Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Украли Webmoney и сменили пароль. (заявка № 43460)

  1. #1
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28

    Thumbs up Украли Webmoney и сменили пароль.

    Ткнулся вечером 12.03.09 в Webmoney. Пароль не принимает, инициализироваться не хочет. Служба поддержки пишет пароль был сменен 12.03.09 в 19.05 пройдите процедуру восстановления. Восстановил доступ к Webmoney, открываю, денег нет. В операциях рублевого кошелька три прихода различными суммами(начиная с 18.10) и один большой перевод на какой-то кошелек в 19.04. Активация на мыло не приходила. Подозрение на троян.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    "Пофиксите" в HijackThis
    Код:
    F2 - REG:system.ini: Shell=
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing)

    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\psubst.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\DSDrv4.sys','');
     QuarantineFile('D:\My\777\3\rdrive\DrvSnSht.sys','');
     QuarantineFile('C:\Program Files\TopServer 2.1\usr\local\FTP\SlimFTPd.exe','');
    BC_Importquarantinelist;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43460

    Код:
     c:\Program Files\Icq_щдв1111\Icq1.exe
    Это аська у вас?

  4. #3
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Цитата Сообщение от light59 Посмотреть сообщение

    Код:
     c:\Program Files\Icq_щдв1111\Icq1.exe
    Это аська у вас?
    Была, когда то переименовал, поставил новую и забыл. Удалил всю папку Icq_щдв1111.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Вредоносный код в файлах не обнаружен.

    В логах не вижу ничего плохого.
    Обновите базы каспера и сделайте полную проверку на всякий случай.

    Ткнулся вечером 12.03.09 в Webmoney. Пароль не принимает, инициализироваться не хочет.
    А до этого никакие файлики не запускали? Может кто-то что-то прислал или ссылку дал, вы ткнулись туда и после этого увели пароли.

  6. #5
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Каспер обновляется на автомате чуть ли не каждый день. Перед тем как проверить AVZ-ом. Прошел полную проверку касперским. Каспер ничего не нашел. При проверке Dr. Web CureIt из безопасного режима, CureIt нашел три трояна: Trojan.BitAcc.8, Trojan.AdVirtualNetwork.2, Trojan.NtRootKit.1519, сказал что лечение не возможно и все удалил. Из этих трех гадов кто нибудь способен на такое?
    Увести пароли мало. Нужно увести еще файл ключей и пройти активацию. А почтовым ящиком пока я управляю и никаких подозрительных писем об активации не приходило.
    А что такое psubst.exe и подозрение его на Trojan.Win32.Agent.acmc?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    PSUBST - утилита, которая реализует стандартные функции команды SUBST и добавляет несколько своих для доступа к виртуальным дискам, доступным в момент загрузки системы.

  8. #7
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Может с домашнего компа увели? http://virusinfo.info/showthread.php?t=43772

  9. #8
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Поможите люди добрые! Проблемма то осталась! Вчера отлучился на полтора часа, оставив кипера в онлайне. Возвращаюсь, как обычно ввожу пароль на выход из заставки и .... На рабочем столе открыто окно кипера(хотя он в трэе был), поверх него открыт проводник с предложением показать где у меня ключи спрятаны, и 8! запросов активации на e-mail с моего ip. Проводник с кипером опорно отказались добровольно закрываться , пришлось процесс webmoney.exe убить.
    Я уже и не знаю где заразу искать, учитывая что логи скорее всего чистыми окажутся.

    Логи.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Закачайте файл ..\LOG\virusinfo_cure.zip тут: http://virusinfo.info/upload_virus.php?tid=43460

  11. #10
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Файл сохранён как 090416_114927_virusinfo_cure_49e6e307178ff.zip
    Размер файла 19032
    MD5 d0333e45ab886206ba6322a397ee4dfa

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Сделайте лог Gmer, дополнительно WebMoney можно защитить с помошью Enum.

  13. #12
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Лог Gmer
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Папка Documents and Settings содержит какую-то странную папку, имя которой состиот из вопросительных знаков (по крайней мере я ее так вижу). Откройте в проводнике папку Documents and Settings и посмотрите, что там есть. Предварительно убедитесь, что у Вас активирован показ скрытых и системных файлов. Можете воспользоваться Volkov Commander или Total Commander.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Пришлите в карантин файл C:\WINDOWS\system32\kernel32.dll

  16. #15
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    Documents and Settings/¦+T-¦+~1/Locals~1/Temp
    там 10 файлов типа avz_3696_1.tmp, avz_5212_1.tmp... Весит все это дело 6,6Мб.

    Файл сохранён как 090416_133708_kernel32_49e6fc441d9c6.zip
    Размер файла 376480
    MD5 354f0633c81c015c5802f351ce5ce629

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от begunok Посмотреть сообщение
    Documents and Settings/¦+T-¦+~1/
    А учетка такая тоже есть?

  18. #17
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    А учетка такая тоже есть?
    Нет. понятия не имею как эта папка появилась. Там только один путь (Locals~1/Temp), других папок нет.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    kernel32.dll - Вредоносный код в файле не обнаружен.

  20. #19
    Junior Member Репутация
    Регистрация
    08.04.2009
    Сообщений
    22
    Вес репутации
    28
    А по локальной сети такие действия возможны?

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    585
    Код:
    c:\windows\system32\remotecontrolservice.exe
    Это что у вас такое?

  • Уважаемый(ая) begunok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. сменили пароль
      От User00 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.09.2010, 19:32
    2. Украли Webmoney..
      От soprof в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 23.01.2010, 23:06
    3. Ответов: 8
      Последнее сообщение: 26.11.2009, 10:54
    4. украли пароль WebMoney кипера
      От Michael2031 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.08.2009, 10:19
    5. Украли WebMoney
      От WebPlayer в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.08.2009, 21:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00513 seconds with 24 queries