Возможно вирус

Galbatron · 05.02.2011, 00:07

Есть подозрение что подхватил вирус не могу войти в почтовый ящик мейла и однокласники,сейчас делаю скрипты.

---------- Добавлено в 23:49 ---------- Предыдущее сообщение было написано в 23:27 ----------

http://exfile.ru/155226
http://exfile.ru/155227
Делал скрипты на включеном инете

---------- Добавлено в 00:07 ---------- Предыдущее сообщение было написано Вчера в 23:49 ----------

Пароли только что изменил с помощью системы востановления паролей.На сайты попал но думаю что вирус.

goredey · 05.02.2011, 00:44

Galbatron, это вам знакомо NameServer = 8.8.8.8 8.8.4.4? Если нет, то пофиксите

Внимание !!! База поcледний раз обновлялась 05.09.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы в АВЗ и поввторите логи

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Galbatron · 05.02.2011, 01:23

О сервере не знаю, я в них не очень разбираюсь. Не фиксил.
АВЗ
http://webfile.ru/5104806

Рсит
http://webfile.ru/5104810
http://webfile.ru/5104812

Galbatron · 05.02.2011, 20:57

Ау а что с моей проблемой?

goredey · 05.02.2011, 21:21

Galbatron, поинтересуйтесь у своего провайдера про эти DNS 8.8.8.8 8.8.4.4.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Galbatron · 05.02.2011, 22:48

Подключение к своему провайдеру делал я лично. Номер сервера я не вводил точно и в договоре нигде он не упоминается. Можно ли как то профиксить и если что отменить?

Установил прогу,автоматически обновились базы,там можно установить на руском языке.
Вот лог.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5684

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.02.2011 20:46:20
mbam-log-2011-02-05 (20-46-15).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 271168
Времени прошло: 56 минут, 18 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 1
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 1
Заражённые файлы: 20

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{AF52AC44-8AE8-44C4-83A4-F9921AB72B83}_is1 (Backdoor.Bifrose) -> No action taken.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
c:\program files\system32 (Backdoor.Bifrose) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\рабочий стол\keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\program files\system32\d3d10level9.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10level9_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10warp.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10warp_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10_1.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10_1core.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\D3D11.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\D3D11Ref.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d11sdklayers.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d11_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\D3DX10d.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3dx10d_40.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3dx11_40.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\DXGI.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\dxgi_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\MyProg.exe (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\unins000.dat (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\unins000.exe (Backdoor.Bifrose) -> No action taken.

Galbatron · 06.02.2011, 20:44

Что дальше?

goredey · 06.02.2011, 21:31

Galbatron, удалите эти строки
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{AF52AC44-8AE8-44C4-83A4-F9921AB72B83}_is1 (Backdoor.Bifrose) -> No action taken.
Заражённые папки:
c:\program files\system32 (Backdoor.Bifrose) -> No action taken.

Заражённые файлы:
c:\documents and settings\Admin\рабочий стол\keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\program files\system32\d3d10level9.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10level9_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10warp.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10warp_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10_1.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d10_1core.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\D3D11.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\D3D11Ref.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d11sdklayers.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3d11_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\D3DX10d.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3dx10d_40.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\d3dx11_40.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\DXGI.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\dxgi_beta.dll (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\MyProg.exe (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\unins000.dat (Backdoor.Bifrose) -> No action taken.
c:\program files\system32\unins000.exe (Backdoor.Bifrose) -> No action taken.

Пофиксите в HijackThis эту строчку

O17 - HKLM\System\CCS\Services\Tcpip\..\{70B34854-F281-44C5-9713-9435192E7BC0}: NameServer = 8.8.8.8 8.8.4.4

Смените все логины и пароли доступа .В системе был червь, ворующий их!

Galbatron · 06.02.2011, 23:42

Удалять вручную или с помощью антивируса?
А в реестре как удалить?

goredey · 07.02.2011, 00:10

Galbatron,

Цитата:

Сообщение от Galbatron

Удалять вручную или с помощью антивируса?
А в реестре как удалить?

