Здравствуйте! Столкнулся с проблемой: девушка зашла на zaycev.net и щелкнула там какую-то стороннюю ссылку. После этого комп при перезагрузке загружается и после введения имени пользователя и пароля выдает: "Инструкция по адресу "0х938е2328" обратилась к памяти по адресу "0х938е2328". Память не может быть "read". "Ок" - завершение приложения; "Отмена" - отладка приложения. В любом случае (и при нажатии "Ок", и при нажатии "Отмена") система выдает табличку, в которой идет обратный отсчет времени (не более 60 сек), в которой присутствует номер: 1073741819; надпись "Неожиданно завершен системный процесс C:\Windows\system32\services.exe", а также путь NT\AUTHORITY\SYSTEm
Загрузился с загрузочной флешки и по правилам форума сделал логи (см. ниже). Что можно тут сделать?

Логи, сделанные с LiveCD, бесполезны.

Когда появися отсчет времени, проделайте следующее:

Пуск - Выполнить
Введите shutdown -a, нажмите ОК. Это должно остановить перезагрузку

Выполняйте сбор логов

Ничего не получится. Кнопка "Пуск" недоступна. Табличка, которая возникает, как при принудительной перезагрузке ОС и кроме нее на экране ничего нет и сделать невозможно :(

В безопасном режиме та же картина?

Смог загрузиться в нормальном режиме и нажатием "Ctrl + Alt + Del" прервать выполнение перезагрузки (диспетчер задач вызывается) и с помощью него (через "Файл - выполнить" запустить HijackThis и сформировать лог); или, возможно, комп просто не смог перезагрузиться и мне просто повезло :) ...
Сейчас то же делаю для AVZ - но тормоз страшный, думаю затянется... Но получилось :)
Как только сформируются логи, сразу же перепишу с "больного" компа и выложу...

Сделал скрипт HiJackThis, выложить пока не могу, т.к. надо загрузиться с LiveCD, а мне не хочется перезагружать так сложно загруженную систему. AVZ же не может закончить работу - виснет на "...Выполняется исследование системы...". Сама же ОС загрузилась почти полностью, за исключением тех процессов, которые завершил (какие точно, не помню, но сделал это для того, чтобы не уйти в перезагрузку). Что посоветуете предпринять?

Только это
В безопасном режиме та же картина? »

Да. Больше того - там не "успеваю" завершить процессы и компьютер в любом случае перезагружается... а сейчас монитор "заснул" и я его "пробудить" не могу...

Без логов, сделанных на проблемной системе, помочь трудно. Лечащие LiveCD пробовали?

Получилось сделать логи с "больной" системы: при загрузке, при появлении сообщения "Неожиданно завершен системный процесс C:\Windows\system32\services.exe , не нажимая ни "ОК - завершение приложения", ни "ОТМЕНА - отладка приложения" вызвал диспетчер задач, далее запустил AVZ и сформировал логи. Логи HijackThis были сформированы ранее. Все их прилагаю :-)

выполните след. скрипт в AVZ begin SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
QuarantineFile('C:\Documents and Settings\Ира.466B8FCCC8A841B\Рабочий стол\игры\Alawar\Alawar_Wrapper_Protected_Games_UniCrack_v0_5_by_Mysterio.exe','');
QuarantineFile('C:\PROGRA~1\SOLO9R~1\SoloRes.dll','');
QuarantineFile('C:\WINDOWS\system32\rcltek.exe','');
QuarantineFile('C:\WINDOWS\system32\21363708.exe','');
DeleteFile('C:\WINDOWS\system32\21363708.exe');
DeleteFile('C:\WINDOWS\system32\rcltek.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(20);
RebootWindows(true);
end.
комп. перезагрузится, выполнить еще один скриптbegin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
полученный в результате карантин отправить по адресу newvirus@kaspersky.com результат выложить в следующем посте
повторите логи

А также

Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Комп нормально загрузился. Логи AVZ сделал, log.txt и info.txt тоже вложил (см. вложенные файлы), quarantine.zip на указанный адрес выслал. Результат об отправке выложу позже. Не сочтите за флуд: 1. Что это было (как называется)? 2. Как от него уберечь комп (что читать, что знать, что применить)?

активного заражения не вижу, хочу предложить вам отключить автозапуск для этого выполнить следующий скрипт Begin RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '223'); end. Что это было (как называется) »
заражение автораном (более грамотные хелперы пусть меня поправят)2. Как от него уберечь комп (что читать, что знать, что применить)? »
я уже предложил вам отключить автозапуск, так же предлагаю регулярно проверять систему cureit или онлайнсканер касперского , ну и конечно же обновления!! не только системы но и браузеров и продуктов Adobe ваши: месенджеры, квиктайм, java
http://www.freedrweb.com/cureit/
http://www.kaspersky.ru/virusscanner

простите исправленный скрипт begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS',''); DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak'); CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll'); DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.

Скрипт выполнил. Спасибо :-) . Скрипт для отключения автозапуска тоже выполнил. Пришел ответ от автоматической системы приема писем (прикрепляю, файл otvet_kaspersky.txt). Также возник вот какой вопрос: на одном из форумом (возможно, даже и на oszon'e) увидел скрипт реестра (отмена автозапуска, его ссылание на ветвь в реестре, т.н. "перенаправляемый" автозапуск, который в любом случае будет считываться из реестра, а не с флешки или диска (прилагаю, файл autorun.rar)). Выполнил его на свой страх и риск, не особенно вникая в особенности его работы. Могло ли это стать одной из причин заражения?

Могло ли это стать одной из причин заражения? »
нет, данный файл вы сможете открыть с помощью блокнота и увидеть содержимое.Выполнил его на свой страх и риск, не особенно вникая в особенности его работы »
не советую!! выполнять какие либо файлы, особенно работа с реестром!!!!! систему зарубите на раз. если вы не уверены в том что он делает то что вам нужно.

Выполнил его на свой страх и риск, не особенно вникая в особенности его работы. Могло ли это стать одной из причин заражения? »Нет, это некая заглушка против вирусов-авторан.

Если хочется максимально защитить себя от авторанов, могу порекомендовать это средство - NoMoreAutorun - утилита для отключения автозапуска. (http://www.forum.oszone.net/thread-141480.html) в скрипте присутствует настройка, которая есть в вашем файле reg.