Не работает Автоматическое обновление Windows

[dimkins]

Привет.

Не работает Автоматическое обновление Windows с 17.04.2011г.

Служба Автоматическое обновление не запускается, появляется окно "не удалось запустить службу автоматическое обновление на локальный компьютер.ошибка 2: не удается найти указанный файл".

Не выполняется команда sfc /scannow. Появляется фраза "Защита файлов Windows не смогла запустить сканирование защищенных системных файлов. Код ошибки 0х000006ba Сервер RPC не доступен"

Службы BITS и RPC включены.

Прошу помочь.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 27 апреля, 2011 пользователем dimkins

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\96421.msi','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteRepair(1);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Текст заголовка окна
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {E31CE47F-C268-41ba-897B-B415E613947D} - (no file)

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Ask Toolbar.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[dimkins]

Все сделал по Вашим рекомендациям.

Автоматическое обновление заработало, спасибо.

Но все равно не выполняется команда sfc /scannow. Появляется фраза "Защита файлов Windows не смогла запустить сканирование защищенных системных файлов. Код ошибки 0х000006ba Сервер RPC не доступен"

Отправил в вирусную лабораторию файл Quarantine.zip через обе формы почти в тот же день, но ответа до сих пор нет.

[Roman_Five]

а где это?

запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

и новые логи по правилам приветствуются...

[dimkins]

Оу, сорри

Выкладываю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

ComboFix.rar

[Roman_Five]

пофиксите в Hijackthis:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

 

C:\WINDOWS\system32\dfshim.dll
c:\windows\regedit.exe

проверьте на virustotal.com

ссылки на результат проверки приложите

 

Internet Explorer работает?

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::
io02
VSPerfDrv90
WPFFontCache_v0400

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

по поводу SFC

http://www.google.com/search?client=opera&...-8&oe=utf-8

[dimkins]

1) Пофиксил

2)Файла C:\WINDOWS\system32\dfshim.dll у меня не существует.

Есть похожий dfsshlex.dll.

 

Файл Регедит не содержит вирусов, вот результат:

File name:

regedit.exe

Submission date:

2011-05-07 16:25:59 (UTC)

Current status:

queued (#33) queued analysing finished

Result:

0/ 42 (0.0%)

 

http://www.virustotal.com/file-scan/report...7948-1304785559

 

3) Интернет Эксплорер работал. Но после того, как выполнил ComboFix - не работает (удалился исполняемый файл).

4) Комбофикс.тхт прилагаю

5) По ссылке прошел. Что там написано, то уже это все проделывал полмесяца назад, почему-то не все равно не работает.

6) В ходе выполнения скрипта AVZ вот такая штука была написана: C:\WINDOWS\Installer\96421.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.ak

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

ComboFix.rar

[Roman_Five]

Деинсталлируйте ComboFix:

- нажмите Пуск|Start - Выполнить|Run

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\96421.msi','');
QuarantineFile('C:\WINDOWS\inf\unregmp2.exe','');
QuarantineFile('C:\WINDOWS\system32\dfshim.dll','');
QuarantineFile('C:\WINDOWS\system32\TUKERNEL.EXE','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\explorer.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется установить следующие обновления:

- заново установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3

- переустановить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Отпишитесь, что с проблемой, когда всё выполните.

 

C:\WINDOWS\Installer\96421.msi

проверьте сами на virustotal.com

[thyrex]

6) В ходе выполнения скрипта AVZ вот такая штука была написана: C:\WINDOWS\Installer\96421.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.ak

Ложное подозрение и не более

[dimkins]

Опять ответа нет от Вирусной лаборатории. Сколько от них ответ то можно ждать. Проще переустановить систему, если вирус сидит, чем ждать столько времени.

Установил все обновления, которые Вы рекомендовали.

Все прежние проблемы исчезли, спасибо.

Посмотрите еще, пожалуйста, логи AVZ и HiJack, и если все ОК, то закрываем тему.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

Проверьте эти файлы на virustotal.com

C:\PROGRA~1\Engine_M.scr
C:\WINDOWS\system32\dfshim.dll
C:\WINDOWS\Installer\96421.msi
C:\WINDOWS\inf\unregmp2.exe
c:\windows\explorer.exe

5 ссылок на результаты проверок выложите.

 

Пофиксите в Hijackthis:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

[dimkins]

Следующих файлов не существует на компе:

C:\PROGRA~1\Engine_M.scr

C:\WINDOWS\system32\dfshim.dll

 

Другие файлы проверены и в некоторых есть кое-что:

 

C:\WINDOWS\Installer\96421.msi:

http://www.virustotal.com/file-scan/report...916d-1305481238

 

C:\WINDOWS\inf\unregmp2.exe:

http://www.virustotal.com/file-scan/report...db4b-1305481776

 

c:\windows\explorer.exe:

http://www.virustotal.com/file-scan/report...7d0e-1268733105

hijackthis.log

[Roman_Five]

Другие файлы проверены и в некоторых есть кое-что:

всё чисто.

[dimkins]

Спасибо Вам за помощь.