Приложение svchost постоянно запрашивает исходящее соединение. Как победить vhosts?

**Александр Серафимови** · 04.09.2009, 19:41

Приветствую всех участников этого крайне полезного форума!

Просмотрев подобные темы, не нашел решения своей индивидуальной проблемы, поэтому прошу помощи и разъяснение:

Система Microsoft Windows XP Home SP3 (оригинальный)

Стоит Outpost Firewall Pro Версия 6... Режим обучения. Время от времени (регулярно приблизительно через 8 мин.) появляются сообщения/предупреждения о том что:
Generic Host Process for Win32 Services
Приложение запрашивает исходящее соединение

Процесс: C:\WINDOWS\system32\svchost.exe

Удалённый адрес: your-364....d5, TCP:22120

Outpost Firewall Pro должен:
- Разрешить любую активность этому приложению
- Блокировать любую активность этого приложения
- Создать правило на основе стандартных

(кнопки)
Разрешить однократно Блокировать однократно ОК
Если нажимаю "Блокировать однократно" или даже «Разрешить однократно», то через минут 8 мин. снова появляется подобное сообщение.
Никаких сбоев или изменений в работе компьютера при этом не замечаю.
При отключении от Интернета Outpost выдает подобное сообщение, только с измененным адресом:
Generic Host Process for Win32 Services
Приложение запрашивает исходящее соединение

Процесс: C:\WINDOWS\system32\svchost.exe

Удалённый адрес: 93-81.....corbina.ru, TCP:22120
Адрес TCP вроде бы каждый день меняется на новый, сегодня TCP17264.
Проверил систему DrWeb, Outpost, AVZ
Звонил в тех. поддержку провайдера, объяснил ситуацию.
Короче, внятного, четкого ответа от них не услышал.

После первой проверки AVZ

:

avz_log_2_09.txt

После 2-й проверки AVZ

:

avz_log_03_09.txt

Следуя справеливому замечанию PavelA добавляю (05.09.2009) ниже в сообщение логи, выполненные по Правилам.

В обоих случаях меня смутило сообщение AVZ: >>>> Обнаружена маскировка процесса 616 c:\windows\system32\svchost.exe

Проверил сторонним антивирусом (из этичных соображений не стану назвать),вот результат

:
Infected with Win32.Uncnown.RandomX
Infected with Sys32.atl
Infected with Sys32.capicom
Infected with Sys32.whlb32g
Infected file (Win32.Unknown.Random.X) c:\windows\system32\vhosts.exe -> No action taken.

Infected file (Sys32.atl) C:\WINDOWS\system32\atl.exe -> No action taken.
Infected file (Sys32.capicom) C:\WINDOWS\system32\capicom.dll -> No action taken.
Infected file (Sys32.whlb32g) C:\WINDOWS\system32\whlb32g.dll -> No action taken.

Доверие, наверное, на мой взгляд заслуживает только информация по одному вредоносному файлу - vhosts.exe.
Посмотрел, дата создания файла приблизительно совпадает по времени с налом появившихся вышеизложенными проблемами. Ни AVZ, ни DrWeb на vhosts никак не реагировали.
А вот с удалением этой заразы вышла загвоздка. Не удаляется. Могут ли перечисленные проблемы возникать из-за этого файла и чем этот файл корректно ликвидировать?
Посоветуйте, пожалуйста. что сделать в подобной ситуации, если возможно подробне и по пунктам. а то я ни бум-бум...

Заранее благадарю

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 04.09.2009, 21:21

Логи нужны не в произвольной форме, а выполненные по Правилам.

**Александр Серафимови** · 04.09.2009, 22:49

Спасибо. Возможно ли создание логов отложить до завтра?

**pig** · 04.09.2009, 23:11

Да хоть на неделю. Над нами Зурабова нет.

**Александр Серафимови** · 05.09.2009, 13:27

Здравствуйте, прилагаю логи

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

Надеюсь на Вашу поддержку, понимание и уповаю на вас

p.s. кстати, анекдот про упомянутого Зурабова. Первым делом Миша Зурабов (назначен послом в Украину) продаст здание Посольства...

**Александр Серафимови** · 05.09.2009, 15:19

Сообщение от PavelA

Логи нужны не в произвольной форме, а выполненные по Правилам.

Логи выполнил. Прикрепил выше в сообщение.
Надеюсь и уповаю на вас, ваш профессионализм

**PavelA** · 05.09.2009, 15:48

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
 QuarantineFile('c:\windows\system32\svchost.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce-','InstallShieldSetup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по Правилам по красной ссылке.
Сделать заново логи.

**Александр Серафимови** · 05.09.2009, 19:58

Благодарю за участие. Выполнил скрипт.
Прислал карантин по Правилам по красной ссылке.
Сделал заново логи.
virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log virusinfo_syscure.zip

Проблема остается.

**V_Bond** · 05.09.2009, 22:25

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\vhosts.exe','');
 DeleteService('msupdate');
 DeleteFile('c:\windows\system32\vhosts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

**Александр Серафимови** · 06.09.2009, 01:12

V Bond? PavelA, благодарю вас за помощь.
Выполнил скрипт, отослал согласно Правилам карантин, сделал заново логи.
virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

V Bond, после проделанной операции (выполнив скрипт), рекомендованной вами, пока 35 минут полет нормальный, Аутпост ( svchost.exe) исходящее сообщение уже не запрашивал.
Диск С, кажется полегчал на 1МБ.

Скажите, что это было - руткиты? Какие можете дать рекомендации от этой нечести?
И еще, пожалуйста ответьте на пару вопросов. Можно ли теперь поставить галочку "восстановление системы" и создать точку восстановления?
После загрузки системы стало появляться сообщение "Мастер нового оборудования", не знаю, что теперь с этим делать (стоит ли довериться..?), как говорится, однажды обжегшись на молоке...
раньше бы не задумывался.

Ребята, вы настоящие Профессионалы с большой буквы. Спасибо вам огромное за помощь и терпение. Всех вам благ!
Завтра отпишусь.

**thyrex** · 06.09.2009, 01:22

vhosts.exe - Backdoor.Win32.Kbot.uv

В логах чисто

Выполнить скрипт

Код:

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Неизвестное устройство удалите в Диспетчере оборудования и проследите, появится ли оно после перезагрузки

**Александр Серафимови** · 06.09.2009, 13:24

thyrex, спасибо! Выполнил скрипт. В диспетчере оборудования (устройств) удалил неизвестное устройство. При перезагрузке окно уже не появлялось.
Спасибо, Профессионалы!
Сейчас перейду на раздел "помощь сайту"

**CyberHelper** · 07.09.2009, 13:24

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\vhosts.exe - Backdoor.Win32.Kbot.uv ( DrWEB: BackDoor.Dax.47, BitDefender: Application.Generic.179741, AVAST4: Win32:MalOb-H [Cryp] )

Приложение svchost постоянно запрашивает исходящее соединение. Как победить vhosts? (заявка № 53988)

Опции темы

Приложение svchost постоянно запрашивает исходящее соединение. Как победить vhosts?

логи

Антивирусная помощь

Итог лечения

Похожие темы

svchost.exe исходящее соединение

Тормозит компьютер при работе в интернет, приложение N/A запрашивает исходящее соединение, скорость интернета падает.соединени

Процесс svhost.exe постоянно запрашивает исходящее соединение

service.ехе постоянно просит исходящее соединение

Приложение запрашивает исходящее соединение

Метки для этой темы

Ваши права в разделе