Периодически слетает служба Сервер. В системном журнале сообщение: "Служба Сервер остановлена. Отказано в доступе." При попытке запустить службу вручную: "Ошибка 5: отказано в доступе". В свойствах службы: Тип запуска - Авто, вход от имени - Локальная система, включено взаимодействие с рабочим столом. Исполняемый файл - С:\WINDOWS\system32\svchost.exe -k netsvcs.
Проверила компьютер на вирусы Сureit-ом, вирусов не обнаружено. Проверила разрешения на ветки в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost - все нормально, путь для запуска службы в параметре ImagePath - %SystemRoot%\system32\svchost.exe -k netsvcs.
Файлы srvsvc.dll, hnetcfg.dll, svchost.exe на месте.
Служба запускается только при удалении/установки Службы доступа к файлам и принтерам сетей Microsoft, но это не выход каждый раз перезагружать компьютер при удалении/установке этой службы.
Логи прикрепляю, прошу помочь.

teamviewer- вы сами устанавливали ?
Скачивали утилиту klwk.com ?


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\01.tmp','');
QuarantineFile('c:\program files\sbersign\testhash.bat','');
DeleteFile('c:\windows\system32\01.tmp');
DeleteService('mgbkae');
DeleteService('nhtuzrc');
DeleteService('profdvnvq');
DeleteService('ulfad');
DeleteService('wyljzgp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.



проверьте C:\WINDOWS\system32\dllhost.exe на http://www.virustotal.com

результат\ссылку сообщите

teamviewer- вы сами устанавливали ? » да, в настоящее время я удаленно работаю с этим компьютером.
Скачивали утилиту klwk.com ? » да, я проверяла компьютер на kido.

quarantine.zip отправила, результат сообщу.

ссылка на проверку файла dllhost.exe:
http://www.virustotal.com/file-scan/report.html?id=594904fb872f671a6d43fcf84ff3141648adf75e1cc92bef154bf2a0895b0e3b-1303687523

Я отправляла архив quarantine.zip через форму, а ответ куда придет?

Я вам сообщу когда будут данные.

Что с проблемой ?

Обновите базы АВЗ. Новые логи АВЗ сделайте.

Что с проблемой ? » проблема осталась
логи сейчас сделаю

Прикрепляю логи AVZ

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

• Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Malwarebytes' Anti-Malware


1.50.1.1100
www.malwarebytes.org

Версия базы данных: 6439

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.04.2011 8:43:20
mbam-log-2011-04-26 (08-43-20).txt

Тип сканирования: Полное сканирование (C:\|E:\|F:\|)
Просканированные объекты: 320836
Времени прошло: 1 часов, 48 минут, 51 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 11

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\program files\total commander\Soft\fitW\fitW.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP1\A0000965.exe (Virus.Expiro) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP1\A0002435.exe (Virus.Expiro) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1508bb30-3f1b-4337-a1ec-d1944f1b783d}\RP19\A0007392.exe (Virus.Expiro) -> Quarantined and deleted successfully.
e:\program files\WinRAR\kgwinrar.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050186.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050197.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050789.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050917.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050961.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
f:\system volume information\_restore{66e5deb8-ab22-4179-bb0c-d6acf0eca6f8}\RP149\A0050985.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

Логи Gmer.

Olguna, лог гмер чист.

Что с проблемой ?

Проверяла еще утилитой от Касперского (Virus Removal Tool) - логи чистые, VRT удалил из карантина DrWeb-а тьму файлов, зараженых вирусом Kido. Сделала восстановление системных файлов командой sfc /scannow.
За 18 часов работы служба пока ни разу не остановилась, пару дней понаблюдаю, потом отпишусь.
Спасибо за помощь.

Все работает. Еще раз спасибо за помощь.