На компьютере стоит SP3 и все самые свежие обновления от майкрософт.
Свежий НОД32, бесплатные утилиты от доктора веба и касперского вирусов не видят.
Тем не менее, что-то через svchost.exe постоянно сканирует сеть и ломится на непонятные сайты (ниже лог программы Proxifier):
[21:19] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:19] svchost.exe - Could not connect to 64.191.15.246:80 through the proxy server.
[21:19] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:19] svchost.exe - Could not connect to bnsrv63.freeweb7.com:80 through the proxy server.
[21:20] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:20] svchost.exe - Could not connect to bnsrv63.freehostia.com:80 through the proxy server.
[23:06] svchost.exe - Could not connect to bnsrv63.freeweb7.com:80 through the proxy server.
[23:07] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[23:07] svchost.exe - Could not connect to bnsrv63.freehostia.com:80 through the proxy server.
[23:07] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
В скрытой папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
отыскался файл index.dat с, как мне показалось, списком адресов, на которые ломится svchost.exe.
Ниже фрагмент файла, сам файл занимает 5 мегабайт:
-------------------------------------
URL pMюEзUЙ ` h Ё A ё Q „9Ь@ „9Ь@ пѕ*Юhttp://bnsrv63.110mb.com/net.php?id=...r=63&rand=9660 *ЮnetCA8FLO7D.htm HTTP/1.1 200 OK
X-Powered-By: PHP/5.1.6
Content-Type: text/html
~U:system
ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ* Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юп ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*ЮURL ђ>ДD‹OЙ ` h Ё A ё Q z9§. z9§. пѕ*Юhttp://bnsrv63.110mb.com/net.php?id=...r=63&rand=3963 *ЮnetCA6RMDYC.htm HTTP/1.1 200 OK
X-Powered-By: PHP/5.1.6
Content-Type: text/html
~U:system
ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*
-------------------------------------
Файл index.dat используется каким-то приложением, удалить его не удается. Безуспешно пытался «выловить» использующее его приложение через handle.exe.
В данной папке также находится скрытые папки с именами типа "Qg9qgy38" преимущественно наполненные 600-700 файлами с названиями типа "netCA337AS1.htm" и нулевым объемом.
Некоторое время назад NOD несколько раз ругался на Conflicker.V, находящийся в кеше браузера Opera и удалял его.
Мне кажется, что похожая проблема наличествует на нескольких компьютерах на работе. Те же симптомы - svchost ломится в интернет, эти компьютеры сканируют сеть.
В двух приложенных картинках скрины фаервола прокси-сервера, через который идет интернет на работе. Зараженные компьютеры "подвешивают" таким количеством соединений UserGate. Возможно, заражен и сам прокси, но этого понять пока не могу.
Очень надеюсь на помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. SOS!!! Сейчас в окне миранды самопроизвольно появилась строка "ttesttesttesttestttes".
Такое уже было пару недель назад. Тогда эта строка (только более длинная) появлялась несколько раз, переключались приложения и компьютер самопроизвольно начал выключаться, будто его выключили через "Пуск" - "Завершение работы".
На 99% уверен, что это что-то внутренее, а не проделки извне.
2. Карантин отправил.
3. Очистка кэша не помогла.
В папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ лежит все та же ерунда (я описывал в первом посте). Подозреваю, что удалять надо из доса или все-таки отыскать процесс, использующий index.dat.
Последний раз редактировалось Anisimov; 19.12.2008 в 11:49.
1. Это AVZ кейлоггеры ловит. Не надо ничего лишнего делать во время выполнения процедур лечения.
3. Файл index.dat используется самим IE, точнее, его интегрированным в систему и невыдираемым куском. Это оглавление кэша, оставьте его в покое. Наполнение индекса - не причина, а следствие.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: