svchost.exe сканирует сеть + другие проблемы

[Anisimov]

Здравствуйте.

На компьютере стоит SP3 и все самые свежие обновления от майкрософт.
Свежий НОД32, бесплатные утилиты от доктора веба и касперского вирусов не видят.
Тем не менее, что-то через svchost.exe постоянно сканирует сеть и ломится на непонятные сайты (ниже лог программы Proxifier):
[21:19] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:19] svchost.exe - Could not connect to 64.191.15.246:80 through the proxy server.
[21:19] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:19] svchost.exe - Could not connect to bnsrv63.freeweb7.com:80 through the proxy server.
[21:20] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:20] svchost.exe - Could not connect to bnsrv63.freehostia.com:80 through the proxy server.
[23:06] svchost.exe - Could not connect to bnsrv63.freeweb7.com:80 through the proxy server.
[23:07] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[23:07] svchost.exe - Could not connect to bnsrv63.freehostia.com:80 through the proxy server.
[23:07] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)

В скрытой папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
отыскался файл index.dat с, как мне показалось, списком адресов, на которые ломится svchost.exe.
Ниже фрагмент файла, сам файл занимает 5 мегабайт:
-------------------------------------
URL pMюEзUЙ ` h Ё A ё Q „9Ь@ „9Ь@ пѕ*Юhttp://bnsrv63.110mb.com/net.php?id=...r=63&rand=9660 *ЮnetCA8FLO7D.htm HTTP/1.1 200 OK
X-Powered-By: PHP/5.1.6
Content-Type: text/html

~U:system
ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ* Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юп ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*ЮURL ђ>ДD‹OЙ ` h Ё A ё Q z9§. z9§. пѕ*Юhttp://bnsrv63.110mb.com/net.php?id=...r=63&rand=3963 *ЮnetCA6RMDYC.htm HTTP/1.1 200 OK
X-Powered-By: PHP/5.1.6
Content-Type: text/html

~U:system
ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*
-------------------------------------
Файл index.dat используется каким-то приложением, удалить его не удается. Безуспешно пытался «выловить» использующее его приложение через handle.exe.
В данной папке также находится скрытые папки с именами типа "Qg9qgy38" преимущественно наполненные 600-700 файлами с названиями типа "netCA337AS1.htm" и нулевым объемом.

Некоторое время назад NOD несколько раз ругался на Conflicker.V, находящийся в кеше браузера Opera и удалял его.

Мне кажется, что похожая проблема наличествует на нескольких компьютерах на работе. Те же симптомы - svchost ломится в интернет, эти компьютеры сканируют сеть.

В двух приложенных картинках скрины фаервола прокси-сервера, через который идет интернет на работе. Зараженные компьютеры "подвешивают" таким количеством соединений UserGate. Возможно, заражен и сам прокси, но этого понять пока не могу.

Очень надеюсь на помощь.

[AndreyKa]

Распакуйте в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.

[Anisimov]

Готово. Никакие приложения не закрывал. Если надо закрыть и повторить, напишите.

[Aleksandra]

Ничего зловредного в логах нет.

Попробуем так:

Выполните скрипт в AVZ:

Код:

begin
 ExecuteRepair(13);
 SetAVZPMStatus(true);
 RebootWindows(true);
end.

Очистите временные файлы, кеш браузера и повторите логи AVZ...

[AndreyKa]

А мне кажется подозрительным файл:
C:\WINDOWS\System32\seclogon63.dll
Anisimov, пришлите его согласно Приложению 2 Правил.

[Anisimov]

1. SOS!!! Сейчас в окне миранды самопроизвольно появилась строка "ttesttesttesttestttes".

Такое уже было пару недель назад. Тогда эта строка (только более длинная) появлялась несколько раз, переключались приложения и компьютер самопроизвольно начал выключаться, будто его выключили через "Пуск" - "Завершение работы".

На 99% уверен, что это что-то внутренее, а не проделки извне.

2. Карантин отправил.

3. Очистка кэша не помогла.
В папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ лежит все та же ерунда (я описывал в первом посте). Подозреваю, что удалять надо из доса или все-таки отыскать процесс, использующий index.dat.

[pig]

1. Это AVZ кейлоггеры ловит. Не надо ничего лишнего делать во время выполнения процедур лечения.

3. Файл index.dat используется самим IE, точнее, его интегрированным в систему и невыдираемым куском. Это оглавление кэша, оставьте его в покое. Наполнение индекса - не причина, а следствие.

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('c:\windows\system32\seclogon63.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesseclogonParameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

[Anisimov]

Готово

[AndreyKa]

В логе чисто.
Проблем больше нет?

[Anisimov]

В логе чисто.
Проблем больше нет?

Похоже на то, но я до конца не уверен. В этом файле вирус был?

[AndreyKa]

Был. Trojan.Win32.Inject.lqm

[Anisimov]

Здравствуйте еще раз.
По предыдущему компьютеру все хорошо.

Похожая проблема еще на одном компьютере. Файла, который мы удаляли в прошлы раз, на этом компьютере нет.

Симптомы те же - svchost сканирует сеть (видно это в окошке проксифаера).

[light59]

Другой компьютер- новая тема.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\seclogon63.dll - Trojan.Win32.Inject.lqm (DrWEB: Trojan.DownLoad.25892)