неполадка системы безопасности

[system7]

Помогите, ни одна из программ проверяющая комп на спам, чистка регистра, перестали работать - проверять, обновления с офиц. сайта Microsoft Update показывает каких обновлений не хватает, но не может их установить? винда лицензионная.

Обновление системы безопасности для Windows XP (KB890859)

Обновление системы безопасности для Windows XP (KB931784)

Была обнаружена неполадка системы безопасности, позволяющая злоумышленнику удаленно нарушить защиту компьютера с операционной системой Windows и получить возможность управления им. Чтобы защитить компьютер, установите данное обновление, выпущенное корпорацией Майкрософт. После установки этого компонента может потребоваться перезагрузка компьютера. (я писала в другой теме, о неполадке БП может это с ним все связано?)

[Matias]

ни одна из программ проверяющая комп на спам, чистка регистра, перестали работать - проверять, обновления с офиц. сайта Microsoft Update показывает каких обновлений не хватает, но не может их установить

Прикрепите к следующему сообщению файл WindowsUpdate.log из папки Windows. Если подозреваете, что у вас завелись звери, выполните правила оформления запроса.

Изменено 1 июля, 2008 пользователем Matias

[system7]

Прикрепите к следующему сообщению файл WindowsUpdate.log из папки Windows. Если подозреваете, что у вас завелись звери, выполните правила оформления запроса.

я проверила, что с апреля месяца обновления по обеспечению безопасности не устанавливались на комп. это обновление от 05.04.08, остальные не открываются (в доступе отказано). И еще у меня отключилась служба Центра обеспечения безопасности, вышло сообщение- либо не была запущена, либо остановлена??? я не знаю как и где ее включить. И еще вопрос у меня подключения к локальной сети 2? одно RCA USB Cabel modem, второе - Intel®mpro/100VE Network connection, оба включены.??? почему их 2? странно все случилось со вчерашнего вечера,я входила в систему-последняя нормальная настройка,ничего не изменилось, safe mode не дал войти-неработает ,предлагает войти с последней нормальной настройкой. Короче незнаю как и словами то выразить мое состояние и компа!? :) :)

_temp_dd_msxml_retMSI.txt

_temp_dd_msxml_retMSI.txt

[Matias]

Если безопасный режим не запускается, выполните п.3 правил в обычном режиме.

Изменено 1 июля, 2008 пользователем Matias

[system7]

Если безопасный режим не запускается, выполните п.2 правил в обычном режиме.

Какой пункт 2? там есть:

2. Если у Вас, установлен Dr.Web (последняя версия программы с актуальными антивирусными базами) скачайте AVPTool.

2. Очистите временные файлы.

Приложение 2. Как включить безопасный режим.

При появлении меню загрузки Windows нажимаем на клавишу "F8", чтобы на экране появилось меню дополнительных режимов загрузки. Теперь передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи "Safe Mode", нажимаем "Enter".

У меня неработаем безопасный режим.

ни одна из программ незапускается Cureit, AVPtool, AVZ, Hijack, пишет что даный фаил не является приложением Win32. пыталась скачать, писала в гугле каждую - открывала наверное по 10 сайтов каждой программы, но ниодна не скачивается - Невозможно подключиться. Возможно, FTP-сервер занят. интернет вроде работает, а скачивать не дает. :)

[akoK]

ни одна из программ незапускается Cureit, AVPtool, AVZ, Hijack, пишет что даный фаил не является приложением Win32

Тогда скачайте эту версию AVZ и подготовьте логи.

Изменено 1 июля, 2008 пользователем akoK

[system7]

да, видать у меня действительно какой то червь!IceSword скачала, но он не открылся-ошибка поврежденный фаил, не могу запустить Hijack, не могу переименовывать папки, как только переименовываю они куда то пропадают прям перед глазами! пришлось оставить название -новая папка, что смогла - сделала посмотрите пожайлуста.

вот забыла прикрепить :rolleyes:

Новая_папка.zip

Новая_папка.zip

[akoK]

Привет тебе бигли :rolleyes:

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('%System32%\drivers\srosa.sys','');QuarantineFile('%System32%\drivers\hldrrr.exe','');QuarantineFile('%System32%\wintems.exe','');QuarantineFile('%System32%\drivers\mdelk.exe','');QuarantineFile('%System32%\mdelk.exe','');DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить такой скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('%System32%\drivers\srosa.sys','');QuarantineFile('%System32%\drivers\hldrrr.exe','');QuarantineFile('%System32%\wintems.exe','');QuarantineFile('%System32%\drivers\mdelk.exe','');QuarantineFile('%System32%\mdelk.exe','');DeleteFile('%System32%\drivers\hldrrr.exe');DeleteFile('%System32%\drivers\srosa.sys');DeleteFile('%System32%\wintems.exe');DeleteFile('%System32%\drivers\mdelk.exe');DeleteFile('%System32%\mdelk.exe');BC_ImportALL;ExecuteSysClean;If DirectoryExists('%System32%\drivers\down') thenbeginDeleteFileMask('%System32%\drivers\down', '*.*', true);DeleteDirectory('%System32%\drivers\down');If DirectoryExists('%System32%\drivers\down') thenAddToLog('Папка down не удалена') else AddToLog('Папка down удалена');endelseAddToLog('Папки down нет');If DirectoryExists('%System32%\drivers\downld') thenbeginDeleteFileMask('%System32%\drivers\downld', '*.*', true);DeleteDirectory('%System32%\drivers\downld');If DirectoryExists('%System32%\drivers\downld') thenAddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');endelseAddToLog('Папки downld нет');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then beginAddToLog('Обнаружен параметр в реестре drvsyskit');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') elseAddToLog('Параметр drvsyskit успешно удален');end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then beginAddToLog('Обнаружен параметр в реестре german.exe');RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') elseAddToLog('Параметр german.exe успешно удален');end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenbeginAddToLog('Найден ключ реестра FirstRRRun');RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') thenAddToLog('Ошибка удаления ключа реестра FirstRRRun') elseAddToLog('ключ реестра FirstRRRun успешно удален');end;SaveLog(GetAVZDirectory + 'B_d.txt');BC_DeleteSvc('srosa');BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Прикрепите к следующему сообщению:

boot_clr_B_d.log и B_d.txt

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Повторите логи.

Изменено 2 июля, 2008 пользователем akoK