Не уверен но вроде здесь поймал вирус (маскируется под криптоключ для доступа) который делает подмену сайта платёжных систем - но делает не тупое перенаправление на левый сайт, а делает очень хитро и заходит на сайт платёжных систем через какой то буфер-прокси (который естественно запоминает все Ваши логины и пароли).
Подробно как заразился:
На том сайте для входа в аккаунт нужно ввести криптоключ который генерируется прогой (с этого же сайта), так вот скачал я эту прогу и попытался сгенерировать этот ключ , смотрю прога то создала какой-то еще екзешный файл который пытался прописаться в реестр, первый раз я нажал отмена, запонил имя файла, нашел его в папки темп но КИС в нем ничего не обнаружил, я расслабился, и в этом был мой прокол, на второй то раз я дал ему возможность внести запись в реестр, ошибка была в том что второй раз я не запомнил название файла (а оно как я узнал позднее каждый раз генерируется- разное) и после этого начались проблемы, я в реестр чистить ту запись жму поиск а он ничего не находит и тут я понял что совершил ошибку (какую я описал выше - не запомнил имя файла - да и вообще зря я это сделал).
Как я определил что работает вирус ?!
1. По логу IP адресов который используется платежной системе Либерти Резерв (там пишится с какого IP Вы вошли) и второе это подмена сертификата безопасности (сертификат выдан не той компанией и не на те сайты).
Первый раз я обратил внимание что сайт платежной системы ЛР просит третью стадию авторизации (на самом деле их две) - так вот на этой третей стадии предлагалось ввести секьюрити пин (он нужен для отправки денег) - короче я попался и после входа в аакаунт увидел что захожу с левого IP, т.к. у меня выделенный IP - ну и потом обратил внимание что сертификат безопасности у сайта ЛР выдан не той компанией что было изначально. Сам сайт выглядит как обычно и нет ничего что могло бы говорить о подмене, с остальными сайтами платёжных систем все тоже самое.
В общем если сможете помогите разобраться и найти этот вирь.
P.S. Кстати когда я об этом написал на одном их форумов по инвестициям мне предложили обратиться к Вам , но прочитав правила первое что я сделал так это откатил систему на пару дней и при заходе на сайты платежек все стало нормально - я обрадовался, но не тут то было - каким то образом (после перезагрузки) вирь опять стал действовать и сайты опять подменились (заметил по сертификатам) - я попытался опять откатить систему - но пришол к большому удивлению т.к. сделать это было невозможно - почему я не знаю - просто не восстанавливается и все тут - пробовал разные точки но исход один.
Работа данного вируса был замечен с тремя сайтами платёжных систем (E-gold, Liberty Reserve, E-bullion).
В общем помогите чем сможете.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файлик закачал !!! - из 3 файлов у меня подозрение на fdcpodbc.dll - т.к. во первых: при загрузки компа KIS постоянно спрашивает, что с ним делать т.к. он (файл) пытается внедрится в процессы (я блокирую), второе файл startnt.bat - это утилита для взлома хаспа 1с (кто не без греха), третье: файл nwiz.exe вроде как утилита от видеокарты (но утверждать не буду) - остаётся только dll.
P.S. Так же еще один момент который заметил только что - после того как я отправил Вам логи - сертификаты на сайтах платежных систем пришли в нормальное состояние (я ведь проводил лечение по правилам прогой avz ) !!!!
P.S.S. Если Вам удастся установить что дело в fdcpodbc.dll - просьба сообщите как мне его почикать - (или просто из под сэйфмод ?)
Последний раз редактировалось Wint; 06.10.2007 в 18:36.
Я немного скрипт изменил, заодно хочется ещё один файл посмотреть - parport.sys пришлите его из карантина после перезагрузки.
Скрипт выполнил, файл приклеил согласно правил.
Посмотрите плиз может еще какая гадость.
Добавлено через 20 минут
------------------------
Ребята, ОГРОМНОЕ ВАМ ВСЕМ СПАСИБО !!!! Не знаю почему Вы этим занимаетесь (в смысли помогаете людям - причём безвозмездно ), но точно знаю, что делаете Вы все правильно и по совести ! Мир не без добрых людей !!! Желаю Вам успехов и процветания в этом не лёгком деле !
Последний раз редактировалось Wint; 07.10.2007 в 10:49.
Причина: Добавлено
C:\Disk C\Мои документы123\Программы\Spycapture\SpyCapture.zip--тоже кейлогер , если не в курсе
Насчёт ваших дырок в системе:
Код:
Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Если комп домашний в единственном экземпляре, можно смело всё залатать:
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Последний раз редактировалось drongo; 07.10.2007 в 11:35.
C:\Disk C\Мои документы123\Программы\Spycapture\SpyCapture.zip--тоже кейлогер , если не в курсе
Да огромное спасибо !!! первый раз не обратил внимание что надо было сделать, теперь все сделал - запись в реестре исправил, инишный файлик нашел и почикал (заглянул в него а там IP перенаправления хех..) только вот не понял чем искать TSPY_AGENT.YZR (тем онлайн антивирусом что у них на сайте ?)
Сообщение от drongo
Если комп домашний в единственном экземпляре, можно смело всё залатать:
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Да комп домашний, скрипт выполнил, спасибо ! Пользуюсь Firefox - IE не очень люблю.
Книжку обязательно прочту !)
Последний раз редактировалось Wint; 07.10.2007 в 11:52.
А что толку его искать если мы его удалили, просто каждая компания по своему называет тех же зверей.
а это выполняется:Работать за компьютером с правами ограниченного пользователя. ? что-то не вериться
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: