Приложение svchost постоянно запрашивает исходящее соединение. Как победить vhosts?

[FONT=&quot]Приветствую всех участников этого крайне полезного форума!

Просмотрев подобные темы, не нашел решения своей индивидуальной проблемы, поэтому прошу помощи и разъяснение:

Система Microsoft Windows XP [/FONT][FONT=&quot]Home [/FONT][FONT=&quot]SP3 (оригинальный)

Стоит Outpost Firewall Pro Версия 6... Режим обучения. Время от времени (регулярно приблизительно через 8 мин.) появляются сообщения/предупреждения о том что: [/FONT]
[FONT=&quot]Generic Host Process for Win32 Services
Приложение запрашивает исходящее соединение

Процесс: C:\WINDOWS\system32\svchost.exe

Удалённый адрес: [/FONT][FONT=&quot]your-364[/FONT][FONT=&quot]....d5, TCP:[/FONT][FONT=&quot]2[/FONT][FONT=&quot]2120

Outpost Firewall Pro должен:
- Разрешить любую активность этому приложению
- Блокировать любую активность этого приложения
- Создать правило на основе стандартных

(кнопки)
Разрешить однократно Блокировать однократно ОК [/FONT]
[FONT=&quot] Если нажимаю "Блокировать однократно" или даже «Разрешить однократно», то через минут 8 мин. снова появляется подобное сообщение.
Никаких сбоев или изменений в работе компьютера при этом не замечаю.[/FONT]
[FONT=&quot]При отключении от Интернета Outpost выдает подобное сообщение, только с измененным адресом:[/FONT]
[FONT=&quot] Generic Host Process for Win32 Services
Приложение запрашивает исходящее соединение

Процесс: C:\WINDOWS\system32\svchost.exe

Удалённый адрес: 93-81.....[/FONT][FONT=&quot]corbina.ru[/FONT][FONT=&quot], TCP:22120 [/FONT]
[FONT=&quot] Адрес [/FONT][FONT=&quot]TCP[/FONT][FONT=&quot] вроде бы каждый день меняется на новый, сегодня TCP17264. [/FONT]
[FONT=&quot] Проверил систему [/FONT][FONT=&quot]DrWeb, [/FONT][FONT=&quot]Outpost, [/FONT][FONT=&quot]AVZ [/FONT]
[FONT=&quot]Звонил в тех. поддержку провайдера, объяснил ситуацию.
Короче, внятного, четкого ответа от них не услышал.[/FONT]
[FONT=&quot]
[B]После первой проверки AVZ[/B]:rtfm::[/FONT]

[ATTACH]159373[/ATTACH]

[FONT=&quot][B]После 2-й проверки AVZ[/B]:rtfm::[/FONT]

[ATTACH]159374[/ATTACH]
[FONT=&quot]
Следуя справеливому замечанию PavelA добавляю (05.09.2009) ниже в сообщение логи, выполненные по Правилам.

В обоих случаях меня смутило сообщение AVZ: >>>> [B]Обнаружена маскировка процесса 616 c:\windows\system32\svchost.exe[/B][/FONT]
[FONT=&quot]
Проверил сторонним антивирусом (из этичных соображений не стану назвать),вот результат:rtfm::[/FONT]
[FONT=&quot]Infected with Win32.Uncnown.RandomX[/FONT]
[FONT=&quot]Infected with Sys32.atl[/FONT]
[FONT=&quot]Infected with Sys32.capicom[/FONT]
[FONT=&quot]Infected with Sys32.whlb32g[/FONT]
[FONT=&quot] I[B]nfected file (Win32.Unknown.Random.X) c:\windows\system32\vhosts.exe[/B] -> No action taken.
[/FONT]
[FONT=&quot]Infected file (Sys32.atl) C:\WINDOWS\system32\atl.exe -> No action taken.[/FONT]
[FONT=&quot]Infected file (Sys32.capicom) C:\WINDOWS\system32\capicom.dll -> No action taken.[/FONT]
[FONT=&quot] Infected file (Sys32.whlb32g) C:\WINDOWS\system32\whlb32g.dll -> No action taken.[/FONT]

[FONT=&quot] Доверие, наверное, на мой взгляд заслуживает только информация по одному вредоносному файлу - [B]vhosts.exe[/B].[/FONT]
[FONT=&quot]Посмотрел, дата создания файла приблизительно совпадает по времени с налом появившихся вышеизложенными проблемами. Ни AVZ, ни DrWeb на vhosts никак не реагировали.[/FONT]
[FONT=&quot]А вот с удалением этой заразы вышла загвоздка. Не удаляется. Могут ли перечисленные проблемы возникать из-за этого файла и чем этот файл корректно ликвидировать?[/FONT]
[FONT=&quot]Посоветуйте, пожалуйста. что сделать в подобной ситуации, если возможно подробне и по пунктам. а то я ни бум-бум...:)[/FONT]
[FONT=&quot]Заранее благадарю [/FONT]

Логи нужны не в произвольной форме, а выполненные по Правилам.

Спасибо. Возможно ли создание логов отложить до завтра?

Да хоть на неделю. Над нами Зурабова нет.

Здравствуйте, прилагаю логи

[ATTACH]159505[/ATTACH]
[ATTACH]159506[/ATTACH]
[ATTACH]159507[/ATTACH]

Надеюсь на Вашу поддержку, понимание и уповаю на вас:)

p.s. кстати, анекдот про упомянутого Зурабова. Первым делом Миша Зурабов (назначен послом в Украину) продаст здание Посольства...:)

[QUOTE=PavelA;462331]Логи нужны не в произвольной форме, а выполненные по Правилам.[/QUOTE]

Логи выполнил. Прикрепил выше в сообщение.
Надеюсь и уповаю на вас, ваш профессионализм

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce-','InstallShieldSetup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Прислать карантин по Правилам по красной ссылке.
Сделать заново логи.

Благодарю за участие. Выполнил скрипт.
Прислал карантин по Правилам по красной ссылке.
Сделал заново логи.
[ATTACH]159573[/ATTACH]

[ATTACH]159574[/ATTACH]

[ATTACH]159575[/ATTACH][ATTACH]159573[/ATTACH]

Проблема остается.

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\vhosts.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\vhosts.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

V Bond? PavelA, благодарю вас за помощь.
Выполнил скрипт, отослал согласно Правилам карантин, сделал заново логи.
[ATTACH]159635[/ATTACH]

[ATTACH]159636[/ATTACH]

[ATTACH]159637[/ATTACH]

V Bond, после проделанной операции (выполнив скрипт), рекомендованной вами, пока 35 минут полет нормальный, Аутпост ( [FONT=&quot]svchost.exe) [/FONT]исходящее сообщение уже не запрашивал.
Диск С, кажется полегчал на 1МБ.

Скажите, что это было - руткиты? Какие можете дать рекомендации от этой нечести?
И еще, пожалуйста ответьте на пару вопросов. Можно ли теперь поставить галочку "восстановление системы" и создать точку восстановления?
После загрузки системы стало появляться сообщение "Мастер нового оборудования", не знаю, что теперь с этим делать (стоит ли довериться..?), как говорится, однажды обжегшись на молоке...
раньше бы не задумывался.

Ребята, вы настоящие Профессионалы с большой буквы. Спасибо вам огромное за помощь и терпение. Всех вам благ!
Завтра отпишусь.

vhosts.exe - [B]Backdoor.Win32.Kbot.uv[/B]

В логах чисто

Выполнить скрипт
[code] begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Неизвестное устройство удалите в Диспетчере оборудования и проследите, появится ли оно после перезагрузки

thyrex, спасибо! Выполнил скрипт. В диспетчере оборудования (устройств) удалил неизвестное устройство. При перезагрузке окно уже не появлялось.
Спасибо, Профессионалы!
Сейчас перейду на раздел "помощь сайту";)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\vhosts.exe - [B]Backdoor.Win32.Kbot.uv[/B] ( DrWEB: BackDoor.Dax.47, BitDefender: Application.Generic.179741, AVAST4: Win32:MalOb-H [Cryp] )[/LIST][/LIST]