-
Junior Member
- Вес репутации
- 60
Не устанавливаются пакеты обновлений
Приветствую. При работе в IE 6 , через 1 минуту вылетает ошибка приложения , IE 7 не устанавливается , СП 3 тоже . При попытке сделать скрипты avz-ой комп уходит на перезагрузку . Дважды Курейтом порверял в safemode , вирусы найдены ..изменений нет .Что можно сделать ?
ЗЫ : Если нужно могу выслать лог Курейта .
Могу только лог хайджека сделать ..
Пинпонгом удалось сделать скрипт сбора информации ..
Вот скрипт лечения/карантина из safe mode ..
Комп перегружается когда хочет ...
Последний раз редактировалось Wazza; 05.10.2008 в 18:44.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Shedule',4);
DeleteService('Wdi27');
DeleteService('Wdh62');
DeleteService('Wch05');
DeleteService('Nsx27');
DeleteService('Mrw51');
DeleteService('Lrw15');
DeleteService('Kpu27');
DeleteService('Jpu51');
DeleteService('Hns27');
DeleteService('Hns15');
DeleteService('Flq16');
DeleteService('ethxypbr');
DeleteService('Ekp05');
DeleteService('Bin51');
DeleteService('Agk40');
DeleteService('Taf38');
DeleteService('Sye05');
DeleteService('Rwc38');
DeleteService('Pwc50');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agk40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kpu27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lrw15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mrw51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nsx27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Taf38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ekp05.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethxypbr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flq16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hns15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hns27.sys','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wdi27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wdh62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wch05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pwc50.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Rwc38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sye05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bin51.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Agk40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bin51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hns27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hns15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flq16.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethxypbr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ekp05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nsx27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mrw51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lrw15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kpu27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpu51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pwc50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rwc38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sye05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Taf38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wch05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdh62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdi27.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Wdi27');
BC_DeleteSvc('Wdh62');
BC_DeleteSvc('Wch05');
BC_DeleteSvc('Nsx27');
BC_DeleteSvc('Mrw51');
BC_DeleteSvc('Lrw15');
BC_DeleteSvc('Kpu27');
BC_DeleteSvc('Jpu51');
BC_DeleteSvc('Hns27');
BC_DeleteSvc('Hns15');
BC_DeleteSvc('Flq16');
BC_DeleteSvc('ethxypbr');
BC_DeleteSvc('Ekp05');
BC_DeleteSvc('Bin51');
BC_DeleteSvc('Agk40');
BC_DeleteSvc('Taf38');
BC_DeleteSvc('Sye05');
BC_DeleteSvc('Rwc38');
BC_DeleteSvc('Pwc50');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
При попытке выполнить скрипт комп уходит на перезагрузку ..
В safe mode можно скрипт выполнить ?
Со второго раза скрипт выполнился полностью ..делаю логи .
Могу выслать только 2 лога , когда делаю 3-й , то комп уходит на перезагрузку .
Файл сохранён как 080822_012900_virus_48ae5cac73c12.zip
Размер файла 132358
MD5 e092c79875652198212b25c14d7ba2f5
Последний раз редактировалось Wazza; 05.10.2008 в 18:44.
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Schedule',4);
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
Наконец-то могу сделать все логи !В карантине быле те же файлы..отослал . И еще , не могу удалить GoogleToolbar , из автозагрузки его убираю , но при перезагрузке опять появляется .
Последний раз редактировалось Wazza; 05.10.2008 в 18:44.
-
Junior Member
- Вес репутации
- 60
И еще при после загрузки постоянно вылетает сообщение в трее о неиспользуемых ярлыках , хоть я и загнал их в папку "Неиспользуемые ярлыки" , после ребута опять вылетает это сообщение .
Добавлено через 8 минут
СП 3 уже можно ставить ?
Добавлено через 54 минуты
Попытался установить IE 7 , опять неудачно .
Последний раз редактировалось Wazza; 22.08.2008 в 13:26.
Причина: Добавлено
-
Сообщение от
Wazza
И еще , не могу удалить GoogleToolbar , из автозагрузки его убираю , но при перезагрузке опять появляется .
Выполните скрипт
Код:
begin
SetServiceStart('gusvc', 4);
RebootWindows(true);
end.
userinit.exe_ - Trojan-Downloader.Win32.Agent.abzg
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Код:
copy C:\WINDOWS\ServicePackFiles\i386\userinit.exe C:\WINDOWS\system32\userinit.exe
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
-
-
Junior Member
- Вес репутации
- 60
1. Запуститесь с дистрибутива.
Загрузился с дистра винды , залез в консоль .
3. На приглашение введите строку:
Код:
copy C:\WINDOWS\ServicePackFiles\i386\userinit.exe C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\ServicePackFiles - такой папки на компе нет .
Что делать ? где и что я неправильно делаю ?
Может заменить userinit-ом с другого компа ?
Последний раз редактировалось Rene-gad; 22.08.2008 в 15:18.
