-
Junior Member
- Вес репутации
- 58
Украдены деньги WEBMONEY
Собственно нужно посмотреть на наличие скрытых троянов и прочей фигни...
дабы УБЕДИТЬСЯ ВОРУЕТ ЛИ СИСТЕМА WEBMONEY ДЕНЬГИ СВОИХ ПОЛЬЗОАТЕЛЕЙ или это работа новых неизвестных антивирусам вредоносных программ
Добавлено через 6 минут
собстно вот
Ошибки загрузкиvirusinfo_syscheck.zip:
Превышен предел на форуме (14.2 Кбайт).
virusinfo_syscure.zip:
Превышен предел на форуме (15.0 Кбайт).
hijackthis.log:
Превышен предел на форуме (1.1 Кбайт).
Последний раз редактировалось bost84; 19.08.2008 в 01:28.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Заархивируйте 3 лога в один архив и на файлообменник, а нам тут ссылочку дайте.
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось bost84; 19.08.2008 в 01:34.
Причина: Добавлено
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\B68E~1\LOCALS~1\Temp\ALSysIO.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28375
-
Junior Member
- Вес репутации
- 58
второй раз отправил правильно...
Добавлено через 10 часов 5 минут
кто-нить смотрел?
что скажете?
Последний раз редактировалось bost84; 19.08.2008 в 12:13.
Причина: Добавлено
-
Сообщение от
bost84
кто-нить смотрел?
Смотрели: В присланном Вами файле не найдено ничего вредоносного. Архив пустой
-
-
Junior Member
- Вес репутации
- 58
а по логам ещё что-нибудь подозрительное есть?
если нет то вывод только один... сам напрашивается...
ЕСЛИ НЕТ ЗЛОВРЕДОВ КОТОРЫЕ МОГЛИ УВЕСТИ ПАРОЛИ И КЛЮЧ К КОШЕЛЬКУ WEBMONEY ЗНАЧИТ ДЕНЬГИ УВЕЛА САМА ОРГАНИЗАЦИЯ!!!
Последний раз редактировалось bost84; 19.08.2008 в 13:07.
-
Сообщение от
bost84
а по логам ещё что-нибудь подозрительное есть?
Коллега wise-wistful нашел подозрительное и хотел на него посмотреть. Попробуйте найти файл и повторить закачку. Предварительно убедитесь, попал ли файл в карантин.
-
-
Junior Member
- Вес репутации
- 58
файл не найден!
искал по правилам как описано...
что дальше?
-
Значит больше ничего подозрительного на найдено.
А как система себя ведет?
-
-
Junior Member
- Вес репутации
- 58
Система ведёт себя нормально!
никак подзрений не вызывает!
я собственно поэтому так про WEBMONEY и говорю.
Защита стоит KIS на максимальных настройках проверки + аппаратный фаервол. Естественно никакие файлы (тем более ключей) и пароли никому не отсылал не говорил... вообщем имею представление о безопасности... вот собственно и пытаюсь выяснить что к чему...
насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... но трояна как вы говорите тоже нет... остаётся один вариант.
-
Сообщение от
bost84
насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае...
Смотря какие пароли.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Rene-gad
Смотря какие пароли.
даже если бы были 123456 то как ключ увели???
хотя пароли конечно же не такие были...
-
Сообщение от
bost84
Система ведёт себя нормально!
никак подзрений не вызывает!
я собственно поэтому так про WEBMONEY и говорю.
Защита стоит KIS на максимальных настройках проверки + аппаратный фаервол. Естественно никакие файлы (тем более ключей) и пароли никому не отсылал не говорил... вообщем имею представление о безопасности... вот собственно и пытаюсь выяснить что к чему...
насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... но трояна как вы говорите тоже нет... остаётся один вариант.
Начнем по порядку ...
1. сколько денег пропало ?
2. есть ли доступ к кошельку ?
3. если ответ на п.п. 2 положительный, то что записано в логах WebMoney кошелька ? (если два раза щелкнуть скажем по рублевому кошельку, открывается лог всех операций - поступления, списания, когда, кому и т.п. в хронологическом порядке)
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Зайцев Олег
Начнем по порядку ...
1. сколько денег пропало ?
2. есть ли доступ к кошельку ?
