уже 2-3 месяца при включении сервера выдает сообщение "Сбой по крайней мере в одной службе или драйвере при запуске системы". В журнале следующие ошибки:

Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7023
Дата: 14.03.2011
Время: 7:52:27
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Служба "Support Boot" завершена из-за ошибки
Не найден указанный модуль.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".



Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7026
Дата: 14.03.2011
Время: 7:52:27
Пользователь: Н/Д
Компьютер: SERVER
Описание:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
CV2K1

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


Как с ними бороться ???

nadmarik, можно в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
поискать эти "Support Boot" и CV2K1, посмотреть параметр ImagePath (имя файла), пробить в любом поисковике в инете (чтобы выяснить, относятся они к легитимному софту или являются "хвостами" убитых вирусов).

Просто удалить.

"Support Boot" не могу найти

nadmarik, надеюсь, без кавычек ищете?

ну конечно без ковычек

nadmarik, да не может быть.
Только если хитрый руткит не дает его увидеть (но это лечить нужно).

проверка с CureIT от DrWeb ничего не нашла, разве что r_server.exe (Remote administrator) находящийся в папке c:\windows\system32\ - Program.RemoteAdmin.167. Я сам его установил для удаленого администрирования, и стоит он уже месяцев 6 и никаких проблем. Обновленный антивирус Касперского тожн ничего не нашел.

nadmarik, попробуйте ещё RootkitRevealer (http://technet.microsoft.com/en-us/sysinternals/bb897445), если разрядность системы подходит.

nadmarik, выложите логи AVZ и HijackThis в соответствии с этими инструкциями (http://forum.oszone.net/thread-98169.html).

Сбой по крайней мере в одной службе или драйвере при запуске системы »
Лично у меня такую хренотень пишет когда у меня подключен сервак через переключатель монитор\клавиатура\мышь. Т.е. один монитор, 1 мышка и 1 клва на 16 серверов. Стоит подключить к ним своё имущество (монитор, клава, мышь) как ошибка исчезает. Как это может быть связано - ума не приложу. Хотя может и совпадение.

karalka1, между прочим у меня тоже стоит автопереключатель D-link KVM 2 портовый. Но дело в том что чуть больше года сервак работал и не было никаких ошибок, а теперь появились.

Petya V4sechkin, логи в файле

nadmarik, в логах вирусы:

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\vhosts.exe (file missing)
O23 - Service: NetMicrosoft - Unknown owner - C:\WINDOWS\System32\Microsoft\Protect\svchost.exe


Подозрение на маскировку ключа реестра службы\драйвера "ohrqk"

Dr.Web CureIt полную проверку сделали?
Тему лучше перенести в Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html).

Dr.Web CureIt делал полную проверку

и Касперским тоже

nadmarik, можете проверить файл C:\WINDOWS\System32\Microsoft\Protect\svchost.exe на VirusTotal (http://www.virustotal.com/) или VirSCAN.org (http://virscan.org/) (и отправить в Лабораторию Касперского (http://support.kaspersky.ru/virlab/helpdesk.html), раз вы им пользуетесь).

Проверьте файл:

C:\WINDOWS\system32\r_server.exe

на http://www.virustotal.com/ru/ ссылки на результат проверки укажите в теме в ввиде ссылок.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\microsoft\protect\svchost.exe');
QuarantineFile('c:\windows\system32\microsoft\protect\svchost.exe','');
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteFile('c:\windows\system32\microsoft\protect\svchost.exe');
DeleteFile('c:\windows\system32\vhosts.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('netmicrosoft');
DeleteService('msupdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {6778613D-616B-4A6C-9856-65DE943CF424} - (no file)



Сделайте повторные логи AVZ + RSIR
+
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
+
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

можете проверить файл C:\WINDOWS\System32\Microsoft\Protect\svchost.exe на VirusTotal или VirSCAN.org (и отправить в Лабораторию Касперского, раз вы им пользуетесь). »Плюс ко всем советам, проверьте там же ещё и этот файл
c:\windows\system32\winlogon.exe

maniy77, http://www.virustotal.com/file-scan/report.html?id=7e6e4088ac5730ea4209d2e8ff0c52524a1b586b08a033fca1ee765b7aff9167-1300793232

nadmarik, И?! Логи повторные где?

maniy77, логи в архиве http://narod.ru/disk/8204606001/logs2.zip.html