Останавливаются службы

На компьютере Windows xp sp3 постоянно останавливаются службы Сервер, обозреватель ком-ов, рабочая станция и др.. Приходится запускать вручную, но они через час-2 снова останавливаются. Невозможно получить доступ к расшареным на нем ресурсам. Все обновления Виндовс ставил, не помогает
Помогите вылечить.

- [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксить в HijackThis[/URL][CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]


- [URL="http://virusinfo.info/showthread.php?t=7239"]выполните в AVZ скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\rasadhlp.dll','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\rasadhlp.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки пришлите карантин, файл [B]quarantine.zip[/B], котрый находится в папке c AVZ, воспользовавшись ссылкой вверху темы - [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]

выполнил

- сделайте свежие логи, согласно [URL="http://virusinfo.info/showthread.php?t=1235"][B][COLOR="RoyalBlue"][COLOR="Blue"]правил[/COLOR][/COLOR][/B][/URL], начиная с пункта 2 раздела [B][COLOR="Sienna"]Диагностика[/COLOR][/B]

сделал

- в логах ничего явно зловредного не обнаружено.
- остались ещё какието замечания по работе системы?..

Да, службы так и останавливаются каждый час где-то

- [URL="http://virusinfo.info/showthread.php?t=53070"]сделайте логи MBAM[/URL]
...и [URL="http://virusinfo.info/showthread.php?t=57441"]остановите/выгрузите[/URL] антивирус на время сканирования и создания логов

логи mbam

- [URL=http://virusinfo.info/showthread.php?t=53070]удалите с помощью MBAM указанные элементы:[/URL][CODE]Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\dllcache (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.

Заражено значений реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\Documents and Settings\urusco\DoctorWeb\Quarantine\9.tmp (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Help\kfdtk.chm (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\dlds8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vx.tll (Malware.Trace) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.[/CODE]

все сделал. пока работает, НО
Недоступен ни 1 сайт производителей антивирусов
в HOSTS были закомментареные строки
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads3.kaspersky-labs.com
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 downloads-us1.kaspersky-labs.com
#AAW 127.0.0.1 rads.mcafee.com
#AAW 127.0.0.1 liveupdate.symantecliveupdate.com
#AAW 127.0.0.1 liveupdate.symantec.com
#AAW 127.0.0.1 update.symantec.com
#AAW 127.0.0.1 [url]www.grisoft.com[/url]
#AAW 127.0.0.1 windowsupdate.microsoft.com
#AAW 127.0.0.1 [url]www.lavasoftusa.com[/url]
#AAW 127.0.0.1 downloads2.kaspersky-labs.com
#AAW 127.0.0.1 downloads4.kaspersky-labs.com
#AAW 127.0.0.1 downloads1.kaspersky-labs.com
#AAW 127.0.0.1 mcafee.com
#AAW 127.0.0.1 [url]www.pandasoftware.com[/url]
#AAW 127.0.0.1 [url]www.sophos.com[/url]
#AAW 127.0.0.1 [url]www.Kaspersky.com[/url]
#AAW 127.0.0.1 my-etrust.com
#AAW 127.0.0.1 [url]www.f-secure.com[/url]
#AAW 127.0.0.1 www3.ca.com
#AAW 127.0.0.1 us.mcafee.com
#AAW 127.0.0.1 symantec.com
#AAW 127.0.0.1 [url]www.avp.ch[/url]
#AAW 127.0.0.1 download.mcafee.com
#AAW 127.0.0.1 securityresponse.symantec.com
#AAW 127.0.0.1 microsoft.com
#AAW 127.0.0.1 [url]www.my-etrust.com[/url]
#AAW 127.0.0.1 [url]www.viruslist.com[/url]
#AAW 127.0.0.1 avp.com
#AAW 127.0.0.1 ca.com
#AAW 127.0.0.1 f-secure.com
#AAW 127.0.0.1 kaspersky.com
#AAW 127.0.0.1 mast.mcafee.com
#AAW 127.0.0.1 networkassociates.com
#AAW 127.0.0.1 sophos.com
127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com

-по умолчанию должны быть только запись [B]127.0.0.1 localhost[/B]

+ к [B]Alex Plutoff[/B]

Базы AVZ у Вас очень древние
Сделайте лог virusinfo_syscheck.zip [B]полиморфным[/B] AVZ (ссылка в подписи)

Все поудалял, но сайты всеравно недоступны! Притом я час назад качал с этого компьютера и с avast.com и drweb

Прочтите сообщение перед последним Вашим

ага, видел :)

Это Кидо

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

есть

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service zcethljym
gmer.exe -del file "C:\WINDOWS\system32\aanzly.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zcethljym"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\zcethljym"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Скрипт выполнил, но на 1-й строке
gmer.exe -del service zcethljym
была ошибка - delete service Параметр задан неверно
Остальное выполнилось

Лог gmer после выполнения скрипта

Этот лог чист.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\sys_srv.chm:UlZ8OUSAtEQ5','');
DeleteFile('C:\WINDOWS\Help\sys_srv.chm:UlZ8OUSAtEQ5');
QuarantineFile('C:\Documents and Settings\urusco\DoctorWeb\Quarantine\svchost.exe:ext.exe','');
DeleteFile('C:\Documents and Settings\urusco\DoctorWeb\Quarantine\svchost.exe:ext.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Что с проблемой в данный момент?

сделал

Значит не успел я отредактировать. Смотрите мое предыдущее сообщение

сделано. Пока все работает: и службы и сайты антивиров.
Спасибо огромное!

Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/URL]
Установите [URL="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/URL] или удалите старый

Вобщем снова останавливает службы, с сайтами все ок, но служба обозреватель компьютеров каждый час останавливается. се бы ничего но там базы 1с находятся

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 8 минут[/I][/B][/color][/size]

Подскажите хоть с чем это связано может быть. обновления последние ставил

- это сервер или рабочая станция?..
- в любом случае читать [url]http://www.oszone.net/235/[/url] и [url]http://support.microsoft.com/kb/239924/[/url]

Рабочая станция

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\urusco\doctorweb\quarantine\svchost.exe:ext.exe:$data - [B]Packed.Win32.Krap.ai[/B] ( DrWEB: Trojan.Spambot.7836, BitDefender: Trojan.Generic.3156897, NOD32: Win32/Obfuscated.NCY trojan, AVAST4: Win32:Krap-YY [Trj] )[*] c:\windows\help\sys_srv.chm:ulz8ousateq5:$data - [B]Packed.Win32.Krap.w[/B] ( DrWEB: Trojan.Packed.19647, BitDefender: Gen:Heur.Krypt.11, AVAST4: Win32:Bredolab-BR [Trj] )[/LIST][/LIST]