3. если ответ на п.п. 2 положительный, то что записано в логах WebMoney кошелька ? (если два раза щелкнуть скажем по рублевому кошельку, открывается лог всех операций - поступления, списания, когда, кому и т.п. в хронологическом порядке)
в том то и дело...
не надо меня совсем за дурака считать
1. 12500 (с чем то)рублей
2. доступа нет пароль сменили, в оставшихся от кошельках данных посмотрел перевода нет. значит не троян подомной не переводил деньги.
-
Сообщение от
bost84
в том то и дело...
не надо меня совсем за дурака считать
1. 12500 (с чем то)рублей
2. доступа нет пароль сменили, в оставшихся от кошельках данных посмотрел перевода нет. значит не троян подомной не переводил деньги.
Никто Вас за дурака не считает - прочто Вы представьте, что пришли на прием к врачу // Вы же не врываетесь в кабинет с криком "Не надо меня считать дураком, я все в медицине лучше вас знаю ..." Мы же совершенно не в курсе вашей проблемы - нужно понять ситуацию - деньги то по разному можно "увести" - левый перевод, полный захват webmoney и т.п. Далее вот такие вопросы
1. Если нет доступа к кошельку, то откуда известно, что в кошельке нет денег ?
2. кошелек на свои данные регистрировался (там же есть email для активации, ФИО, паспортные данные и т.п.) ? если да, то в саппорт webmoney нужно срочно написать письмо с того ящика, который указан был при регистрации кошелька - и сообщить о проблеме, указав все свои реквизиты - посмотрим, что они ответят. А перед этим поменять для профилактики пароли на почту
3. Как сделан доступ с компьютера в Инет ? (прямое подключения через что-то типа xDSL, "домашняя сеть", некая внутридомовая сеть провайдера и т.п. ?
4. Под какой учетной записью идет работа (в плане с правами она или нет)
5. Пароль учетной записи и учетной записи админа длинные/корявые или как обычно пустые ?
Последний раз редактировалось Зайцев Олег; 19.08.2008 в 13:56.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Зайцев Олег
Никто Вас за дурака не считает - прочто Вы представьте, что пришли на прием к врачу // Вы же не врываетесь в кабинет с криком "Не надо меня считать дураком, я все в медицине лучше вас знаю ..."
Мы же совершенно не в курсе вашей проблемы - нужно понять ситуацию - деньги то по разному можно "увести" - левый перевод, полный захват webmoney и т.п. Далее вот такие вопросы
1. Если нет доступа к кошельку, то откуда известно, что в кошельке нет денег ?
2. кошелек на свои данные регистрировался (там же есть email для активации, ФИО, паспортные данные и т.п.) ? если да, то в саппорт webmoney нужно срочно написать письмо с того ящика, который указан был при регистрации кошелька - и сообщить о проблеме, указав все свои реквизиты - посмотрим, что они ответят. А перед этим поменять для профилактики пароли на почту
3. Как сделан доступ с компьютера в Инет ? (прямое подключения через что-то типа xDSL, "домашняя сеть", некая внутридомовая сеть провайдера и т.п. ?
простите сорвалось... действительно вы ведь ничего не знаете... больше так не буду
1. Известно от арбитража WEBMONEY, естественно после того как несколько раз подряд не смог войти в кипер связался со службой поддержки WM где мне было сказано что пароль 15.08.2008 был изменён. Этого же числа я и не смог войти в кипер. сказали писать в арбитраж... я естественно сразу туда... поздно ночью 12:10 по Москве приходит письмо от арбитража мол на кошельках пусто все деньги переведены на такой то счёт в системе РБК money. Ваш WMID заблокирован.(имеется вся переписка).
2.Сделано естественно. Регился на свои данные так что с этим проблем нет. заявку на восстановление доступа подал... в статусе уже даже стоит : данные проверены и переданы в отдел восстановления. ПАРОЛЬ НА ПОЧТУ СМЕНИЛ ПЕРВЫМ ДЕЛОМ!
С ответом не понятно пока... они отвечают очень скупо... такое ощущение что им это всё побоку. Хотя я уже без них всё выяснил куда ушли все деньги. Связался с магазином. На деньги кстати были куплены аккаунты на рапиду. Магазин готов вернуть деньги. ТОЛЬКО НУЖНО ЧТОБЫ WEBMONEY подтвердили факт мошенничества. Тем более что сегодня пришло письмо мол нам добавить нечего только вот ip с которого был последний доступ на ваш кипер... есссно IP не из моей подсетки. я им опять отписал чтобы связались с РБК и сообщили что деньги украдены. иначе РБК мне их не вернет. узнал про купленные аккаунты от РБК собственно. обратился в их поддержку они мне сказали. жду очередного ответа от WEBMONEY. (есть вся история переписки со всеми).
