[решено] Не обновляется NOD32 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Не обновляется NOD32 (http://forum.oszone.net/showthread.php?t=166640)

Не обновляется NOD32

Как я понял это довольно часто встречающаяся проблема - не обновляется нод32, броузеры не открывают сайты антивирусов. Сканирование самим нодом, Anti-Malware, СureIt! не помогли. Прилагаю лог HijackThis, AVZ так и не смог скачать, т.к. его сайт также блочится.

Цитата:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:57, on 07.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Documents and Settings\Андрей\Мои документы\MAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\123425.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=47639
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Андрей\Мои документы\Mra\dll\newmrasearch.dll
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Фёдор\софт\ActiveX\AcroIEHelper.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - E:\ФЁДОР\СОФТ\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: (no name) - {B5DD9986-22C4-49AD-9713-196EC17FB503} - C:\WINDOWS\system32\comca.dll (file missing)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - E:\Фёдор\софт\Download Master\dmbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MAgent] C:\Documents and Settings\Андрей\Мои документы\MAgent.exe -LM
O4 - HKLM\..\Run: [UVS11 Preload] E:\Фёдор\софт\ЮЛЕД ВИДЕО СТУДИО ОЛОЛОООЛОЛОЛОЛ\uvPL.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Фёдор\софт\Alcohol 120 Retail 1.9.7.6221\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\RunOnce: [ClearTemp] del C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\yupdate.exe-{97570D6D-374B-47A0-9A57-2B0CE75B528B}
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = ?
O8 - Extra context menu item: Поиск@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/282
O8 - Extra context menu item: Словари@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/283
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Добавить в избранное мобильного устройства... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Андрей\Мои документы\magent.exe
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Андрей\Мои документы\magent.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - E:\Фёдор\софт\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - E:\Фёдор\софт\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: ibuntu - ibuntu.dll (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - http://automotoretro.fanforum.ru/ima...n_rolleyes.gif

--
End of file - 9591 bytes

Цитата:

Цитата ezen

AVZ так и не смог скачать, т.к. его сайт также блочится. »

Скачайте полиморфный АВЗ из моей подписи.

Обновление необходимо?

Обновление необходимо - но если обновить базы АВЗ не получается , то сделайте логи без обновления.

Логи в процессе

Все сделал вроде..

ezen, Вот такой скрипт. :)

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\System32\Drivers\Wingv14.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjh35.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnm47.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe71.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsb81.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc81.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\Wincr24.sys','');

 QuarantineFile('C:\DOCUME~1\ФЁДОР\LOCALS~1\Temp\DHH7B.tmp','');

 QuarantineFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\esihdrv.sys','');

 DeleteFile('C:\DOCUME~1\АНДРЕЙ\LOCALS~1\Temp\esihdrv.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Wincr24.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc81.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Winsb81.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Winoe71.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Winnm47.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Winjh35.sys');

 DeleteFile('C:\WINDOWS\System32\Drivers\Wingv14.sys');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('Winvc81');

 BC_DeleteSvc('Winsb81');

 BC_DeleteSvc('Winoe71');

 BC_DeleteSvc('Winnm47');

 BC_DeleteSvc('Winjh35');

 BC_DeleteSvc('Wingv14');

 BC_DeleteSvc('Wincr24');

 BC_DeleteSvc('esihdrv');

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Повторите логи и что с проблемой?

Цитата:

Цитата Drongo

Повторите логи и что с проблемой? »

Повторить логи, которые я делал с самого начала?

Цитата:

Цитата ezen

Повторить логи, которые я делал с самого начала? »

Обновите базы АВЗ и сделайте новые логи.

ezen,

Цитата:

Цитата iskander-k

Обновите базы АВЗ »

Только сначала скачайте эту версию AVZ, так как вы делали логи полиморфной версией

Цитата:

Цитата iskander-k

Обновите базы АВЗ и сделайте новые логи. »

Мне узнать как обновить базы если у меня не открывается сайт разработчика AVZ
Вот что ответил Касперский:

Цитата:

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini,
bcqr00013.ini,
bcqr00014.ini,
bcqr00015.ini,
bcqr00016.ini,
bcqr00017.ini,
bcqr00018.ini

Файлы в процессе обработки.

DHH7B.tmp

Вредоносный код в файле не обнаружен.

Попробуйте выполнить и после этого обновиться .
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

ExecuteRepair(20);

RebootWindows(true);

end.

Выполнение скрипта не помогло, вот что выдает AVZ

Цитата:

Ошибка в ходе автоматического обновления - ошибка загрузки файла с описанием обновления avzupd.zip

Что-нибудь прояснилось из ответа с касперского?

ezen, Тогда вот отсюда скачайте, базы актуальны на момент 20.01.2010 - AVZ. Потом попробуйте выполнить скрипт который привёл iskander-k. И сделайте логи этой версией.

Какой именно скрипт?) Он их много писал

ezen, Вот этот.

Цитата:

Цитата iskander-k

Код:

begin

ExecuteRepair(20);

RebootWindows(true);

end.

Теперь все работает! Большое спасибо! АНтивирус даже какие-то подозрительные файлы нашел после обновления.
А можно узнать что это было? И можно ли безболезненно удалять папки карантина от программ, которые я временно устанавливал чтобы вылечить комп ( типо CureIt! и AVZ )

Цитата:

Цитата ezen

И можно ли безболезненно удалять папки карантина от программ, которые я временно устанавливал чтобы вылечить комп ( типо CureIt! и AVZ ) »

Временно можете подержать их некоторое время и если проблем не будет , то смело удаляйте . Но сами не открывайте карантины антивирусных программ - можете снова создать проблему себе.

Цитата:

Цитата ezen

АНтивирус даже какие-то подозрительные файлы нашел после обновления. »

Логи новые давайте . Посмотрим что там нашлось подозрительного (это не всегда может быть что-то зловредное).

А что все-таки это было?

Цитата:

Цитата ezen

А что все-таки это было? »

ESIHDRV.SYS - Trojan/Backdoor.

по остальным похоже на заражение

Trojan.Win32.Inject.cxq ( DrWEB: Trojan.DownLoader.3750)

Цитата:

Цитата ezen

А что все-таки это было? »

Цитата:

Цитата iskander-k

ESIHDRV.SYS - Trojan/Backdoor.
по остальным похоже на заражение
Trojan.Win32.Inject.cxq ( DrWEB: Trojan.DownLoader.3750) »

Плюс забиты статические маршрутизаторы.