У друга ноут стал странно себя вести в инете особенно на сайте Вконтакте глючил. И медленно стал работать, причем антивиры ничего не находили.Я переустановил на ноуте друга винду с форматированием диска С. Все проги поставил и в последний момент вдруг выскочило окно с ошибкой NT AUTHORITY\SISTEM что система будет выключена через 60 секунд. Я перезагрузился и комп при входе в виндовз просто вешается. Причем на ярлыках водовских документах появилась красная черта, как только нажимаю на них так выскакивает почему то прога Acer edat и предлагает создать защищенной место на диске.Отключил в безопасном режиме восстановление системы и проверил диски на вирусы NOD32 с новыми базами и ничего. Затем на своем компе в инете нашел в поиске про это окно и там писалось что это вирус msblaster.exe/ Скачал утилиту от Symanteс но тоже бес толку. в System32 msblaster.exe не нашел. Заплатки от Майкрософта не устанавливаются так как у меня более новые стоят обновления. Чтобы выслать Вам эти логи, я убил 2 часа, потому что он постоянно вырубается. Причем в защитном режиме как только начинаю вырубать процессы Svchost.exe тут же выскакивает окно с перезагрузкой через 60 секунд.
Помогите пожалуйста, сейчас даже в безопасном режиме ноут стал вырубаться причем даже окно не выскакивает. Просто выключается, не перезагружается как раньше а выключается.
AVZ - virusinfo_syscheck.zip этот файл не получается сделать потому что комп вырубается быстрее, простите пожалуйста!

Пуск - Выполнить - shutdown -a
Это должно остановить перезагрузку и даст возможность выполнить правила

Спасибо! Сейчас попробую заново пройти тест

Добавлено через 22 минуты

не помог шатдоун, все равно вырубился. Он теперь не перезагружается если Svchost не пытаться выкинуть из процесса. Туперь он просто вырубает комп без каких либо сообщений.

"Выкидывая" некоторые svchost Вы приводите к перезагрузке. Не нужно ничего выкидывать - попробуйте просто загрузиться и провести сканирование системы.
Выполните скрипт AVZ: (http://virusinfo.info/showthread.php?t=7239)

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(10);
SetAVZPMStatus(true);
RebootWindows(true);
end.

Система перезагрузится, и сразу после перезагрузки попробуйте выполнить сканирование. Не получится - попробуйте снова выполнить скрипт и сразу после перезагрузки войти в защищённый режим и попробовать сделать сканирование.

Спасибо за этот скриптик, удалось пройти полный тест и карантины были только что мною отосланы Вам.
Жду дальнейших указаний по борьбе с этой нечестью

Логи где?

2 карантина-архива после проверки AVZ я загрузил с помощью прислать запрошенный карантин а лог файл от Неджека я вчера его с помощью тоже карантина высылал.
Я что-то сделал не так?

Карантин-это карантин, нам нужны логи http://virusinfo.info/showthread.php?t=1235

Их нужно прикрепить в теме...

Вот что было в папке Log и папке Хеджека

Логи переделать в нормальном, а не безопасном режиме

Ещё - обновите базы AVZ!
Я же говорил: попробуйте вначале в нормальном режиме и только если не получится - в защищённом.

Хорошо, базы обновлю сейчас и еще раз сделаю логи, в обычном режиме не получается, при загрузке рабочего стола система вешается и приходится нажимать Power, т.к кнопки не действуют.

Добавлено через 35 секунд

поэтому и делаю в защищенном режиме логи

Тогда сделайте так.
1. Скопируйте текст ниже в Блокнот:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S hellHWDetection\]
"Start"=dword:00000004

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
"NoDriveAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

2. Выполните скрипт и действия, которые я описал в посте №4. После перезагрузки - загружайтесь в обычном режиме и сразу попытайтесь собрать логи.

Простите еще один вопросик. Я скачал Avzbase так как у меня выдает ошибку при обновлении AVZ. А дальше мне с этой базой что делать? Ее нужно заместить на место старой в папке Avz или что-то другое?

