Помогите решить проблему вылетает окошко с перезапуском системы через 1 мин и там написано nt authority system services.exe
и не заходит на сайты с антивирусами

Привет:)Смотрю логи.
AVZ 4.30
Вы откуда такую откопали??Скачайте новую с офф сайта-http://z-oleg.com/secur/avz/
Перечитайте правила:нужно два архива от авз.

по этому адресу не грузит страницу меня
у меня ели ели интернет работает

Прикрепил.Логи авз такие нужны:
virusinfo_syscure.zip;
virusinfo_syscheck.zip
В правилах написано, как это сделать.
А также в вашем случае заражения нужны еще доп. логи к авз:
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

проблема база авз4 не обновляется он виснет и скачать по ссылке тоже немогу страница не открывается

Я прикрепил к сообщению-оттуда качайте.
Пуск - Выполнить - Вввести route -f, нажать ОК и перезагрузиться.
Доступ к сайтам должен появиться, но вирусы останутся, поэтому выполняйте рекомендации 4сообщения!

запустил rsit вот что выдало

пофиксить эти строки (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d3eda52c.exe,C:\WINDOWS\system32\vlcjq d.exe,
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: TBSB02139 Class - {B4780EB4-503B-46CF-8A7F-2A99B2D0657D} - (no file)
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\kwpwvdy.exe
C:\WINDOWS\system32\ncyedmi.exe
C:\WINDOWS\system32\zjxbine.exe
C:\WINDOWS\system32\15a2fe11.exe
C:\lrh3szd9.exe
C:\WINDOWS\system32\qsweles.exe
C:\WINDOWS\system32\nhoihkc.exe
C:\WINDOWS\system32\eipiovx.exe
C:\WINDOWS\system32\vyemfwk.exe
C:\WINDOWS\system32\loowmrm.exe
C:\WINDOWS\system32\ryryrvs.exe
C:\WINDOWS\system32\pdvlnxg.exe
C:\WINDOWS\system32\cvelcfx.exe
C:\WINDOWS\system32\ycwhfdi.exe
C:\WINDOWS\system32\yxahswg.exe
C:\WINDOWS\system32\cleripl.exe
C:\WINDOWS\system32\wlgrpzp.exe
C:\WINDOWS\system32\vimwxar.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\vlcjqd.exe
C:\WINDOWS\system32\d3eda52c.exe
C:\WINDOWS\ju.exe

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\WINDOWS\ju.exe"=-

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
Повторите логи RSIT.Сделайте логи авз.

вот что вышло

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Выполнить скрипт в авз:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\New Folder\PartyPoker\RunApp.exe','');
QuarantineFile('C:\Documents and Settings\Шурик\Рабочий стол\МОЯ ПАПКА 19.07.09\флешки 14 10 09\флешка моя\USB DISK (G)\Объекты\Документы к акту рабочей комиссии\Акт Стапель 2 07 10 04 .doc','');
QuarantineFile('C:\WINDOWS\system32\drivers\df.sys','');
QuarantineFile('C:\DOCUME~1\C272~1\LOCALS~1\Temp\hpdj.exe','');
QuarantineFile('C:\WINDOWS\system32\vlcjqd.exe','');
QuarantineFile('C:\WINDOWS\system32\d3eda52c.exe','');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\Documents and Settings\Шурик\.exe','');
DeleteFile('C:\Documents and Settings\Шурик\.exe');
DeleteFile('C:\WINDOWS\system32\d3eda52c.exe');
DeleteFile('C:\WINDOWS\system32\vlcjqd.exe');
DeleteFile('C:\thumbs.db');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Логи RSIT не полные.Нужен еще log.txt
Повторите логи авз+логи RSIT(полные).
Мой скрипт в OTM выполняли, фиксили?

C:\New Folder\PartyPoker\
Известно, играете в покер?
C:\WINDOWS\system32\drivers\df.sys
Проверьте этот файл на www.virustotal.com и выложите ссылку на результаты проверок.

скрипты ОТМ выполнял, фиксил
немного раньше играл

http://www.virustotal.com/ru/reanalisis.html?18233c614a0655efd0862e5bc3201b7a42189bde44d8965912a618f1349ab7a4-1279480679

а вот что ответили в касперском

.exe - Backdoor.Win32.Shiz.mp

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

bcqr00003.dat,
bcqr00004.dat,
thumbs.db,
Акт Стапель 2 07 10 04 .doc

Файлы в процессе обработки.

bcqr00005.dat,
bcqr00006.dat,
df.sys

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

Запустите HijackThis еще раз, для этого кликните Пуск, Выполнить, введите C:\Program Files\trend micro\Шурик.exe и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d3eda52c.exe,C:\WINDOWS\system32\vlcjq d.exe,

Закройте все запущенные программы.
Кликните по кнопке Fix и подтвердите свои действия выбрав YES.
Запустите OTM еще раз (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\qvphzfw.exe
C:\WINDOWS\system32\sgkixsc.exe
C:\WINDOWS\system32\keuipzo.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
IE7proSetup_2.0_[tfile.ru].exe
C:\Program Files\WebMoney Advisor
C:\Program Files\IEPro
Известно, САМИ СТАВИЛИ?
Повторите эти логи:
RSIT;
AVZ.

кода я не нашол
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\d3eda52c.exe,C:\WINDOWS\system32\vlcjq d.exe
щас вот логи проверяю,
а программы вроде сам ставил :unsure:

а вот и логи

Почти вылечели компьютер.Кое-что осталось.
Выполните скрипт в авз:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\anpla.dll','');
DeleteFile('C:\WINDOWS\system32\anpla.dll');
DelBHO('1DFA2A6E-3CB3-4141-A96F-D42244A6B50E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
После перезагрузки:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine1.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Повторите логи авз.
Обновите обязательно:
IE(даже если не пользуетесь!); (http://www.microsoft.com/rus/windows/internet-explorer/default.aspx)
- Windows XP SP3(все заплатки поставьте и 3 пак установите). (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru)
Adobe Acrobat (www.adobe.com/ru)

вот логи , а ответ в касперском еще не прислали

Очистить и создать новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, пользователь мог вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
1. скачайте http://www.atribune.org/ccount/click.php?id=1, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли.

Ваш документ, известен?
C:\Documents and Settings\Шурик\Рабочий стол\МОЯ ПАПКА 19.07.09\флешки 14 10 09\флешка моя\USB DISK (G)\Объекты\Документы к акту рабочей комиссии\Акт Стапель 2 07 10 04 .doc
Подозрение одно осталось, так как не прошел по базе безопасных системный драйвер.
Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Что проблемами?
C:\WINDOWS\system32\DRIVERS\atapi.sys
Проверьте файл на www.virustotal.com
если уже проверялся нажмите повторить анализ сейчас.

Gmer выдает ошибку при запуске после чего камп начинает жутко лагать

по поводу C:\WINDOWS\system32\DRIVERS\atapi.sys
выдает 0 bytes size received / Se ha recibido un archivo vacio

а от касперского прислали
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

С уважением, Лаборатория Касперского
>> From: tatowka.85@mail.ru
>> Sent: 20.07.2010 7:44:19
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: tatowka.85@mail.ru
>>
>> description:
>> пароль на архив virus
>>
>> Загруженные файлы:
>> quarantine1.zip

Выполните скрипт в авз:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\atapi.sys');
BC_Activate;
RebootWindows(true);
end.
ПОсле еще скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'atapi.zip');
end.
atapi.zip из папки авз пришлите на:
Anti-Spyware2010@yandex.ru