-
Junior Member
- Вес репутации
- 60
WindowsUpdate
Приветствую всех.
У меня такая проблема , у меня winxPsP2 (oem rus) , пару дней назад делал востановление системы (с помощью oem cd) , сразу после установки поставил ie7 (ставил с винта брал на сайте микрософта
) .
проблема в том что перестал работать windows update то есть он говорит о наличие новых обновлений , и придлагает выбор установки (ручная или быстрая) не зависимо от выбора пишет что некоторые обновления установиться не удалось и листинг обновлений которые установить не удалось (ну там все обновления )
Служба Автомотическое Обновление включена
Сайт http://www.update.microsoft.com/wind...ult.aspx?ln=ru Не грузиться через эксплорер
(Internet Explorer не может отобразить эту веб-страницу
Возможные причины:
Нет подключения к Интернету.
На веб-узле возникли неполадки.
Возможно, сделана опечатка в адресе.)
Експлорер вообще не отображает сайты микрософта , остальные показывает (После запуска Avz Скрипт лечения\карантина, и перезагрузке ie смог зайти на сайт microsoft но устоновить не чего не получаеться )
Firefox показывает сайты микрософта (Последние два дня фаер фокс полюбил закрываться самостоятельно)
Также AVZ Говорит что
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)
Может причина в этом???
Еще на компе стоит unhackme (rootkid detector) у которого в exclusion list >> allowed list >> добавлен spupdsvc как я понимаю это тоже имеет отношение к windows update
Зарание спасибо
P/s
Подскажите как испрвить вот это (и стоит ли)
Тoже из лога Avz
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса
Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\ws2_32.dll. Результат: Файл прошел контроль подлинности Microsoft
Последний раз редактировалось pooh4; 11.01.2008 в 00:47.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('C:\WINDOWS\system32\WPDShServiceObj.dll','');
QuarantineFile('C:\Documents and Settings\Misha.POOH.000\Главное меню\Программы\Автозагрузка\WCAutoSave.exe','');
QuarantineFile('C:\DOCUME~1\MISHAP~1.000\LOCALS~1\Temp\AMDPCI.sys','');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{53707962-6F74-2D53-2644-206D7942484F}');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Добавлено через 2 минуты
оффтоп
у меня подобная ситуация была...
пока не приостановил проактивную защиту на касперском
Добавлено через 2 минуты
Да приостановите
Outpost Firewall может вызвать BSOD
Добавлено через 42 секунды
C:\WINDOWS\system32\drivers\klif.sys - Касперский откуда?
Добавлено через 1 минуту
p.s. Outpost Firewall поробуйте отключить и выйти
http://www.update.microsoft.com/wind...ult.aspx?ln=ru
Последний раз редактировалось akoK; 11.01.2008 в 01:02.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
re offtop
Касперского и outpost'a на компе нету уже давно.
щас выполню скрипт и отпишусь
-
Да? А куски этих программ остались
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 60
Ну может почистить эти куски както можно?
Только что выполнил скрипт и при загрузке компа
rootkitdetector (unhackme) чтото обнаружил прилагаю bmp в zip'e
Последний раз редактировалось Макcим; 11.01.2008 в 01:35.
-
в карантине ....
C:\WINDOWS\system32\iertutil.dll
C:\WINDOWS\system32\WPDShServiceObj.dll ... оба чистые ...
почистим хвосты ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\vdqwnzm2.sys','');
StopService('klif');
DeleteFile('C:\Program Files\Agnitum\Outpost Firewall\feedback.exe');
DeleteFile('C:\Program Files\Agnitum\Outpost Firewall\outpost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\klif.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
-
http://virusinfo.info/upload_virus.php?tid=16239
Карантин отправляем сюда
Но у Вас он все равно пуст...
Поищите через AVZ vdqwnzm2.sys и пришлите по правилам
-
-
Junior Member
- Вес репутации
- 60
через AVZ Не находиться. (как искать файлы через avz прочитал).
Мне кажеться что мой unhackme Грохает его до загруски windows ,, при необходимости могу деинсталировать unhackme и попробывать снова.
-
-
-
Junior Member
- Вес репутации
- 60
Пока ищу vdqwnzm2.sys
Меня вот это смущает
Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\ws2_32.dll. Результат: Файл прошел контроль подлинности Microsoft
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (33) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:WSAStartup (115) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:connect (4) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getpeername (5) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:getsockname (6) перехвачена, метод CodeHijack (метод не определен)
Функция ws2_32.dll:socket (23) перехвачена, метод CodeHijack (метод не определен)
Что это и нужноли исправить
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса
-
Сообщение от
pooh4
Меня вот это смущает
Файл: C:\WINDOWS\system32\iertutil.dll. Результат: Файл НЕ прошел контроль подлинности Microsoft
Файл: C:\WINDOWS\system32\ws2_32.dll. Результат: Файл прошел контроль подлинности Microsoft
C:\WINDOWS\system32\iertutil.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\iertutil.dll>>> Поведенческий анализ:
файл нормальный ... проверяли выше
Сообщение от
pooh4
Что это и нужноли исправить
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
компьютер домашний \ рабочий
локальная сеть есть\ нет ... ?
Сообщение от
pooh4
9. Мастер поиска и устранения проблем
>> Обнаружен отладчик системного процесса
АВЗ - мастер поиска и устранения проблем - выбрать все проблемы - устранить ...
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
файл нормальный ... проверяли выше
компьютер домашний \ рабочий
локальная сеть есть\ нет ... ?
АВЗ - мастер поиска и устранения проблем - выбрать все проблемы - устранить ...
Комп Домашний\ локальная сеть вопрос времени буду ноуты подключать
AVz не находит vdqwnzm2.sys...
-
если сеть планируется ....
выполните скрипт ...
Код:
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
унхак продолжает ругаться на vdqwnzm2.sys.. ?
-
-
Junior Member
- Вес репутации
- 60
Унхака больше нет.
Но и windows update Пока не работает и Найти не получаться vdqwnzm2.sys
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-