-
Сообщение от
Wazza
Может заменить userinit-ом с другого компа ?
Если такая же система - можно.
Еще посмотрите в папке: C:\i386\
-
-
Junior Member
- Вес репутации
- 60
Заменил userinit-ом с другой машины , выполнил скрипт .
GoogleToolbar так и не удаляеццо , обновления не устанавливаются , что делать , подскажите пожалуйста ..
Добавлено через 38 секунд
C:\i386\ - такой папки тоже нед ..
Добавлено через 1 минуту
хотя щас будет =)
Добавлено через 3 минуты
Есть userinit из temp-папки еще не установленного 3го СП , он пойдет ?
Последний раз редактировалось Wazza; 22.08.2008 в 15:26.
Причина: Добавлено
-
Попробуйте прямо с дистры командой
expand X:\i386\userinit.ex_ C:\Windows\System32\userinit.exe
Вместо Х подставьте букву сидюка.
Гугл Тулбар через Панель управления/Приложения тоже не удаляяется?
-
-
Junior Member
- Вес репутации
- 60
Если честно , то где в панели управления находятся приложения - не знаю . По крайней мере через установку и удаление не удаляется . Удяляю CCleaner-ом из автозагрузки , после ребута опять появляется запись и соотв. запущенный процесс .
После замены userinit проблема с установкой обновлений должна исчезнуть или делать новые логи ?
Junior Member
Регистрация: 27.05.2008
Адрес: Ульяновск
Сообщения: 79
Репутация: 1
И еще при после загрузки постоянно вылетает сообщение в трее о неиспользуемых ярлыках , хоть я и загнал их в папку "Неиспользуемые ярлыки" , после ребута опять вылетает это сообщение .
С этим можно что-то сделать ? Заранее спасибо за помощь .
-
Сообщение от
Wazza
Удяляю CCleaner-ом из автозагрузки , после ребута опять появляется запись и соотв. запущенный процесс .
Оно как служба запускается. Запустите АВЗ, Сервис/Диспетчер служб и процессов/Службы/Все, найдите что Вам мешает и удалите.
Сообщение от
Wazza
После замены userinit проблема с установкой обновлений должна исчезнуть или делать новые логи ?
Логи сделать в любом случае.
Рабочий Стол/Свойства....эхм, не знаю, как по русски дальше, см картинку . Там внизу крючок Чистить рабочий стол каждые 60 дней. Удалите
-
-
Junior Member
- Вес репутации
- 60
Спасибо за советы ! Службу GoogleToolbar убил из avz-ы , но после ребута в процессах он всеравно вылез , ничего убил всю папку icesword-ом .
Насчет
Рабочий Стол/Свойства....эхм, не знаю, как по русски дальше, см картинку . Там внизу крючок Чистить рабочий стол каждые 60 дней. Удалите
Удалил , изменения применил , после ребута опять вылезло оповещение про ярлыки .
И , главное , опять не могу сделать 3й лог , комп уходит в ребут .
Последний раз редактировалось Wazza; 05.10.2008 в 18:44.
-
Сообщение от
Wazza
Удалил , изменения применил , после ребута опять вылезло оповещение про ярлыки .
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Desktop\CleanupWiz,
Typ: REG_DWORD
• Name: NoRun
• Value: 1
Сообщение от
Wazza
И , главное , опять не могу сделать 3й лог , комп уходит в ребут .
C:\Program Files\RegCure\RegCure.exe - что можете об этой проге нам поведать? У меня такое дурное чувство, то она нам всю малину гадит.
Последний раз редактировалось Rene-gad; 22.08.2008 в 17:23.
-
-
Junior Member
- Вес репутации
- 60
1.Не удается открыть "CleanupWiz". Ошибка при открытии раздела .
2.RegCure щас грохну .
-
Сообщение от
Wazza
1.Не удается открыть "CleanupWiz". Ошибка при открытии раздела .
- Выполните скрипт
Код:
begin
executerepair(9);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
После перезагрузки проинформируйте появился доступ в реестр.
-
-
Junior Member
- Вес репутации
- 60
Нет , доступа к разделу не появилось .
RegCure удалил , но 3й лог так сделать и не получается .
Добавлено через 2 минуты
Прогнать винду в порядке обновления ?
Последний раз редактировалось Wazza; 22.08.2008 в 17:42.
Причина: Добавлено
-
Сообщение от
Wazza
Нет , доступа к разделу не появилось .
А в безопасном режиме?
Сообщение от
Wazza
Прогнать винду в порядке обновления ?
Так не получается же у Вас установить СП3.
-
-
Junior Member
- Вес репутации
- 60
Да , и когда пытаюсь поставить СП 3 , пишед , что ntoskrnl.exe занят другим приложением .
Добавлено через 1 минуту
СП 3 не получается , а переустановить виндоус в порядке обновления я думаю точно получится =)
Последний раз редактировалось Wazza; 22.08.2008 в 17:47.
Причина: Добавлено