Показано с 1 по 18 из 18.

Троян - E-Gold.com (заявка № 10556)

  1. #1
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62

    Thumbs up Троян - E-Gold.com

    Здравствуйте.
    Поймал Трояна который верует деньги с e-gold.com.
    Всё это происходит по технологии «Фишинг».
    Т.е. при наборе адреса www.e-gold.com я попадаю не на оф.сайт, а на фальшивый (не отличим от оригинала хорошо постарались). Соответственно при вводе логина и пароля все данные отправляются злоумышленнику.
    Хитрость в том, что Вы даже не видите, что с Вас сняли деньги. Сохраняется Ваш текущий баланс и выводится Вам. Если вы хотите перевести деньги то высвечивается ошибка:

    Error(s) detected:
    Service is temporary unavailable.

    Я три дня думал что это проблема с e-gold. Пока не проверил свай аккаунт на другом компьютере и оказалось что у меня $0.
    Когда я начал разбираться получилось поймать сообщение что идет смена dns:
    Обнаружен неверный DNS-запрос с IP-адреса: 88.27.213.59, порт:53 на IP-адрес: 217.112.*.*, порт:47644
    217.112.*.* – это мой ip.
    Тут я и всё пронюхал. Захожу на сайт по ip e-gold’а https://209.200.168.10 сразу увидел свой реальный баланс и истории платежей. Естественно поменял пароль. И написал письмо в поддержку e-gold.
    Своими силами так и не нашел где он спрятался поэтому пришел к Вам за помощью!
    Я здесь в первые, поэтому если что сделаю не так, не ругайте сильно.
    Заранее спасибо за помощь и внимание.

    С уважением, Владислав.
    Вложения Вложения
    Последний раз редактировалось VladislavSPB; 22.06.2007 в 08:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Вместо virusinfo_syscure.zip Вы прикрепили файл карантина, - virusinfo_cure.zip

    Подозрительным выглядит файл fdcpodbc.dll, он попал в карантин, - подождем вердикта экспертов.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    KBHook.dll - not-a-virus:Monitor.Win32.NetSpy.c
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\TaskKeyHook.dll','');
     QuarantineFile('C:\WINDOWS\system32\BCGCBPRO951u80.dll','');
     QuarantineFile('c:\program files\topplan\netoffice 2007 data\tpnetsvc\tpnetsvc.exe','');
     DeleteFile('C:\WINDOWS\system32\KBHook.dll');
    BC_ImportALL;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    карантин пришлите по правилам.
    сделайте новые логи,все три.

    ЗЫ.Remote Administrator сами устанавливали?

  5. #4
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Цитата Сообщение от Muzzle Посмотреть сообщение

    ЗЫ.Remote Administrator сами устанавливали?
    Да

  6. #5
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Прикрепил новые файлы.
    Карантин отправил на E-mail.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    Карантин нужно загрузить через форму
    http://virusinfo.info/upload_virus.php

    Ссылка на Вашу тему - http://virusinfo.info/showthread.php?t=10556

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Карантин отправил на E-mail.
    На какой e-mail?

  9. #8
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Цитата Сообщение от MaXim Посмотреть сообщение
    На какой e-mail?
    Просто когда отправлял ссылка почему-то не работала, а отправил на e-mail который написан в помощи: [email protected],

    С уважением, Владислав.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Этот адрес уже не работает и из Правил его давно убрали.

  11. #10
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Цитата Сообщение от HATTIFNATTOR Посмотреть сообщение
    Карантин нужно загрузить через форму
    http://virusinfo.info/upload_virus.php

    Ссылка на Вашу тему - http://virusinfo.info/showthread.php?t=10556
    Загрузил.

    С уважением, Владислав.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    232
    В карантине ничего вредоносного не обнаружено.

  13. #12
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Цитата Сообщение от HATTIFNATTOR Посмотреть сообщение
    В карантине ничего вредоносного не обнаружено.
    А где искать тогда?

    Если я захожу через имя www.e-gold.com то у меня деньги на месте.
    Если по ip https://209.200.169.10 но нуль. Значит, зараза ещё в компьютере, а систему переустанавливать не хочется.


    С уважением, Владислав.
    Последний раз редактировалось VladislavSPB; 23.06.2007 в 18:44.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    При всем уважении к аналитикам пишу скрипт удаления fdcpodbc.dll, учитывая местоположения файла и его размер.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\fdcpodbc.dll');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    "Пофиксите" в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
    O21 - SSODL: CDBurn - {fbeb8a05-b3f9-8142-804e-469d6c4515e9} - C:\WINDOWS\system32\fdcpodbc.dll
    Повторите логи.

    Сделайте поиск в реестре с помощью AVZ (AVZ -> Сервис -> Поиск данных в реестре -> Параметры поиска -> Поставьте галочку напротив HKEY_USERS). В начале поищите e-gold.com (сохраните протокол), потом 209.200.169.10 (сохраните протокол). Протоколы прикрепите к своему сообщению. Ещё проверьте нет ли в настройках сети "левых" айпишников (Пуск -> Выполнить -> cmd -> вводите ipconfig/all и нажимаете Enter).

  15. #14
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Высылаю повторно лог-файлы.
    В реестре поиска, что Вы сказали, но и ещё попробовал ip-адрес 88.27.213.59, в общем, результаты отправляю.
    Хоть в вашем скрипте есть команда (RebootWindows(false);) не перезагружать компьютер, он все равно ушел в перезагрузку.
    И в фиксе в программе HijackThis не было O21 - SSODL: CDBurn - {fbeb8a05-b3f9-8142-804e-469d6c4515e9} - C:\WINDOWS\system32\fdcpodbc.dll
    Левых ip нет.

    После выполнения скриптов AVZ у меня компьютера сам не перезагружается, пишет «Завершение работы» и стоим.

    После запуска скрипта который удаляет «fdcpodbc.dll» и удаление в реестре подраздела «Search Assistant» при заходе на www.e-gold.com стал отображаться истинный баланс.

    Можно говорить, что компьютер излечен?
    И посоветуете чем пользоваться, что бы больше такай заразы не хватать.

    С уважением, Владислав.
    Вложения Вложения
    Последний раз редактировалось Макcим; 23.06.2007 в 22:19.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Поищите и пришлите файл SF3.DLL как написано здесь.

  17. #16
    Junior Member Репутация
    Регистрация
    22.06.2007
    Сообщений
    8
    Вес репутации
    62
    Цитата Сообщение от Maxim Посмотреть сообщение
    Поищите и пришлите файл SF3.DLL как написано здесь.
    Ненаходит

    Таки ведь это вроде бы от StarForce 3?
    Закачал.

    И на данный момент с e-gold.com отображается реальная статистика и больше не выдается сообщение с заменой DNS.


    C уважением, Владислав.

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Удалите лишние программы с ПК, почистите мусор (подробнее здесь), поменяйте на всякий случай пароль e-gold. На этом лечение окончено. В логах все чисто.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\fdcpodbc.dll - Trojan-Downloader.Win32.Agent.bwd (DrWEB: Trojan.DownLoader.28127)


  • Уважаемый(ая) VladislavSPB, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 28.02.2009, 16:27
    2. Подмена E-GOLD аккоунта
      От pavel77 в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 01:44
    3. Помогите. Проблема с игрой Armad Assault Gold
      От Greck в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 19.01.2009, 19:33
    4. Сборщик e-gold
      От MOCT в разделе Спам и мошенничество в сети
      Ответов: 3
      Последнее сообщение: 04.03.2007, 09:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01245 seconds with 20 queries