svchost.exe сканирует сеть + другие проблемы

Здравствуйте.

На компьютере стоит SP3 и все самые свежие обновления от майкрософт.
Свежий НОД32, бесплатные утилиты от доктора веба и касперского вирусов не видят.
Тем не менее, что-то через svchost.exe постоянно сканирует сеть и ломится на непонятные сайты (ниже лог программы Proxifier):
[21:19] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:19] svchost.exe - Could not connect to 64.191.15.246:80 through the proxy server.
[21:19] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:19] svchost.exe - Could not connect to bnsrv63.freeweb7.com:80 through the proxy server.
[21:20] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[21:20] svchost.exe - Could not connect to bnsrv63.freehostia.com:80 through the proxy server.
[23:06] svchost.exe - Could not connect to bnsrv63.freeweb7.com:80 through the proxy server.
[23:07] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)
[23:07] svchost.exe - Could not connect to bnsrv63.freehostia.com:80 through the proxy server.
[23:07] Error : Could not connect to the proxy server 192.168.1.1:1080 (error code 10060)

В скрытой папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\
отыскался файл index.dat с, как мне показалось, списком адресов, на которые ломится svchost.exe.
Ниже фрагмент файла, сам файл занимает 5 мегабайт:
-------------------------------------
URL pMюEзUЙ ` h Ё A ё Q „9Ь@ „9Ь@ пѕ*Ю[url]http://bnsrv63.110mb.com/net.php?id=54A58EF0&ver=63&rand=9660[/url] *ЮnetCA8FLO7D.htm HTTP/1.1 200 OK
X-Powered-By: PHP/5.1.6
Content-Type: text/html

~U:system
ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*ЮURL ђ>ДD‹OЙ ` h Ё A ё Q z9§. z9§. пѕ*Ю[url]http://bnsrv63.110mb.com/net.php?id=54A58EF0&ver=63&rand=3963[/url] *ЮnetCA6RMDYC.htm HTTP/1.1 200 OK
X-Powered-By: PHP/5.1.6
Content-Type: text/html

~U:system
ѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*Юпѕ*
-------------------------------------
Файл index.dat используется каким-то приложением, удалить его не удается. Безуспешно пытался «выловить» использующее его приложение через handle.exe.
В данной папке также находится скрытые папки с именами типа "Qg9qgy38" преимущественно наполненные 600-700 файлами с названиями типа "netCA337AS1.htm" и нулевым объемом.

Некоторое время назад NOD несколько раз ругался на Conflicker.V, находящийся в кеше браузера Opera и удалял его.

Мне кажется, что похожая проблема наличествует на нескольких компьютерах на работе. Те же симптомы - svchost ломится в интернет, эти компьютеры сканируют сеть.

В двух приложенных картинках скрины фаервола прокси-сервера, через который идет интернет на работе. Зараженные компьютеры "подвешивают" таким количеством соединений UserGate. Возможно, заражен и сам прокси, но этого понять пока не могу.

Очень надеюсь на помощь.

Распакуйте в отдельную папку и выполните 2-й стандартный скрипт.
Файл с результатами (virusinfo_syscheck.zip) приложите к теме.

Готово. Никакие приложения не закрывал. Если надо закрыть и повторить, напишите.

Ничего зловредного в логах нет.

Попробуем так:

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ExecuteRepair(13);
SetAVZPMStatus(true);
RebootWindows(true);
end.[/CODE]

Очистите временные файлы, кеш браузера и повторите логи AVZ...

А мне кажется подозрительным файл:
C:\WINDOWS\System32\seclogon63.dll
Anisimov, пришлите его согласно Приложению 2 Правил.

1. SOS!!! Сейчас в окне миранды самопроизвольно появилась строка "ttesttesttesttestttes".

Такое уже было пару недель назад. Тогда эта строка (только более длинная) появлялась несколько раз, переключались приложения и компьютер самопроизвольно начал выключаться, будто его выключили через "Пуск" - "Завершение работы".

На 99% уверен, что это что-то внутренее, а не проделки извне.

2. Карантин отправил.

3. Очистка кэша не помогла.
В папке c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ лежит все та же ерунда (я описывал в первом посте). Подозреваю, что удалять надо из доса или все-таки отыскать процесс, использующий index.dat.

1. Это AVZ кейлоггеры ловит. Не надо ничего лишнего делать во время выполнения процедур лечения.

3. Файл index.dat используется самим IE, точнее, его интегрированным в систему и невыдираемым куском. Это оглавление кэша, оставьте его в покое. Наполнение индекса - не причина, а следствие.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\seclogon63.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesseclogonParameters','ServiceDll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Готово

В логе чисто.
Проблем больше нет?

[QUOTE=AndreyKa;324104]В логе чисто.
Проблем больше нет?[/QUOTE]

Похоже на то, но я до конца не уверен. В этом файле вирус был?

Был. Trojan.Win32.Inject.lqm

Здравствуйте еще раз.
По предыдущему компьютеру все хорошо.

Похожая проблема еще на одном компьютере. Файла, который мы удаляли в прошлы раз, на этом компьютере нет.

Симптомы те же - svchost сканирует сеть (видно это в окошке проксифаера).

Другой компьютер- новая тема.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\seclogon63.dll - [B]Trojan.Win32.Inject.lqm[/B] (DrWEB: Trojan.DownLoad.25892)[/LIST][/LIST]