[решено] Не могу обновить ОС через W.U.(логи AVZ,HijackThis)

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не могу обновить ОС через W.U.(логи AVZ,HijackThis)

У меня вот перезагружать каждый раз не получается.
Сделал наконец-то логи.
Антивирь(avast) забыл вырубить.

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрвол). Включите брандмауэр Windows

Пофиксить в HiJack

Код:

O2 - BHO: (no name) - autorunsdisabled - (no file)

O20 - Winlogon Notify: __c00F73E1 - C:\WINDOWS\

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('c:\program Files\ThunMail\testabd.exe','');

 QuarantineFile('C:\WINDOWS\system32\svcnost.exe,','');

 QuarantineFile('C:\WINDOWS\TEMP\zchMiB.exe','');

RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','Java Syncro');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','Java Syncro');

 DeleteFile('C:\WINDOWS\system32\svcnost.exe,');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon-','System');

 DeleteFile('c:\program Files\ThunMail\testabd.exe');

 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svc');

 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svc');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполните дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Письмо от Касперского(newvirus@kaspersky.com)

Hello,

No malicious software was found in the attached file.

>
>
--
Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
_________________________________________________________

Лог от GMER.

roksi, Сохраните текст ниже в файл cleanup.bat, в ту же папку, где находится 5q6jjzbe.exe - случайное имя (gmer)

Код:

5q6jjzbe.exe -del service qfjpnb

5q6jjzbe.exe -del file "C:\WINDOWS\system32\zfyspqu.dll"

5q6jjzbe.exe -del file "C:\WINDOWS\system32\qmgr.dll"

5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset001\Services\qfjpnb"

5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset004\Services\qfjpnb"

5q6jjzbe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qfjpnb"

5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset006\Services\qfjpnb"

5q6jjzbe.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

+ к Drongo

Обычные логи тоже новые сделайте

При запуске батника вылетело что толи qfjpnb толи zfyspqu.dll не найден :( не успел посмотреть.
Ещё комп захотел диск ХР, вроде как системный файл удалился. Комп перезагрузился, делаю новые логи.

Вроде как ничё не нашло, но при попытке включить BITS - кричит Ошибка 5: Отказано в доступе.
В реестре нашёл это:

Код:

Раздел:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS 

Название класса:        <Класс отсутствует> 

Последнее время записи:   среда 04.11.2009 - 0:45 Elmar 

Параметр 0   

Название:            StateIndex   

Тип:            REG_DWORD   

Значение:            0x1  

Параметр 1   

Название:            ServiceDLL   

Тип:            REG_SZ   

Значение:            C:\WINDOWS\system32\BITS\qmgr.dll

5q6jjzbe.exe -del file "C:\WINDOWS\system32\qmgr.dll" удалялся с папки system32
а в реестре он ещё и в папке system32\BITS (хотя папки BITS в system32 нету)

Логи (AVZ, HijackThis, gmer)

Попробуйте зайти на сайт обновления и загрузить по новой службу BITS (Обновление для фоновой интеллектуальной службы передачи )
Методы устранения неполадок со службой BITS - http://support.microsoft.com/kb/842309/ru

или

Вставьте диск с дистрибутивом windows в dvd-привод, выполните: пуск->выполнить-> наберите в строке sfc /scannow дождитесь окончания проверки и перезагрузите компьютер.

Вам также необходимо обновить вашу Windows XP SP2 до SP3 . Загрузив сервис пак SP3 с центра загрузки Майкрософт . Сервис-пак SP3

можно загрузить и образ диска с SP3

Цитата:

Цитата iskander-k

Вставьте диск с дистрибутивом windows в dvd-привод, выполните: пуск->выполнить-> наберите в строке sfc /scannow дождитесь окончания проверки и перезагрузите компьютер »

Я изменил пуск - выполнить, на новый, тот что с заметкой. При проверке системных файлов изменится он?
Ибо можно их диска разархивировать только файлы которые нужны для BITS?

