Не обновляется KIS 2011 через интернет. Ошибка при подключении к источнику обновлений

**alelvl** · 16.12.2010, 16:35

Компьютер стоит в университете.Подключен к локальной сети и к интернет постоянно (не требует ввода логина и пароля).Был инфицирован.При подключении USB flash накопителей периодически происходило их заражение.На другом компьютере Kaspersky детектировал на флешке Worm.Win32.Radminer и еще что-то,но пользователь не помит названия и не может посмотреть в отчетах, так как удалила их. При заражении USB flash этот вирус Radminer создавал на флешке скрытую папку с именем " \..\" , не видимую даже при включенном показе скрытых файлов и папок и через Total Commander. И прятал туда все папки, расположенные на флешке, а вместо них подставлял свои файлы с тем же названием что и у папки, но с расширением ".exe". Несколько раз до диагностики по вашей методике производилась проверка компьютера антивирусной утилитой Kaspersky Virus Removal Tool в безопасном режиме,находила и удаляла файлы вируса. Но потом он откуда-то опять появлялся. На компьютере работала антивирусная программа NOD 32, но она никак не реагировала на действия вредоносных программ и не обновлялась.Была удалена перед исследованием систмы по инструкции virusinfo.Последнее сканирование антивирусной утилитой Kaspersky Virus Removal с последними антивирусными базами и с максимальными настройками в безопасном режиме ничего не выявило.После исследования был установлен KIS 2011 (пробная версия) и обновлен с флешки с использованием утилиты обновления.Чераз интернет не обновляется (серверы лаборатории Касперского выбраны в качестве источника обновлений). Привожу последние строчки из отчета:
"...14.12.2010 17:33:10 Выбран источник обновлений ftp://downloads3.kaspersky-labs.com/
14.12.2010 17:33:31 Соединение разорвано ftp://downloads3.kaspersky-labs.com:21/
14.12.2010 17:33:31 Сбой задачи Соединение разорвано".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 16.12.2010, 16:57

Сами прописывали? Если нет, профиксите в HijackThis

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.151:8080

1.Профиксите в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\System32\userinit.exe
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142}');
 QuarantineFile('C:\Driver\Files\zerX.exe','');
 QuarantineFile('C:\Program Files\GamesBar\oberontb.dll','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-8003682892-5100311376-213332900-9626\wingn.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-8003682892-5100311376-213332900-9626\wingn.exe');
 DeleteFile('C:\Driver\Files\zerX.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
 DeleteFileMask('C:\Driver', '*.*', true);
 DeleteDirectory('C:\Driver');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

**alelvl** · 16.12.2010, 17:02

Смогу сделать только завтра, когда поеду в университет. Спасибо!

**alelvl** · 16.12.2010, 18:38

Блин не от того компьютера лог HiJackThis отправил :-( Вот лог, который нужен

**polword** · 17.12.2010, 07:15

я то же хотел спросить про это. А то в одном логе SP2 в другом SP3. Сейчас все встало на свои места

**alelvl** · 17.12.2010, 15:11

Все сделал как вы просили.. )

**polword** · 17.12.2010, 16:58

Сообщение от polword

Сами прописывали?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.151:8080

Если нет, профиксите в HijackThis

-ваше?

- удалите в MBAM

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142} (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\MSsrtn\xn (Malware.Trace) -> Value: xn -> No action taken.


Заражённые файлы:
c:\documents and settings\Гульшат\рабочий стол\antivirus.lnk (Rogue.AntiVirus) -> No action taken.
c:\WINDOWS.0\system32\config\svchost.exe (Trojan.StartPage) -> No action taken.

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 RebootWindows(true);
end.

Что с проблемой?

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.4 или удалите старый.

**alelvl** · 18.12.2010, 02:51

Благодарен вам) Смогу выполнить только через день по не зависящим от меня причинам)Спасибо... О результатах сообщу обязательно. Боюсь делать обновление до SP3,так как есть большие сомнения в том что винда лицензионная)) Воспользуюсь вашими рекомендациями по установке критических обновлений без установки SP3)))

Добавлено через 9 минут

Сообщение от polword
Сами прописывали?
Цитата:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.151:8080

Если нет, профиксите в HijackThis

-ваше?

Я не знаю кто это прописывал и не знаю у кого узнать, там все мутно в университете)) Может это нужно для университетской сети локальной не знаю.. А Вы не поможете советом как поступить?

**alelvl** · 20.12.2010, 03:22

Завтра поеду лечить))

**alelvl** · 24.12.2010, 00:40

В MBAM удалил:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C735612} (Worm.AutoRun).
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-74CC2A322142} (Backdoor.IRCBot).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun).
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\MSsrtn\xn (Malware.Trace) -> Value: xn.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0).
Заражённые файлы:
c:\WINDOWS.0\system32\config\svchost.exe (Trojan.StartPage).

Скрипт в AVZ выполнил, SP3 установил,установил критические обновления и Internet-Explorer 8, обновил Java, поставил Adobe Reader 9.4.
Проблема осталась: KIS 2011 все равно не хочет через интернет обновляться. Кстати MBAM и AVZ тоже не обновляются там через интернет. Я даже пробовал через беспрововодной USB-3G-модем выхоюить в интернет и обновлять KIS 2011. При этом способе он вообще выдает сообщение, что источник не найден. Даже не знаю в чем дело...
Вот на всякий случай после всех манипуляций с системой сделал повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) :

**polword** · 24.12.2010, 06:08

-Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.151:8080
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Program Files\PRMT6\PRMTIE\prmtie5.htm (file missing)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing)
O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Program Files\PRMT6\PRMTIE\options.htm (file missing)

**CyberHelper** · 25.12.2010, 06:08

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Не обновляется KIS 2011 через интернет. Ошибка при подключении к источнику обновлений (заявка № 93690)

Опции темы

Не обновляется KIS 2011 через интернет. Ошибка при подключении к источнику обновлений

Итог лечения

Похожие темы

ошибка при подключении к источнику обновления

vista не обновляется (постоянно ошибка при обновлении выпадает), IE не открывает страницы

ошибка soundmix.exe при подключении принтера

При подключении принтера ошибка Soundmix.exe

Проблемы при подключении к интернету через gprs

Ваши права в разделе