Показано с 1 по 18 из 18.

svchost.exe, папка Install_temp_318 ...Помогите!!!! (заявка № 19289)

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32

    Thumbs up svchost.exe, папка Install_temp_318 ...Помогите!!!!

    Помогите, пожалуйста, очень прошу!
    21 февраля установился вирус...сидит в папке WINN/system32 как svchost.exe ...никак не удаляется.
    Был найден еще файл winlogon.exe в папке Temp, который был благополучно удален.
    При этот постоянно создаются папки Install_temp_318.
    Как вылечить вирус?
    Буду очень признательна за подробное объяснение.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Начните с этого: http://virusinfo.info/showthread.php?t=1235
    дальше уже мы подключимся
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Извините, что не прочитала правила форума до создания темы.
    Прочитав и выполнив, я получила следующее
    - програмка CureIT обнаружила 3 вируса, которые были благополучно удалены. Спасибо!!
    - програмка AVZ создала лог только для 1-го указанного скрипта "скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Для второго скрипта лог не создается и в ходе выполнения на 91% проверки выдает следующее "Invalid variant type" ... в чем проблема? я пробовала несколько раз согласно всем указаниям в правилах.
    Подскажите, пожалуйста, что мне делать дальше и как получить лог для второго скрипта.
    Заранее всем большое спасибо!!!
    Вложения Вложения
    Последний раз редактировалось Shu_b; 07.03.2008 в 19:56.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для начал попробуйте обновить базы AVZ. Можно это сделать вручную, просто скачав их с сайта разработчика. THK psw

    Как насчет ДЕЙСТВИТЕЛЬНО логов AVZ? Посмотрите в директории LOGS содались там файлы или нет.

    Зверья у Вас много. Лечение будет сложным и возможно долгим.
    Последний раз редактировалось PavelA; 07.03.2008 в 17:01.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Логи AVZ:

    Подскажите, пожалуйста, что делать дальше. Спасибо заранее.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    1. Удалите программу Ad-aware, тольку от нее - ноль, а лечению может помешать. Или хотя бы отключите ее на время.
    2. Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
    O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
    O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
    O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
    O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
    O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('svshost.exe','');
     QuarantineFile('stisvsq.exe','');
     QuarantineFile('msqdevl.exe','');
     QuarantineFile('mservice.exe','');
     QuarantineFile('lssas.exe','');
     QuarantineFile('iau.exe','');
     QuarantineFile('C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19289).

    5. Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Первые два пункта были выполнены.
    При выполнении скрипта в AVZ не были найдены файлы, которые подлежали карантину. Попытка найти фаилы вручную оказалась безрезультатной, соответственно карантин пустой.
    Новые логи прилагаются:

    Спасибо, что помогаете! Что мне делать дальше?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Ad-Aware - удалить ... выполнить скрипт заново ...
    вы никакие файлы не удаляли "вручную" ... ?

  10. #9
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Вручную был удален только фаил
    'C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe'

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    1 после выполнения скрипта ...
    2 пуск выполнить sfc /scannow
    3 новые логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Ad-Aware - удален, скрипт в AVZ все также не находит указанные файлы. Скрипт выполняется, в ходе выполнения пишет "Ошибка доступа файла", происходит перезагрузка компьютера, карантин пустой.

  13. #12
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Проверьте, пож-та, в скрипте действительно ли эти файлы нужны, все ли правильно написано. У меня Win 2000 Pro, SP 4 - все работает нормально. Папка Install_temp_318 больше не появляется, хотя я не уверена, что все вирусы были удалены/вылечены.
    И еще зачем выполнять команду sfc /scannow, все работает...нужно что-то восстанавливать?
    Извините, если вопросы покажутся глупыми..но все с чего-то начинали
    Спасибо.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis что осталось из этого:
    Код:
    O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
    O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
    O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
    O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
    O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
    O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe
    Перезагрузитесь и сделайте новый лог HijackThis.

    Добавлено через 2 минуты

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    (сообщите, что именно - сделаем скрипт).
    Последний раз редактировалось Bratez; 11.03.2008 в 17:10. Причина: Добавлено
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    1. Профиксила, лог прилагается, но из указанного не нашлась строчка
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe

    2. По поводу отключения.
    Думаю, что эти службы можно отключить, но прошу учесть, что у меня этот компьютер находится в локальной сети

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >>Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    а вот насчет этих я не знаю, но прислушаюсь к вашему совету:
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК

    Спасибо.
    Вложения Вложения

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    (оставил автозапуск CD и анонимный доступ для локалки).
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Спасибо большое за помощь. Скрипт выполнился, все работает.
    А по логам с вирусами все закончено?

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Да, больше ничего подозрительного нет.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    32
    Проблем пока больше нет. Спасибо БОЛЬШОЕ всем за помощь!!

  • Уважаемый(ая) Natbe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.02.2009, 10:12
    2. папка install_temp_318
      От KogTu в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:21
    3. Ответов: 1
      Последнее сообщение: 19.06.2008, 12:59
    4. install_temp_318
      От Trupodur в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 01.03.2008, 21:49
    5. install_temp_318
      От Gitarist в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.02.2008, 12:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01624 seconds with 22 queries