Можете найти нужные файлы на аналогичной системе СП2 и скопировать к себе.

Цитата:

Цитата roksi

Ибо можно их диска разархивировать только файлы которые нужны для BITS »

Насколько я помню - когда обновлял систему через апдейт(о-о-очень давно) то сначала обновлялась BITS . Через веб - апдейт

Получилось!!!
BITS - кричит Ошибка 5: Отказано в доступе.
Решил тем что HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS добавил сюда SYSTEM с полными правами.
И всё пошло сразу.

Цитата:

Цитата roksi

Решил тем что... »

Молодец!

Всем большое спасибо за помощь.
Но, вышла ещё одна проблема, появился файл qmgr.dll.tmp (не удаляется)
Антивирь каждые 3 секунды проверяет его, и комп каждые 10 секунд как бы виснет с малым интервалом.

Цитата:

Цитата roksi

появился файл qmgr.dll.tmp (не удаляется) »

Попробуйте удалить его программой - Unlocker

C:\WINDOWS\system32\SetupNT.sys проверьте на virustotal Ссылку на результат проверки сообщите

Выполните скрипт в AVZ

Код:

var j:integer; NumStr, Str:string;

begin

for j:=0 to 999 do

 begin

    if j=0 then

        NumStr:='CurrentControlSet' else 

        if j<10 then

            NumStr:='ControlSet00'+IntToStr(j) else

            if j<100 then

                NumStr:='ControlSet0'+IntToStr(j) else

                NumStr:='ControlSet'+IntToStr(j);

 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then

  begin

  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');

  Str:= 'Текущее значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS - ' + RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath');

 AddToLog(Str);

  end;

 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then

  begin 

  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');

 Str:= 'Текущее значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv - ' + RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath');

AddToLog(Str); 

  end;

 end;

SaveLog('c:\updates.log');

end.

c:\updates.log прикрепите к сообщению

Сделал копию файлов(взял их с такой же ХР но только с другого компа и вставил себе), их постоянно начал проверять антивирь и естественно зависая:
Bitsprx2.dll
Bitsprx3.dll
Qmgr.dll
Qmgrprxy.dll
Временно занёс их в "белый" список чтоб не проверял антивирус. Комп нормально начал работать.

Цитата:

Цитата thyrex

C:\WINDOWS\system32\SetupNT.sys проверьте на virustotal Ссылку на результат проверки сообщите »

MD5: 549ea830a5d9edd9cd14311126c2849b
First received: 2007.06.28 11:07:22 UTC
Дата: 2009.11.03 15:14:44 UTC [>4D]
Результаты: 0/40
Permalink: analisis/86dc275015fc44f1bf0538a2ccadd38aa510145e1d96f3673ef6f4ba85f8c3ce-1257261284

Цитата:

Цитата thyrex

Выполните скрипт в AVZ »

BITS включается/выключается нормально.

А если включить Автом. Обнов. - выходит Ошибка 2: Не найден указанный файл.

Строки в порядке

Какой файл не находит?

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Цитата:

Цитата roksi

Может тоже самое с Авт. Обн. - где-то в реестре не правильный путь к файлу идёт?

Готовлю лог Malwarebytes Antimalware.

Выложил скрины событий.

Цитата:

Цитата thyrex

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1 »

Судя по логу МБАМ.

Запустите снова МБАМ и удалите найденное кроме этих ключей(см ниже) снять с них галки.

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Имейте ввиду что МБАМ неравнодушен к крекам и кейгенам - он может их удалить. Всё что удалено МБАМ можно восстановить из карантина.

Перед МБАМ проверьте

Код:

C:\WINDOWS\system32\seneka.dat 

C:\WINDOWS\system32\senekadf.dat 

C:\WINDOWS\system32\senekalog.dat

на http://www.virustotal.com/ru/

Всё отлично, всем спасибо, обновление пошло!!!