-
Junior Member
- Вес репутации
- 53
Windows Installer после Winlock.938....
Всем привет! На днях боролся с winlock.938, вроде бы победил его с помощью CureIt... Сейчас хотел установить новый браузер, а мне пишет - Не удалось получить доступ к службе Windows Installer.... ну и т.д...
Что я сделал на этот момент:
1) разрегистрировал приложение msiexec.exe затем зарегистрировал по новой.
2) проверил путь в реестре, правильно ли указан путь где расположен msiexec.exe
3) Переименовал библиотеки и сам msiexec во временные имена. Скачал WindowsInstaller-KB893803-v2-x86.exe, пытаюсь установить, а мне пишет - ПРограмма обнаружила что версия уже установленного пакета выше. И отказывает в установке.
4) Накатил повторно SP3
5) Пытался проверить локальную политику - и обнаружил, что стоит Аудит доступа к службе каталога - отказ. При том, что до утановки SP3 никаких политик не отображалось... НО! Выдавалось сообщение при запуске консоля - что не найден файл настроек... После наката SP3 ошибка пропала.
6) ПРоверил состояние службы - Windows Installer - запущен. Режим - Вручную. Ставил и Авто... толку нет.
7) В групповых настройках безопасности вроде все чисто. Политика - Не задана везде....
Теперь мне нужна помощь зала )))) Свой мозг я уже вынес....
Провел тест AVZ, логи приложены.
Установить HijackThis.msi не удалось по этой же причине...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!!!
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\hn.exe','');
QuarantineFile('C:\WINDOWS\878Map.drv','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SaiH075C.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk41.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\mcdevice.sys','');
QuarantineFile('C:\WINDOWS\system32\r_server.exe','');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\hn.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам
-
-
Junior Member
- Вес репутации
- 53
Все выполнил. Логи приложены. Жду дальнейших распоряжений
Последний раз редактировалось Grizzly; 30.01.2010 в 10:56.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\r_server.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.22
-