Честно, не у меня.У сотрудника стоит Др Веб.Не обновлял его 40 дней.Теперь обновили, но при запуске сканера сразу вырубаеться комп, перезагружаеться. Пробовали в безопасном режиме -тоже самое, потом скачали бесплатный Др Веб Кур.Тоже самое.Что делать? И можно ли что-то вообще сделать?

Может ДР Веб просто снести. А если не поможет попробовать переустановить Windows.

Может ДР Веб просто снести. А если не поможет попробовать переустановить Windows.

Снести - хорошо, чем проверить?Что поставить

На заведомо чистом компе закатать cureit.exe на флешку, потом вставить ее в выключенный проверяемый и стартануть с лайф сидишки, возможно вирус комп и вырубает. Полезно на флешку еще пару сканеров скинуть, я копирую еще нод32 и авз4.

грузись с Kaspersky LiveCD и сканируй! похоже на какой-нибудь Xorer

Суппорт, кстати, у Веба на высоте. http://support.drweb.com/
Эт к тому, что версия "вылечить" тут ещё не рассматривалась.:)

Может ДР Веб просто снести. А если не поможет попробовать переустановить Windows. Хотя я являюсь явным приверженцем антивируса Каспреского (диплом сетевая безопасность), но были моменты при которых каспер валил систему наглухо, и только пляски с бубном и шаманскими заклинаниями помогали...- отвлечение от темы.... Зачем так явно утверждать- сносить систему ... если drweb после обнов уходит в ребут, нужно выяснить условия при которых все это началось: 1 нажать 3 заветных клавишь ctrl+alt+del или же тоже самое ctrl+shift+esc (кто не знает что и так можно) посмотреть процессы левые пример ~12.exe 121367678.exe _svhost.exe , вот еще одна дрянь на которую стоит обратить внимание на процесс cftmon.exe-это вирусня Настоящий процесс называется так- ctfmon.exe, и прибеглом осмотре можно не заметить его и много всяких процессов, для решения качаем утилиту AVZ4 и запускаем ее в безопасном режиме и просканировав можно увидеть все что незамечено глазками, и поправить что можно ей,если не удается сделать только ей едем дальше, нужно всегда иметь под рукой какой-нибудь live-cd, на случай непредвиденных ситуаций, загрузившись с которого запускаем антивирусную проверку и если антивирь убивает файлы которые являются системными,нужно записать имя файла и место его раположения для того чтобы с рабочей машинки записать его и подменить или же взять дистрибутив винды и восстановить его с помощью recovery console, желательно на live-cd иметь ERD Commander -также загрузившись с него прочитать реестр зараженной машины и отключить левые службы, просмотреть ветку реестра котрая отвечает за запуск приложений HKLM.....Run, RunOnce, обычно когда кажется ,что все пролечили, и левые службы отключены и левое ни чего грузиться не будет(момент когда винда еще подает признаки жизни), и тут после рубута начинается все снова, так как все востаановилось(вирусня) из папки в корне диска С system volume information-хранит резервные копии файлов и точки отката, и всякую лабуду, я к примеру делаю так, если же вдруг комп еще живет как в данном случае , отключаю восстановление системы - делаю видимой папку system volume information выдаю права на нее себе админисратору и удаляюю ее (не есть good - но есть и свои плюсы..) выгружаю левые процессы вычащяю реестр от запуска всякой нечасти, затем в FAr manager -е захожу в папку windows а потом в system32 -подозрения вызывают файлы вопервых скрытые от обычного виндового просмотра и файлы с левыми названиями как описаны были выше (примерно) !но если не занете за что отвечает файл скрытый, то лудше не удалять , а пригласить спеца-который понимает в этом деле, потом грузиться с вашего жесткого диска , и при запуске винды вы увидите всплывающие окна -мол приложению ~1223dsd.exe не удалось запуститься так как файл небыл найдет, это означает что тело вируса вы вальнули, но кто знает сколько он(вирус) наплодил клонов, нужно опять жать 3 заветные кнопки, и смотреть процессы, и все такое, обычно эти действия помогают в 95% оставшие же пять процентов все скверно,тут нужно поступить слудующим образом, загрузиться с live-cd и из папки виндовс repair с вашего диска переписать эти файлы в каталог windows\system32\config и будет ваша винда как будто только что поставленая с голым реестром , останется накинуть только необходимые приложения-- ну а если нет серьезных данных на винте кроме doc и xls то можно снести винду, но бывает ,что установлено много очень специфического софта и нужно во чтобы то нистало поднять, я тоже думал , что со мной такое ни когда не случится , а вот и пришлось делать... первый раз сидел над компом около 3 часов, а потом время на определения ситуации определялось в течении 5 минут , затем вышеописанные действия и на работу мин 20-35 , зато все на месте и поет и пляшет, и ты в глазах того человека который попросил тебя реанимировать его детище --Поднимаешься , плюс он расскажет и посоветует тебя своим друзьям(сарофанное радио), если это твоя работа-этим зарабатываешь себе авторитет, вот примерно краткий ликбез на тему -не нужно при первой крайности сносить винду...., ни кого ни чем не хотел обидеть...Удачи всем!!! с Уважением LexJr

SVCHOST.EXE U MENYA NASHEL trojan remover /posle snosa cftmon.exe propala yazikovaya panel /

Добавлено через 19 минут
SVCHOST.EXE U MENYA NASHEL trojan remover /posle snosa cftmon.exe propala yazikovaya panel /

potom Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:41:58, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\SVCH0ST.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\TrojanHunter 5.0\THGuard.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com (http://google.icq.com/)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.0.0.17:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 5.0\THGuard.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [system32] C:\WINDOWS\system32\sys32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://C:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FE68917-478D-44BC-B895-C055C36462E6}: NameServer = 10.0.0.20,10.0.0.17
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Experience Lookup Services (AeLookupSvcs) - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/USER/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 4986 bytes


Добавлено через 24 минуты
pПоявилась языковая пранель после перезагрузки и такой отчет Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:47:43, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\SVCH0ST.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\TrojanHunter 5.0\THGuard.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com (http://google.icq.com/)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/mra
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.0.0.17:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 5.0\THGuard.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [system32] C:\WINDOWS\system32\sys32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with ABBYY &Lingvo - res://C:\Program Files\ABBYY Lingvo 11 Six Languages\Lingvo.exe/3000
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FE68917-478D-44BC-B895-C055C36462E6}: NameServer = 10.0.0.20,10.0.0.17
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Experience Lookup Services (AeLookupSvcs) - Unknown owner - C:\WINDOWS\system32\SVCH0ST.EXE
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/USER/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 4952 bytes

/posle snosa cftmon.exe propala yazikovaya panel / - ctfmon.exe -процесс безобидный ,а вот cftmon.exe -вирусня