Показано с 1 по 18 из 18.

svchost.exe, папка Install_temp_318 ...Помогите!!!! (заявка № 19289)

  1. #1
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59

    Thumbs up svchost.exe, папка Install_temp_318 ...Помогите!!!!

    Помогите, пожалуйста, очень прошу!
    21 февраля установился вирус...сидит в папке WINN/system32 как svchost.exe ...никак не удаляется.
    Был найден еще файл winlogon.exe в папке Temp, который был благополучно удален.
    При этот постоянно создаются папки Install_temp_318.
    Как вылечить вирус?
    Буду очень признательна за подробное объяснение.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Начните с этого: http://virusinfo.info/showthread.php?t=1235
    дальше уже мы подключимся
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Извините, что не прочитала правила форума до создания темы.
    Прочитав и выполнив, я получила следующее
    - програмка CureIT обнаружила 3 вируса, которые были благополучно удалены. Спасибо!!
    - програмка AVZ создала лог только для 1-го указанного скрипта "скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Для второго скрипта лог не создается и в ходе выполнения на 91% проверки выдает следующее "Invalid variant type" ... в чем проблема? я пробовала несколько раз согласно всем указаниям в правилах.
    Подскажите, пожалуйста, что мне делать дальше и как получить лог для второго скрипта.
    Заранее всем большое спасибо!!!
    Вложения Вложения
    Последний раз редактировалось Shu_b; 07.03.2008 в 19:56.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Для начал попробуйте обновить базы AVZ. Можно это сделать вручную, просто скачав их с сайта разработчика. THK psw

    Как насчет ДЕЙСТВИТЕЛЬНО логов AVZ? Посмотрите в директории LOGS содались там файлы или нет.

    Зверья у Вас много. Лечение будет сложным и возможно долгим.
    Последний раз редактировалось PavelA; 07.03.2008 в 17:01.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Логи AVZ:

    Подскажите, пожалуйста, что делать дальше. Спасибо заранее.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Удалите программу Ad-aware, тольку от нее - ноль, а лечению может помешать. Или хотя бы отключите ее на время.
    2. Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
    O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
    O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
    O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
    O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
    O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
    3. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('svshost.exe','');
     QuarantineFile('stisvsq.exe','');
     QuarantineFile('msqdevl.exe','');
     QuarantineFile('mservice.exe','');
     QuarantineFile('lssas.exe','');
     QuarantineFile('iau.exe','');
     QuarantineFile('C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    4. Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=19289).

    5. Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Первые два пункта были выполнены.
    При выполнении скрипта в AVZ не были найдены файлы, которые подлежали карантину. Попытка найти фаилы вручную оказалась безрезультатной, соответственно карантин пустой.
    Новые логи прилагаются:

    Спасибо, что помогаете! Что мне делать дальше?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Ad-Aware - удалить ... выполнить скрипт заново ...
    вы никакие файлы не удаляли "вручную" ... ?

  10. #9
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Вручную был удален только фаил
    'C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe'

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    1 после выполнения скрипта ...
    2 пуск выполнить sfc /scannow
    3 новые логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Ad-Aware - удален, скрипт в AVZ все также не находит указанные файлы. Скрипт выполняется, в ходе выполнения пишет "Ошибка доступа файла", происходит перезагрузка компьютера, карантин пустой.

  13. #12
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Проверьте, пож-та, в скрипте действительно ли эти файлы нужны, все ли правильно написано. У меня Win 2000 Pro, SP 4 - все работает нормально. Папка Install_temp_318 больше не появляется, хотя я не уверена, что все вирусы были удалены/вылечены.
    И еще зачем выполнять команду sfc /scannow, все работает...нужно что-то восстанавливать?
    Извините, если вопросы покажутся глупыми..но все с чего-то начинали
    Спасибо.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis что осталось из этого:
    Код:
    O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
    O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
    O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
    O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
    O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
    O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe
    Перезагрузитесь и сделайте новый лог HijackThis.

    Добавлено через 2 минуты

    Рекомендуется отключить все что вам не нужно из этого списка:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    (сообщите, что именно - сделаем скрипт).
    Последний раз редактировалось Bratez; 11.03.2008 в 17:10. Причина: Добавлено
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    1. Профиксила, лог прилагается, но из указанного не нашлась строчка
    O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\DISPAT~1\LOCALS~1\Temp\winlogon.exe

    2. По поводу отключения.
    Думаю, что эти службы можно отключить, но прошу учесть, что у меня этот компьютер находится в локальной сети

    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Служба удаленного управления реестром)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >>Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

    а вот насчет этих я не знаю, но прислушаюсь к вашему совету:
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК

    Спасибо.
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Вот скрипт для отключения ненужного:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('Messenger', 4);
    SetServiceStart('TlntSvr', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    (оставил автозапуск CD и анонимный доступ для локалки).
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Спасибо большое за помощь. Скрипт выполнился, все работает.
    А по логам с вирусами все закончено?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, больше ничего подозрительного нет.
    Какие-то проблемы остались?
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    06.03.2008
    Сообщений
    10
    Вес репутации
    59
    Проблем пока больше нет. Спасибо БОЛЬШОЕ всем за помощь!!

  • Уважаемый(ая) Natbe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.02.2009, 10:12
    2. папка install_temp_318
      От KogTu в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:21
    3. Ответов: 1
      Последнее сообщение: 19.06.2008, 12:59
    4. install_temp_318
      От Trupodur в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 01.03.2008, 21:49
    5. install_temp_318
      От Gitarist в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.02.2008, 12:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00008 seconds with 20 queries