Добавлено через 13 минут

Перезагрузился но система все равно вешается, войти в виндовз получается только в защитном режиме

Для обновления не нужно было ничего заменять или скачивать. В AVZ есть такая команда. Нужно было просто внимательно поискать.
Раз не находите - просто выполните такой скрипт:

begin
ExecuteStdScr(5);
end.

У Вас видно, что имеется какой-то вирус. Но без полных логов невозможно определить, как его лечить. Скачайте одну из утилит по следующим ссылкам:
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
ftp://vba.ok.by/vba/Vba32Check.exe

Сохраните её и запустите в защищённом режиме. Просканируйте все диски и разделы компьютера, удаляя или леча найденную заразу. После этого попробуйте загрузиться снова в нормальном режиме и собрать логи AVZ.

P.S. Кстати - видимо, Вы впервые у нас - так вот, уже все пользуются - AVZ 4.32, (http://z-oleg.com/avz4.zip), а не 4.30.

Я до обращения к Вам на сайт сканил комп на вирусы с курелитом, он ничего подозрительного не нашел, затем нодом все бестолку. У этих обоих прог последние обновления стоят. Сейчас скачию AVP но инет медленный и проверка займет у меня часа 1,5. ТАк что вот так.

У Вас на дисках есть файл autorun.inf:
7. Эвристичеcкая проверка системы

>>> D:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
Это очень характерно для вирусов, которые передаются флешками. Потому я и посоветовал сделать сканирование, а также выполнить изменения в реестре, чтобы прикрыть эту уязвимость.
Качайте утилиту и выполняйте сканирование.

Дело в том что я общаюсь с Вами с другого компа, а больной комп к инету не подключен. ТАк вот на этом здоровом я пытался обновить старый AVZ и не получилось. Сейчас по Вашей ссылке скачал новый и обновление прошло успешно. Теперь на больном компе сделаю новые логи правда только в защитном режиме.

В Вашем случае логи в защищённом режиме ничего не дадут. Я уже сказал: сделайте повторное сканирование антивирусными утилитами.

Сейчас проверяю систему скачанной утилитой Каспера, затем сделаю заново логи как Вы сказали в обычном режиме

Добавлено через 2 часа 50 минут

Проверил утилитой Касперского в защитном режиме полностью систему и все в порядке. Ни одного вируса и ничего опдозрительного обнаружить не удалось. Моя флешка тоже чистой оказалось при проверке им. Загружаюсь в обычном режиме, как только загрузился рабочий стол, винда виснит и приходится нажимать Power. Что делать?

Добавлено через 13 минут

Дальше то мне что делать?

Где у Вас находится AVZ? укажите точный путь к исполняемому файлу, а также его имя.

C:\Documents and Settings\Rogalik\Рабочий стол\avz4\avz4
а сам называется AVZ

Две папки avz4? То есть полный путь такой: C:\Documents and Settings\Rogalik\Рабочий стол\avz4\avz4\avz.exe ?

Точно укажите, пожалуйста, сейчас будем идти козырями, если Вы ошибётесь - можем накрыть систему.

Именно так. Полчилось следующее: у меня стояла старая версия авз я по Вашей ссылке скачал новую и обновил базы а затем скинул папку на зараженный комп на рабочей стол где находился и старый авз и получилось почему то что новая папка вместо того чтобы заменить файлы (запрос на это выдала и я разрешил) она установилась в папке со старой авз и сейчас у меня и старая и новая авз в одной папке.

ОЧЕНЬ ВНИМАТЕЛЬНО выполните следующие действия. Убедитесь, что Вам всё понятно, и после этого приступайте.

Скопируйте текст ниже в Блокнот:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Documents and Settings\Rogalik\Рабочий стол\avz4\avz4\avz.exe,"


Сохраните текст как 1.reg, а затем дважды кликните на нём. Внесение информации в реестр - разрешите.

Перегрузите компьютер. По идее, должен стартовать AVZ. Попробуйте выполнить сканирование.

