеюсь правильно

насчет брандмауера - как такового отдельного нет, но я рассчитывал на Eset Nod32, у него в модулях кроме антивируса по вызову нод32 есть другие модули, которые сканят как я думаю всё(это модули AMON,IMON,DMON,EMON)
дело в том,что нод32 всё время обновляется и он здорово меня выручил год назад, когда Аваст и несколько других не могли ничего сделать
кроме того где-то валяются файлы от Symantec,который я снес давным-давно, но не до конца возможно

то что нет первого лога у меня это нормально?

[Гриша]

Повторите логи...

[AskoLd]

сделал всё еще раз, но опять нет 1-го лога от avz, он сканирует и по окончании просто закрывается, по-моему программа не должна так себя вести?
остальное тут
и спасибо за помощь

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('C:\WINDOWS\iedrives.dll','');
 DelBHO('{366B2151-E1C7-44a3-86A3-E5686C2A3D2F}');
 DeleteFile('C:\WINDOWS\iedrives.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
активируйте AVZPM повторите логи

[AskoLd]

к сожалению, я не удалил прошлый карантин, поэтому у меня перемешался прошлый с новым и названия файлов старого совпадают с новым(это означает что они не удалились?), отличить не могу
прислал файлы с указанными именами и такие, и такие

[AskoLd]

логи

[Гриша]

В логах чисто...

[AskoLd]

это значит что всё вылечено?
после работы Касперского перезагрузок не было
но остается вопрос что это было?
очень странно похоже на Бласт, такое же окошко
Спасибо за оперативную работу

[Гриша]

Все не все, а в логах чисто Много чего было...

[NickGolovko]

О количестве того, что у вас было, вы можете приблизительно судить по длине написанного мной скрипта.

Приглашаем вас ознакомиться с темой http://virusinfo.info/showthread.php?t=30339

Желаем вам чистого Интернета.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 42
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\виталий.home-9bdea9dc92\\local settings\\temp\\17exhmunmlcl24.exe - not-a-virus:NetTool.Win32.Delf.sd (DrWEB: Win32.HLLW.Medbod.69)
  2. c:\\documents and settings\\виталий.home-9bdea9dc92\\local settings\\temp\\62exhmunmlcl24.exe - not-a-virus:NetTool.Win32.Delf.sd (DrWEB: Win32.HLLW.Medbod.69)
  3. c:\\documents and settings\\виталий.home-9bdea9dc92\\local settings\\temp\\80exhmunmlcl24.exe - not-a-virus:NetTool.Win32.Delf.sd (DrWEB: Win32.HLLW.Medbod.69)