По окончании работы Malwarebytes' Anti-Malware выделите строки, которые я вам указал и удалите.

Galbatron · 07.02.2011, 06:19

Удалил, профиксил.
Но после перезагрузки эта строка что фиксил снова есть.Это нормально?
А что за вирус он мог воровать пароли толко введенные с клавиатуры или и те что засекречены в автозаполнении браузера?

goredey · 07.02.2011, 13:56

Galbatron, нажмите сетевые подключения-правой кнопкой по своему подключению-свойства-Протокол интернета ТСР/IP-посмотрите какой днс прописан.Попробуйте поставить автоматический.Пароли лучше все сменить(но решать вам)

Galbatron · 07.02.2011, 16:59

В свойствах протокола ТСР/IP стоит птичка напротив получить адрес DNS сервера автоматически.

goredey · 07.02.2011, 18:54

Galbatron, В АВЗ сделайте 2-ой стандартный скрипт его отчет предоставьте + RSIT
Что с проблемами?

Galbatron · 07.02.2011, 19:24

авз
http://webfile.ru/5110202
рсит
http://webfile.ru/5110228
http://webfile.ru/5110229
пароли еще не менял, но вроде новых пропаж и невозможности войти не обнаружил.

05.02.2011, 00:07	#1 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	Возможно вирус Есть подозрение что подхватил вирус не могу войти в почтовый ящик мейла и однокласники,сейчас делаю скрипты. ---------- Добавлено в 23:49 ---------- Предыдущее сообщение было написано в 23:27 ---------- http://exfile.ru/155226 http://exfile.ru/155227 Делал скрипты на включеном инете ---------- Добавлено в 00:07 ---------- Предыдущее сообщение было написано Вчера в 23:49 ---------- Пароли только что изменил с помощью системы востановления паролей.На сайты попал но думаю что вирус.

05.02.2011, 01:23	#3 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	О сервере не знаю, я в них не очень разбираюсь. Не фиксил. АВЗ http://webfile.ru/5104806 Рсит http://webfile.ru/5104810 http://webfile.ru/5104812 Последний раз редактировалось Galbatron; 05.02.2011 в 01:29.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Возможно ли эт?	arkashs	Windows 7	12	22.12.2010 20:14
Проблема с сетью (возможно вирус)	sAlity	Интернет и сети	10	24.11.2010 00:17
возможно вирус,загрузка процессора 100%	dnsarlt	Безопасность	11	24.08.2010 18:54
Возможно вирус посмотрите пожалуйста!	AlexK	Безопасность	4	18.08.2010 23:05
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40
Возможно вирус	Ilsoyar	Безопасность	5	03.04.2010 02:39
Возможно вирус	kaktus	Безопасность	6	22.02.2010 11:34
Возможно вирус!!!	TOKAPEB	Безопасность	4	03.12.2009 12:17
Возможно-ли это?	Prok1963	Безопасность	3	18.11.2009 12:46
возможно вирус	shamik15	Безопасность	3	26.10.2009 19:16
Возможно ли?	TOKAPEB	Драйвера	0	09.08.2009 17:58
Возможно ли?	Lee Miller	Windows XP	2	13.11.2008 19:25

05.02.2011, 00:44	#2 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Galbatron, это вам знакомо NameServer = 8.8.8.8 8.8.4.4? Если нет, то пофиксите Внимание !!! База поcледний раз обновлялась 05.09.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Обновите базы в АВЗ и поввторите логи + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

05.02.2011, 20:57	#4 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	Ау а что с моей проблемой?