После этого загрузитесь в защищённом режиме и нажмите Ctrl+Alt+Del. Выберите меню "Файл" - "Новая задач (выполнить)" и введите "regedit". Откроется редактор реестра. Откройте ветку Мой Компьютер - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Когда нажмёте на Winlogon - увидёте много параметров. Нас интересует Userinit (см. рисунок ниже):
http://pic.ipicture.ru/uploads/091005/thumbs/U9Sq6selFS.jpg (http://ipicture.ru/Gallery/Viewfull/24637627.html)

Поменяйте параметр на следующий: C:/windows/system32/userinit.exe, (обратите внимание - в конце запятая обязательна). После этого закройте редактор реестра и перезагрузитесь.

Добавлено через 39 секунд

Ну и конечно выложите логи - ради них мы и стараемся :)

Сделал как Вы сказали, регфайл запустил, перезагрузился . как только загрузился рабочий стол винда повисла как всегда...авз и в помине не видно(((

Добавлено через 13 минут

Если автоматом авз не запускается нужно ли проделывать финт реестром?

Добавлено через 12 минут

Сейчас открыл реестр и в userinit.exe прописан именно тот путь который Вы просили прописать. Я ничего не менял, он такой как у Вас написано.
Что делать?
Где обещанные козыри в рукаве?

Добавлено через 4 минуты

Комп опять даже в защитном режиме начала вырубаться без каких либо предупреждений

Сложный случай, попросил коллег обратить внимание на Вашу проблему. Подождём советов.

Добавлено через 16 минут

Попробуйте загрузиться и провести сканирование с помощью LiveCD от DrWeb (http://www.freedrweb.com/livecd/) или Rescue Disc от Kaspersky Lab (http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso). Образ диска нужно скачать на здоровом компьютере, записать на чистый диск, а затем загрузиться с него на заражённой машине.

Хорошо сейчас сделаю.Но проверка займет много времени, Каспер сегодня проверял 3,5 часа(((

Добавлено через 23 минуты

Загрузил LIvecd и начао проверку, через 15 минут комп вырубился...В чем дело?

Ну это уже похоже на проблемы с железом, а не на вирус.

Так что мне делать? Попробовать форматнуть диск С и заново систему поставить и сделав логи отправить Вам? И если Вы ничего не найдете то тогда искать проблемы в железе?

Добавлено через 4 минуты

Но вот что странно, до того как я не начал переустановку винды комп у хозяина никогда сам не вырубался, лишь тупил и отказывался выходить в инет.

Понимаете, нет причин, по которым может быть заражён LiveCD: Вы записывали образ на неперезаписываемый носитель. А потом с него загружались. Раз так - всё должно пройти гладко, потому что система заведомо рабочая. А так не произошло. Значит, что-то с железом.
Если Вы установите систему с нуля, мы точно ничего не найдём, потому что система будет чистой. Я бы не торопился гробить все данные, а попробовал разные LiveCD. Если все в ходе работы вылетают, отправляйте компьютер в сервис. Спросят в чём проблема - покажите работу от LiveCD. Пусть разбираются.

Ок, сейчас попробую другой диск поставить и проверить.

Добавлено через 16 минут

Сейчас поставил проверяться каспером свой "чистый комп" и он нашел Rezet.exe, может из-за этого и лайвсиди завирусовался?

Маловероятно.
Как он его назвал (по классификации)? По имени файла трудно понять, что это за вирус.

Блин, поставил другой диск лайвсиди он опять вырубился. Значит придется чапать в сервис(((
Не успел посмотреть, я уже вырубил каспера и сказать как он его классифицировал не могу, написал что вирус.
А если это железо то почему глюки такие странные? Почему при обращении к вордовским файлам врубается прога Асера? Почему комп выдавал такую ошибку (см.первый пост)?
И главное почему началось все именно с переустановки винды?

Добавлено через 47 секунд

И почему если глючит железо то винда не грузится по-нормальному?

Да что угодно может быть. Могут конденсаторы на материнской плате вздуться. Может винчестер глючить. Кто знает?

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены