не ставиться sp3 на winxp sp2

Printable View

18.05.2009, 14:17
alexyeyev

не ставиться sp3 на winxp sp2

не ставиться sp3 на winxp sp2
на одном из этапов появляется сообщение отказано в доступе.
18.05.2009, 15:42
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\kusers.dll','');
QuarantineFile('C:\WINDOWS\system32\dbefcabacfbbfc.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethwqisr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ethodcyl.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\AMWYNFQQ.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:exe.exe','');
DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\AMWYNFQQ.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ethodcyl.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ethwqisr.sys');
DeleteFile('C:\WINDOWS\system32\dbefcabacfbbfc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('FCF');
BC_DeleteSvc('ethwqisr');
BC_DeleteSvc('ethodcyl');
BC_DeleteSvc('be60ae7c');
BC_DeleteSvc('9c572f45026c333f3cd6fab489926f64');
BC_DeleteSvc('8fd79a28');
BC_DeleteSvc('5ebc9ab8');
BC_DeleteSvc('48c373bd');
BC_DeleteSvc('AMWYNFQQ');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=45983[/url]).
Сделайте новые логи.
18.05.2009, 16:58
alexyeyev

обновил логи

обновил логи и выложил карантин

дополнительная информация

после ввода логина и пароля не загружается оболочка виндоуз.
просто голубой цвет фона, можна нажать ctrl+alt+del запустить таск мереджер и через него explorer.exe
18.05.2009, 17:05
Bratez

Очень хорошо.
Осталось дождаться ответа аналитиков по поводу файла [I]C:\WINDOWS\system32\kusers.dll[/I].

Пока пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O20 - Winlogon Notify: dbefcabacfbbfc - C:\WINDOWS\
[/code]
Выполните это: [url]http://virusinfo.info/showthread.php?t=43700[/url]
и снова попробуйте установить SP3.
18.05.2009, 17:48
alexyeyev

проделал все шаги инструкции.
сервис пак 3 поставился.

оболочка сама по себе дальше не запускается, только через ctrl+alt+del таск менеджер
20.05.2009, 15:05
alexyeyev

после очередной проверки Kis с последними базами

удалено: троянская программа Trojan.Win32.BHO.swf Файл: c:\windows\system32\kusers.dll

оболочка explorer.exe начала запускаться сама
проблема которая осталась :
это её длительный запуск порядка 3-4 минут.
20.05.2009, 20:16
light59

Почистите систему от мусора [URL="http://download.piriform.com/ccsetup219.exe"]CCleaner[/URL].

После этого повторите логи.
21.05.2009, 12:14
alexyeyev

почистил.
логи выложил.
21.05.2009, 13:09
alexyeyev

наблюдение:
что-то само снимамет галочку в настройке отключить восстановление на всех дисках
22.05.2009, 16:02
alexyeyev

наблюдение:
через msconfig включил диагностический запуск.
оболочка запустилась быстро.
начал включать службы по одной
оболочка начала тормозить на службе
"Определение оборудования оболочки"
23.05.2009, 16:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ethwqisr.sys - [B]HEUR:Backdoor.Win32.Generic[/B] ( BitDefender: Trojan.Rlsloupa.A )[*] c:\windows\system32\kusers.dll - [B]Trojan.Win32.BHO.swf[/B] ( BitDefender: Trojan.Generic.1795758 )[/LIST][/LIST]