Explorer.exe постоянно шлет какие то данные на 176.31.243.27:8080 [HEUR:Trojan.Win32.Generic ]

Printable View

14.01.2015, 07:34
v5kjz53

Explorer.exe постоянно шлет какие то данные на 176.31.243.27:8080 [HEUR:Trojan.Win32.Generic ]

Explorer.exe постоянно шлет какие то данные на 176.31.243.27:8080 - TCPView показывает что на этот сервер постоянно идут какие то данные.
14.01.2015, 07:35
Info_bot

Уважаемый(ая) [B]v5kjz53[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.01.2015, 08:33
v5kjz53

Вложений: 2

делал по инструкции но не получилось. оба раза создалось 2 идентичных архива (я его загрузил). название архива такое было при создании. не знаю что не так. делал все по инструкции строго.
14.01.2015, 13:46
mike 1

Карантин в тему не нужно грузить.

[url]http://virusinfo.info/showthread.php?t=121951[/url]
14.01.2015, 14:21
v5kjz53

Вложений: 1

Посмотрел видео. У меня немного дрегое меню стандартных скриптов. Прилагаю скрин. Что выбирать?
ПС! Как тут уже отредактировали мою тему - [HEUR:Trojan.Win32.Generic ]. Может сразу дадите лечение? (ручное, без установки стороннего софта и антивирусов).
[ATTACH=CONFIG]524436[/ATTACH]
14.01.2015, 15:25
mike 1

[QUOTE]Может сразу дадите лечение?[/QUOTE]
Телепатов тут нет.

[QUOTE]Что выбирать?[/QUOTE]
3 стандартный скрипт.
14.01.2015, 19:21
v5kjz53

Загрузил virusinfo_syscure.zip. После его создания перезагрузил комп, подключился к интернету, открыл браузер - хром и запустил заного - virusinfo_syscheck.zip не появилось появилось снова virusinfo_syscure.zip.
14.01.2015, 21:51
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\All Users\Application Data\xodrzyfb.dat','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\xodrzyfb.dat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xodrzyfb');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(22);
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:9951
O4 - HKCU\..\Run: [xodrzyfb] regsvr32.exe "C:\Documents and Settings\All Users\Application Data\xodrzyfb.dat"

[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
15.01.2015, 13:10
v5kjz53

карантин
15.01.2015, 14:10
mike 1

Карантин грузите по красной ссылке вверху темы.

Где новые логи?
15.01.2015, 23:02
v5kjz53

Вложений: 1

сделал все согласно рекомендаций выше - на выходе опять получил virusinfo_syscure.zip. что не так?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

разобрался. прикрепил то чего не доставало.
16.01.2015, 00:02
mike 1

Где новый лог HiJackThis?
16.01.2015, 01:02
v5kjz53

Вложений: 1

вот
16.01.2015, 01:31
mike 1

Что с проблемой?
16.01.2015, 01:35
v5kjz53

жду от вес решения. вроде все что надо я предоставил или чего то не хватает?
16.01.2015, 01:46
mike 1

Что с проблемой?
16.01.2015, 02:10
v5kjz53

говорю же - решение жду от вас, проблема в том же состоянии что и была до создания поста.
16.01.2015, 08:33
mike 1

Я по логам плохого не вижу. За компьютером вашим я не сижу так что не могу знать что с проблемой.
16.01.2015, 11:51
v5kjz53

кто то переименовал тему в HEUR:Trojan.Win32.Generic - значит какой то троян в системе у меня все же имеется.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

конкретно меня напрягает файл C:\Documents and Settings\All Users\Application Data\xodrzyfb.dat, залил его на вирустотал - очень много детектов на него показало. я думаю это файл куда троян сохраняет данные перед отправкой. надо найти где именно сам троян сидит.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

если плохого в логах ничего не видете - зачем я их тогда делал если от них толку нет?
16.01.2015, 16:50
mike 1

[QUOTE]конкретно меня напрягает файл[/QUOTE]
Он уже удален.

[QUOTE]значит какой то троян в системе у меня все же имеется.[/QUOTE]
Уже не имеется.

[QUOTE]если плохого в логах ничего не видете - зачем я их тогда делал если от них толку нет?[/QUOTE]
А вы подумайте. Вообще немного странный вопрос.
16.01.2015, 17:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\xodrzyfb.dat - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.PWS.Papras.295, BitDefender: Gen:Variant.Kazy.421107, AVAST4: Win32:Crypt-RGM [Trj] )[*] \2015-01-13\avz00003.dta - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.PWS.Papras.295, BitDefender: Gen:Variant.Kazy.421107, AVAST4: Win32:Crypt-RGM [Trj] )[*] \2015-01-14\avz00003.dta - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: Trojan.PWS.Papras.295, BitDefender: Gen:Variant.Kazy.421107, AVAST4: Win32:Crypt-RGM [Trj] )[/LIST][/LIST]