-
Junior Member
- Вес репутации
- 54
Приложение svchost постоянно запрашивает исходящее соединение. Как победить vhosts?
Приветствую всех участников этого крайне полезного форума!
Просмотрев подобные темы, не нашел решения своей индивидуальной проблемы, поэтому прошу помощи и разъяснение:
Система Microsoft Windows XP Home SP3 (оригинальный)
Стоит Outpost Firewall Pro Версия 6... Режим обучения. Время от времени (регулярно приблизительно через 8 мин.) появляются сообщения/предупреждения о том что:
Generic Host Process for Win32 Services
Приложение запрашивает исходящее соединение
Процесс: C:\WINDOWS\system32\svchost.exe
Удалённый адрес: your-364....d5, TCP:22120
Outpost Firewall Pro должен:
- Разрешить любую активность этому приложению
- Блокировать любую активность этого приложения
- Создать правило на основе стандартных
(кнопки)
Разрешить однократно Блокировать однократно ОК
Если нажимаю "Блокировать однократно" или даже «Разрешить однократно», то через минут 8 мин. снова появляется подобное сообщение.
Никаких сбоев или изменений в работе компьютера при этом не замечаю.
При отключении от Интернета Outpost выдает подобное сообщение, только с измененным адресом:
Generic Host Process for Win32 Services
Приложение запрашивает исходящее соединение
Процесс: C:\WINDOWS\system32\svchost.exe
Удалённый адрес: 93-81.....corbina.ru, TCP:22120
Адрес TCP вроде бы каждый день меняется на новый, сегодня TCP17264.
Проверил систему DrWeb, Outpost, AVZ
Звонил в тех. поддержку провайдера, объяснил ситуацию.
Короче, внятного, четкого ответа от них не услышал.
После первой проверки AVZ:
avz_log_2_09.txt
После 2-й проверки AVZ:
avz_log_03_09.txt
Следуя справеливому замечанию PavelA добавляю (05.09.2009) ниже в сообщение логи, выполненные по Правилам.
В обоих случаях меня смутило сообщение AVZ: >>>> Обнаружена маскировка процесса 616 c:\windows\system32\svchost.exe
Проверил сторонним антивирусом (из этичных соображений не стану назвать),вот результат:
Infected with Win32.Uncnown.RandomX
Infected with Sys32.atl
Infected with Sys32.capicom
Infected with Sys32.whlb32g
Infected file (Win32.Unknown.Random.X) c:\windows\system32\vhosts.exe -> No action taken.
Infected file (Sys32.atl) C:\WINDOWS\system32\atl.exe -> No action taken.
Infected file (Sys32.capicom) C:\WINDOWS\system32\capicom.dll -> No action taken.
Infected file (Sys32.whlb32g) C:\WINDOWS\system32\whlb32g.dll -> No action taken.
Доверие, наверное, на мой взгляд заслуживает только информация по одному вредоносному файлу - vhosts.exe.
Посмотрел, дата создания файла приблизительно совпадает по времени с налом появившихся вышеизложенными проблемами. Ни AVZ, ни DrWeb на vhosts никак не реагировали.
А вот с удалением этой заразы вышла загвоздка. Не удаляется. Могут ли перечисленные проблемы возникать из-за этого файла и чем этот файл корректно ликвидировать?
Посоветуйте, пожалуйста. что сделать в подобной ситуации, если возможно подробне и по пунктам. а то я ни бум-бум...
Заранее благадарю
Последний раз редактировалось Александр Серафимови; 05.09.2009 в 17:29.
Причина: добавить в сообщение
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Логи нужны не в произвольной форме, а выполненные по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Спасибо. Возможно ли создание логов отложить до завтра?
-
Да хоть на неделю. Над нами Зурабова нет.
-
-
Junior Member
- Вес репутации
- 54
логи
Здравствуйте, прилагаю логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Надеюсь на Вашу поддержку, понимание и уповаю на вас
p.s. кстати, анекдот про упомянутого Зурабова. Первым делом Миша Зурабов (назначен послом в Украину) продаст здание Посольства...
-
Junior Member
- Вес репутации
- 54
Сообщение от
PavelA
Логи нужны не в произвольной форме, а выполненные по Правилам.
Логи выполнил. Прикрепил выше в сообщение.
Надеюсь и уповаю на вас, ваш профессионализм
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce-','InstallShieldSetup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин по Правилам по красной ссылке.
Сделать заново логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 54
Благодарю за участие. Выполнил скрипт.
Прислал карантин по Правилам по красной ссылке.
Сделал заново логи.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.logvirusinfo_syscure.zip
Проблема остается.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\vhosts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 54
V Bond? PavelA, благодарю вас за помощь.
Выполнил скрипт, отослал согласно Правилам карантин, сделал заново логи.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
V Bond, после проделанной операции (выполнив скрипт), рекомендованной вами, пока 35 минут полет нормальный, Аутпост ( svchost.exe) исходящее сообщение уже не запрашивал.
Диск С, кажется полегчал на 1МБ.
Скажите, что это было - руткиты? Какие можете дать рекомендации от этой нечести?
И еще, пожалуйста ответьте на пару вопросов. Можно ли теперь поставить галочку "восстановление системы" и создать точку восстановления?
После загрузки системы стало появляться сообщение "Мастер нового оборудования", не знаю, что теперь с этим делать (стоит ли довериться..?), как говорится, однажды обжегшись на молоке...
раньше бы не задумывался.
Ребята, вы настоящие Профессионалы с большой буквы. Спасибо вам огромное за помощь и терпение. Всех вам благ!
Завтра отпишусь.
-
vhosts.exe - Backdoor.Win32.Kbot.uv
В логах чисто
Выполнить скрипт
Код:
begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end.
Компьютер перезагрузится.
Неизвестное устройство удалите в Диспетчере оборудования и проследите, появится ли оно после перезагрузки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
thyrex, спасибо! Выполнил скрипт. В диспетчере оборудования (устройств) удалил неизвестное устройство. При перезагрузке окно уже не появлялось.
Спасибо, Профессионалы!
Сейчас перейду на раздел "помощь сайту"
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\vhosts.exe - Backdoor.Win32.Kbot.uv ( DrWEB: BackDoor.Dax.47, BitDefender: Application.Generic.179741, AVAST4: Win32:MalOb-H [Cryp] )
-