WindowsUpdate

Приветствую всех.
У меня такая проблема , у меня winxPsP2 (oem rus) , пару дней назад делал востановление системы (с помощью oem cd) , сразу после установки поставил ie7 (ставил с винта брал на сайте микрософта
) .
проблема в том что перестал работать windows update то есть он говорит о наличие новых обновлений , и придлагает выбор установки (ручная или быстрая) не зависимо от выбора пишет что некоторые обновления установиться не удалось и листинг обновлений которые установить не удалось (ну там все обновления )
Служба Автомотическое Обновление включена

Сайт [url]http://www.update.microsoft.com/wind...ult.aspx?ln=ru[/url] Не грузиться через эксплорер
(Internet Explorer не может отобразить эту веб-страницу
Возможные причины:
Нет подключения к Интернету.
На веб-узле возникли неполадки.
Возможно, сделана опечатка в адресе.)

Експлорер вообще не отображает сайты микрософта , остальные показывает (После запуска Avz Скрипт лечения\карантина, и перезагрузке ie смог зайти на сайт microsoft но устоновить не чего не получаеться )

Firefox показывает сайты микрософта (Последние два дня фаер фокс полюбил закрываться самостоятельно)
Также AVZ Говорит что
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:

Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)

Может причина в этом???

Еще на компе стоит unhackme (rootkid detector) у которого в exclusion list >> allowed list >> добавлен spupdsvc как я понимаю это тоже имеет отношение к windows update


Зарание спасибо

P/s

Подскажите как испрвить вот это (и стоит ли)
Тoже из лога Avz
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса
Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\ws2_32.dll. Результат: Файл прошел контроль подлинности Microsoft

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('C:\WINDOWS\system32\WPDShServiceObj.dll','');
QuarantineFile('C:\Documents and Settings\Misha.POOH.000\Главное меню\Программы\Автозагрузка\WCAutoSave.exe','');
QuarantineFile('C:\DOCUME~1\MISHAP~1.000\LOCALS~1\Temp\AMDPCI.sys','');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{53707962-6F74-2D53-2644-206D7942484F}');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

оффтоп
у меня подобная ситуация была...
пока не приостановил проактивную защиту на касперском

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Да приостановите
Outpost Firewall может вызвать BSOD

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

C:\WINDOWS\system32\drivers\klif.sys - Касперский откуда?:)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

p.s. Outpost Firewall поробуйте отключить и выйти
[url]http://www.update.microsoft.com/wind...ult.aspx?ln=ru[/url]

re offtop
Касперского и outpost'a на компе нету уже давно.

щас выполню скрипт и отпишусь

Да? А куски этих программ остались:)

Ну может почистить эти куски както можно?


Только что выполнил скрипт и при загрузке компа
rootkitdetector (unhackme) чтото обнаружил прилагаю bmp в zip'e

в карантине ....
C:\WINDOWS\system32\iertutil.dll
C:\WINDOWS\system32\WPDShServiceObj.dll ... оба чистые ...
почистим хвосты ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdqwnzm2.sys','');
StopService('klif');
DeleteFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe');
DeleteFile('C:\Program Files\Agnitum\Outpost Firewall\outpost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Высылаю карантин

[url]http://virusinfo.info/upload_virus.php?tid=16239[/url]
Карантин отправляем сюда
Но у Вас он все равно пуст...
Поищите через AVZ vdqwnzm2.sys и пришлите по правилам

через AVZ Не находиться. (как искать файлы через avz прочитал).

Мне кажеться что мой unhackme Грохает его до загруски windows ,, при необходимости могу деинсталировать unhackme и попробывать снова.

Попробуйте

Пока ищу vdqwnzm2.sys


Меня вот это смущает
[B]Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\ws2_32.dll. Результат: Файл прошел контроль подлинности Microsoft[/B]


C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:


Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)




Что это и нужноли исправить
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса

[QUOTE=pooh4;170840]
Меня вот это смущает
[B]Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\ws2_32.dll. Результат: Файл прошел контроль подлинности Microsoft[/B]
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:
[/QUOTE]
файл нормальный ... проверяли выше

[QUOTE=pooh4;170840]
Что это и нужноли исправить
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
[/QUOTE]
компьютер домашний \ рабочий
локальная сеть есть\ нет ... ?
[QUOTE=pooh4;170840]
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса[/QUOTE]

АВЗ - мастер поиска и устранения проблем - выбрать все проблемы - устранить ...

[QUOTE=V_Bond;170845]файл нормальный ... проверяли выше


компьютер домашний \ рабочий
локальная сеть есть\ нет ... ?


АВЗ - мастер поиска и устранения проблем - выбрать все проблемы - устранить ...[/QUOTE]

Комп Домашний\ локальная сеть вопрос времени буду ноуты подключать

AVz не находит vdqwnzm2.sys...

если сеть планируется ....
выполните скрипт ...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]

унхак продолжает ругаться на vdqwnzm2.sys.. ?

Унхака больше нет.
Но и windows update Пока не работает и Найти не получаться vdqwnzm2.sys

[URL="http://support.microsoft.com/kb/906602/"] о windows update [/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]