dimkins 0 Опубликовано 27 апреля, 2011 Share Опубликовано 27 апреля, 2011 (изменено) Привет. Не работает Автоматическое обновление Windows с 17.04.2011г. Служба Автоматическое обновление не запускается, появляется окно "не удалось запустить службу автоматическое обновление на локальный компьютер.ошибка 2: не удается найти указанный файл". Не выполняется команда sfc /scannow. Появляется фраза "Защита файлов Windows не смогла запустить сканирование защищенных системных файлов. Код ошибки 0х000006ba Сервер RPC не доступен" Службы BITS и RPC включены. Прошу помочь. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 27 апреля, 2011 пользователем dimkins Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 28 апреля, 2011 Share Опубликовано 28 апреля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Installer\96421.msi',''); BC_ImportQuarantineList; BC_Activate; ExecuteRepair(1); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Текст заголовка окна R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {E31CE47F-C268-41ba-897B-B415E613947D} - (no file) Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Ask Toolbar. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
dimkins 0 Опубликовано 7 мая, 2011 Автор Share Опубликовано 7 мая, 2011 Все сделал по Вашим рекомендациям. Автоматическое обновление заработало, спасибо. Но все равно не выполняется команда sfc /scannow. Появляется фраза "Защита файлов Windows не смогла запустить сканирование защищенных системных файлов. Код ошибки 0х000006ba Сервер RPC не доступен" Отправил в вирусную лабораторию файл Quarantine.zip через обе формы почти в тот же день, но ответа до сих пор нет. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 мая, 2011 Share Опубликовано 7 мая, 2011 а где это? запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. и новые логи по правилам приветствуются... Цитата Ссылка на сообщение Поделиться на другие сайты
dimkins 0 Опубликовано 7 мая, 2011 Автор Share Опубликовано 7 мая, 2011 Оу, сорри Выкладываю. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log ComboFix.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 мая, 2011 Share Опубликовано 7 мая, 2011 пофиксите в Hijackthis: R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) C:\WINDOWS\system32\dfshim.dll c:\windows\regedit.exe проверьте на virustotal.com ссылки на результат проверки приложите Internet Explorer работает? Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: Driver:: io02 VSPerfDrv90 WPFFontCache_v0400 После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. по поводу SFC http://www.google.com/search?client=opera&...-8&oe=utf-8 Цитата Ссылка на сообщение Поделиться на другие сайты
dimkins 0 Опубликовано 7 мая, 2011 Автор Share Опубликовано 7 мая, 2011 1) Пофиксил 2)Файла C:\WINDOWS\system32\dfshim.dll у меня не существует. Есть похожий dfsshlex.dll. Файл Регедит не содержит вирусов, вот результат: File name: regedit.exe Submission date: 2011-05-07 16:25:59 (UTC) Current status: queued (#33) queued analysing finished Result: 0/ 42 (0.0%) http://www.virustotal.com/file-scan/report...7948-1304785559 3) Интернет Эксплорер работал. Но после того, как выполнил ComboFix - не работает (удалился исполняемый файл). 4) Комбофикс.тхт прилагаю 5) По ссылке прошел. Что там написано, то уже это все проделывал полмесяца назад, почему-то не все равно не работает. 6) В ходе выполнения скрипта AVZ вот такая штука была написана: C:\WINDOWS\Installer\96421.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.ak virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log ComboFix.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 7 мая, 2011 Share Опубликовано 7 мая, 2011 Деинсталлируйте ComboFix: - нажмите Пуск|Start - Выполнить|Run - в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt, запустите, нажмите Clean up Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\Installer\96421.msi',''); QuarantineFile('C:\WINDOWS\inf\unregmp2.exe',''); QuarantineFile('C:\WINDOWS\system32\dfshim.dll',''); QuarantineFile('C:\WINDOWS\system32\TUKERNEL.EXE',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('c:\windows\explorer.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. После проведённого лечения рекомендуется установить следующие обновления: - заново установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3 - переустановить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Отпишитесь, что с проблемой, когда всё выполните. C:\WINDOWS\Installer\96421.msi проверьте сами на virustotal.com Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 477 Опубликовано 8 мая, 2011 Share Опубликовано 8 мая, 2011 6) В ходе выполнения скрипта AVZ вот такая штука была написана: C:\WINDOWS\Installer\96421.msi/{MS-OLE}/\38 >>>>> Trojan.BAT.DelSys.akЛожное подозрение и не более Цитата Ссылка на сообщение Поделиться на другие сайты
dimkins 0 Опубликовано 14 мая, 2011 Автор Share Опубликовано 14 мая, 2011 Опять ответа нет от Вирусной лаборатории. Сколько от них ответ то можно ждать. Проще переустановить систему, если вирус сидит, чем ждать столько времени. Установил все обновления, которые Вы рекомендовали. Все прежние проблемы исчезли, спасибо. Посмотрите еще, пожалуйста, логи AVZ и HiJack, и если все ОК, то закрываем тему. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 мая, 2011 Share Опубликовано 15 мая, 2011 Проверьте эти файлы на virustotal.com C:\PROGRA~1\Engine_M.scr C:\WINDOWS\system32\dfshim.dll C:\WINDOWS\Installer\96421.msi C:\WINDOWS\inf\unregmp2.exe c:\windows\explorer.exe 5 ссылок на результаты проверок выложите. Пофиксите в Hijackthis: R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file) Цитата Ссылка на сообщение Поделиться на другие сайты
dimkins 0 Опубликовано 15 мая, 2011 Автор Share Опубликовано 15 мая, 2011 Следующих файлов не существует на компе: C:\PROGRA~1\Engine_M.scr C:\WINDOWS\system32\dfshim.dll Другие файлы проверены и в некоторых есть кое-что: C:\WINDOWS\Installer\96421.msi: http://www.virustotal.com/file-scan/report...916d-1305481238 C:\WINDOWS\inf\unregmp2.exe: http://www.virustotal.com/file-scan/report...db4b-1305481776 c:\windows\explorer.exe: http://www.virustotal.com/file-scan/report...7d0e-1268733105 hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 мая, 2011 Share Опубликовано 16 мая, 2011 Другие файлы проверены и в некоторых есть кое-что: всё чисто. Цитата Ссылка на сообщение Поделиться на другие сайты
dimkins 0 Опубликовано 17 мая, 2011 Автор Share Опубликовано 17 мая, 2011 Спасибо Вам за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.