05.02.2011, 21:21	#5 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Galbatron, поинтересуйтесь у своего провайдера про эти DNS 8.8.8.8 8.8.4.4. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

05.02.2011, 22:48	#6 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	Подключение к своему провайдеру делал я лично. Номер сервера я не вводил точно и в договоре нигде он не упоминается. Можно ли как то профиксить и если что отменить? Установил прогу,автоматически обновились базы,там можно установить на руском языке. Вот лог. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5684 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 05.02.2011 20:46:20 mbam-log-2011-02-05 (20-46-15).txt Тип сканирования: Полное сканирование (C:\\|) Просканированные объекты: 271168 Времени прошло: 56 минут, 18 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 1 Заражённые параметры в реестре: 0 Объекты реестра заражены: 3 Заражённые папки: 1 Заражённые файлы: 20 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{AF52AC44-8AE8-44C4-83A4-F9921AB72B83}_is1 (Backdoor.Bifrose) -> No action taken. Заражённые параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Заражённые папки: c:\program files\system32 (Backdoor.Bifrose) -> No action taken. Заражённые файлы: c:\documents and settings\Admin\рабочий стол\keygen.exe (RiskWare.Tool.CK) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\program files\system32\d3d10level9.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10level9_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10warp.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10warp_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10_1.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10_1core.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\D3D11.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\D3D11Ref.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d11sdklayers.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d11_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\D3DX10d.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3dx10d_40.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3dx11_40.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\DXGI.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\dxgi_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\MyProg.exe (Backdoor.Bifrose) -> No action taken. c:\program files\system32\unins000.dat (Backdoor.Bifrose) -> No action taken. c:\program files\system32\unins000.exe (Backdoor.Bifrose) -> No action taken.

06.02.2011, 20:44	#7 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	Что дальше?

06.02.2011, 21:31	#8 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Galbatron, удалите эти строки Заражённые ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{AF52AC44-8AE8-44C4-83A4-F9921AB72B83}_is1 (Backdoor.Bifrose) -> No action taken. Заражённые папки: c:\program files\system32 (Backdoor.Bifrose) -> No action taken. Заражённые файлы: c:\documents and settings\Admin\рабочий стол\keygen.exe (RiskWare.Tool.CK) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\program files\system32\d3d10level9.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10level9_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10warp.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10warp_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10_1.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d10_1core.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\D3D11.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\D3D11Ref.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d11sdklayers.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3d11_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\D3DX10d.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3dx10d_40.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\d3dx11_40.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\DXGI.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\dxgi_beta.dll (Backdoor.Bifrose) -> No action taken. c:\program files\system32\MyProg.exe (Backdoor.Bifrose) -> No action taken. c:\program files\system32\unins000.dat (Backdoor.Bifrose) -> No action taken. c:\program files\system32\unins000.exe (Backdoor.Bifrose) -> No action taken. Пофиксите в HijackThis эту строчку O17 - HKLM\System\CCS\Services\Tcpip\..\{70B34854-F281-44C5-9713-9435192E7BC0}: NameServer = 8.8.8.8 8.8.4.4 Смените все логины и пароли доступа .В системе был червь, ворующий их!

06.02.2011, 23:42	#9 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	Удалять вручную или с помощью антивируса? А в реестре как удалить?

07.02.2011, 06:19	#11 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	Удалил, профиксил. Но после перезагрузки эта строка что фиксил снова есть.Это нормально? А что за вирус он мог воровать пароли толко введенные с клавиатуры или и те что засекречены в автозаполнении браузера?

07.02.2011, 13:56	#12 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Galbatron, нажмите сетевые подключения-правой кнопкой по своему подключению-свойства-Протокол интернета ТСР/IP-посмотрите какой днс прописан.Попробуйте поставить автоматический.Пароли лучше все сменить(но решать вам)

07.02.2011, 16:59	#13 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	В свойствах протокола ТСР/IP стоит птичка напротив получить адрес DNS сервера автоматически.

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

07.02.2011, 18:54	#14 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Galbatron, В АВЗ сделайте 2-ой стандартный скрипт его отчет предоставьте + RSIT Что с проблемами?

07.02.2011, 19:24	#15 (ссылка)
Galbatron Новичок Регистрация: 23.06.2010 Сообщений: 89 Репутация: 0	авз http://webfile.ru/5110202 рсит http://webfile.ru/5110228 http://webfile.ru/5110229 пароли еще не менял, но вроде новых пропаж и невозможности войти не обнаружил.