3. доступ xDSL. динамический ip вида xxx.xxx.zzz.yyy
zzz меняется очень редко
yyy при каждом переподключении
ip никаких не внутренних сетей а глобальные. т.е. каждому абоненту собственный ip в сети интернет.
стоит модем со встроенным роутером. в нём включён фаерволл на максимум. даже на ping не отвечает. проверял.
4. работа под админом
5. средней безопасности пароль на админа скажем так. но не 123456
Вообще очень хочется разобраться в ситуации. ОЧЕНЬ НЕ ХОЧЕТСЯ ВЕРИТЬ ЧТО WEBMONEY ЗДЕСЬ ПРИЧАСТНЫ.
жду ваших следующих вопросов...
-
Я не думаю, что Webmoney здесь причастны.
Даже если у Вас на компьютере нет вредоносной программы, ворующей пароли, это не значит, что ее не было. Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника.
В логах у Вас есть подозрительный файл, проверим его:
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
end.
Пришлите карантин согласно приложению 3 правил.
Рекомендуется удалить программу Bonjour.
-
-
Сообщение от
bost84
жду ваших следующих вопросов...
давайте рассуждать:
1. Явного зловреда не видно ... в данной ситуации можно применить более "крутые" меры - снять HDD и пролечить его с чистой машины KAV и CureIT - на случай, если на диске сидит что-то хитро и надежно маскирующееся
2. если железный FW + KIS + пароль на учетной записи, то вероятность того, что кто-то пролез извне и хакнул ПК выглядит крайне маловероятной
3. Физический доступ к ПК у кого-то есть ? (дети, родственники, сослуживцы ... - кто угодно) ?
4. Пароль на учетной записи или BIOS спрашивается при загрузке ПК ?
Добавлено через 3 минуты
Сообщение от
kps
... Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника. ...
Я тоже так думал - но во первых пинч не может украсть пароль Webmoney (последний его не хранит), а во вторых - для доступа к кошельку нужен еще файл ключей + при смене IP и железа в теории кошелек должен заблокироваться и на указанный в регистрации email высылается код активации. Это кстати можно уточнить в саппорте и арбитраже Webmoney - высылали ли они после смены пароля код активации кошелька, и если да - на какой адрес
Последний раз редактировалось Зайцев Олег; 19.08.2008 в 14:35.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Зайцев Олег
давайте рассуждать:
1. Явного зловреда не видно ... в данной ситуации можно применить более "крутые" меры - снять HDD и пролечить его с чистой машины KAV и CureIT - на случай, если на диске сидит что-то хитро и надежно маскирующееся
2. если железный FW + KIS + пароль на учетной записи, то вероятность того, что кто-то пролез извне и хакнул ПК выглядит крайне маловероятной
3. Физический доступ к ПК у кого-то есть ? (дети, родственники, сослуживцы ... - кто угодно) ?
4. Пароль на учетной записи или BIOS спрашивается при загрузке ПК ?
1. к сожалению нет возможности так сделать. по крайней мере пока.
2. и я про тоже.
3. Доступ только у меня, комп дома стоит.
4. нет. на биосе пароля нет, на записи тоже. ещё раз повторю что физически доступом к компу воспользоваться никто не мог. Если только заиметь ключи от квартиры. но это уже бред. и не ради такой суммы так мутить.
Добавлено через 4 минуты
Сообщение от
Зайцев Олег
Я тоже так думал - но во первых пинч не может украсть пароль Webmoney (последний его не хранит), а во вторых - для доступа к кошельку нужен еще файл ключей + при смене IP и железа в теории кошелек должен заблокироваться и на указанный в регистрации email высылается код активации. Это кстати можно уточнить в саппорте и арбитраже Webmoney - высылали ли они после смены пароля код активации кошелька, и если да - на какой адрес
обязательно запрошу...
повторюсь если кто не знает на почту письмо с кодом активации не приходило!!!
Последний раз редактировалось bost84; 19.08.2008 в 14:44.
Причина: Добавлено