svchost.exe подключается к интернету

Printable View

21.07.2011, 20:36
Ornams

svchost.exe подключается к интернету

Здравствуйте.

Недавно подхватил целый букет вирусов.
Небольшая предыстория. Я вошел в программу VipIp (программа для серфинга) и посмотрев несколько, страниц у меня странно заглючил компьютер.
Сначала появилось сообщение и я едва его разглядел (оно появилось также внезапно, как и исчезло), но я все же успел разглядеть текст "Остановлена служба регистрации" кажется так...
И появился баннер, вымогающий деньги. Т.к. я с таким уже встречался 2 месяца назад, то без проблем его удалил с помощью загрузочного диска.
И уже когда я буквально дал "понюхать" своему антивирусу Nod32, он сразу мне сказал, что это вирус: Win32/LockScreen.AGD.
(Кстати именно я 2 месяца назад отправил образец этого вируса в компанию Eset и с новыми базами он начал его детектировать.)
Но в этот раз радом с этим виром был еще один нод32 обозначил его как "Модифицированный Win32/Kryptik.QOD троянская программа" и через несколько секунд предложил отправить его в компанию на изучение...

САМА ПРОБЛЕМА --->>>
Процесс svchost.exe начал подключаться к интернету, а точнее почти каждую секунду подключается к новому Ip. Фаервол хоть и блокирует некоторые соединения, но всё равно пропускает их.
Я обратился за помощью в Касперский 911, там мне никто не помог, а хелпер быстро покинул меня без разъяснения причин, так и не дождавшись ответа я закрыл со злости заявку.
Я догадываюсь, а точнее я знаю, что попал в ботсеть.

ПОЖАЛУйСТА ПОМОГИТЕ УДАЛИТЬ ВИРУС!

P.S. просканировать сканерами не удалось т.к. выдаются ошибки при установке AVPtool и CureIt.

Не могу добавить логи в сообщение выдает ошибку на сайте (воскл. знак), попробую загрузить логи на файлообменник если это вас устроит.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Залил на файлообменник.
[url=http://www.fayloobmennik.net/815828]hijackthis.log[/url]
[url=http://www.fayloobmennik.net/815832]virusinfo_syscheck.zip[/url]
[url=http://www.fayloobmennik.net/815834]virusinfo_syscure.zip[/url]

Каждый раз когда я захожу в браузер через него же идёт подключение по следующему ip 209.85.149.102 (через любой браузер)
21.07.2011, 20:52
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\1\AppData\Local\Temp\6qp0x.exe','');
DeleteFile('C:\Users\1\AppData\Local\Temp\6qp0x.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=106150[/url]

4. Сделайте повторный лог [B]virusinfo_syscheck.[/B]
21.07.2011, 21:03
Ornams

Выполнил
Проблема всё еще осталась svchost.exe подключается к айпишникам.
Мало того я подозреваю что всё что я делаю на компе отправляется сюда 209.85.149.102. Последнее предложение в первом посте.
virusinfo_syscheck это какой пункт в AVZ?
21.07.2011, 21:09
Aleksandra

[QUOTE=Ornams;811460]virusinfo_syscheck это какой пункт в AVZ?[/QUOTE]
Второй...
21.07.2011, 21:15
Ornams

Вложений: 1

Какой раз забываю....
Удалось таки загрузить логи на сайт=)
21.07.2011, 21:20
Aleksandra

Плохого не увидела. После выполнения скрипта проблема не исчезла?
21.07.2011, 21:26
Ornams

НЕТ проблема осталась!!!:(:(:(:( Всё так же идут подключения=(((

Может это будет полезным:
В браузерах не работает звук, например в видео. А при просмотре видео, как показывает фаервол, идёт скачивание с сервера, например с ютуба и отправка на сервер который я указал ранее
21.07.2011, 21:41
Aleksandra

Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=78057[/url]
21.07.2011, 22:11
Ornams

Вложений: 1

Сделал
21.07.2011, 22:44
Aleksandra

Флэш плеер пробовали переустановить?
22.07.2011, 20:17
Ornams

Нет я только, устанавливаю новый по просьбе этой же программы. По вашей просьбе переустановил. Видео теперь со звуком.Проблема с вирусом осталась.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Возможно окажется полезным:
[URL=http://radikal.ru/F/s50.radikal.ru/i127/1107/74/3dccf07bdb9c.png.html][IMG]http://s50.radikal.ru/i127/1107/74/3dccf07bdb9ct.jpg[/IMG][/URL]

Видео теперь со звуком.

Google Chrome стал выдавать странное сообщение "Вы используете не поддерживаемый флаг командной строки --no-sandbox . стабильность и безопасность будут нарушены."

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 43 минуты[/I][/B][/color][/size]

Ау неужели некому мне помочь???

[size="1"][color="#666686"][B][I]Добавлено через 7 часов 39 минут[/I][/B][/color][/size]

И всё таки может на меня обратят внимание???
23.07.2011, 17:26
Aleksandra

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]полного сканирования МВАМ.[/URL]
24.07.2011, 11:24
Ornams

Вложений: 1

Выполнил
24.07.2011, 11:36
Aleksandra

Плохого не видно.

[QUOTE=Ornams;811448]Каждый раз когда я захожу в браузер через него же идёт подключение по следующему ip 209.85.149.102 (через любой браузер)[/QUOTE]
Это от google-analytics.com. Наверно, почту проверяете?
24.07.2011, 11:43
Ornams

Почту проверяю, но только не на gmail. Соединения с моего компьютера всё еще идут......
А как можно убрать этот google-analytics? А то мне не нравится что он лезет в любой браузер...
24.07.2011, 11:54
Aleksandra

[QUOTE=Ornams;812025]А как можно убрать этот google-analytics? А то мне не нравится что он лезет в любой браузер...[/QUOTE]
[CODE]O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O4 - HKCU\..\Run: [Google Update] "C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe[/CODE]
Что-то из этого... Для начала деинсталлируйте все от гугля и проверьте.
24.07.2011, 12:19
Ornams

Сделал как вы сказали всё от гугла удалил и профиксил. Всё осталось на так же: браузер подключается к тому же серверу. Странно что до инцидента с
вирусами этих подключений не было а тут вдруг появились, значит это не гугл?
24.07.2011, 12:31
Aleksandra

Значит что-то осталось от него. Тулбар удалили?
24.07.2011, 19:14
Ornams

Я его не устанавливал.
25.07.2011, 16:01
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
26.07.2011, 16:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\1\\appdata\\local\\temp\\6qp0x.exe - [B]Backdoor.Win32.Shiz.hmj[/B] ( DrWEB: Trojan.PWS.Ibank.300, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NBX trojan, AVAST4: Win32:Shiz [Spy] )[/LIST][/LIST]