Куча вирусов, пропал доступ к WM-киперу...

**Elya007** · 18.06.2009, 22:38

Снала начали вдруг закрываться все окошки браузеров. После многократных переустановок IE установил IE8 и закрытия временно прекратились. Но началось "застревание" окошек браузера, связанных с сервисами ВебМани. Т.е. окно вроде активно, но не реагирует на действия. А вот если открыть ссылку из кипера, тогда оно становиться доступным. Авира часто начал делать предупреждения о вирусах. Пропал доступ к киперу, и вечером начали приходить письма об оплате мной каких-то счетов, которые я в глаза не видел.
Начал переписку со службой поддержки вебмани, они меня направили к вам. Пытался сделать 1-й шаг, описанный в Ваших правилах, но ПК не загружался в безопасном режиме даже с резервной ОС (она специально для такого случая ждет на другом диске). Установил Windows на резервный винчестер, с которого комп уже загружался в безопасном режиме и выполнил 1-й шаг. После чего отключил новый ЖД и перезагрузился только на старом (где все проблемы) и проделал остальные шаги (см. прикрепленные файлы).
Почему это все произошло, если работают и авира и фаервол? Я ж их не отключал...
Насколько все это серьезно? Нужно ли переустанавливатьWindows? И как ее правильно настраивать (AVZ жаловался на опасные настройки)? Может у Вас есть какие-то специальные советы для владельцев WM-киперов?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 18.06.2009, 22:55

Пофиксите строчки в Hijackthis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('java32w.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('java32w.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы
Повторите логи по правилам.
У Вас Троян-шпион, возможно пароли от WM ушли на сторону.

**Elya007** · 23.06.2009, 16:34

Карантин загрузил, а что значит "Повторите логи по правилам.", это - пройти опять все шаги создания логов и опять их сюда выслать?
Насколько серьезны мои проблемы - т.е. могли ли хакеры обокрасть мой кипер?

**pig** · 23.06.2009, 23:22

Сообщение от Elya007

"Повторите логи по правилам.", это - пройти опять все шаги создания логов и опять их сюда выслать?

Да.

Пароли поменяйте, авось, не поздно ещё.

**Elya007** · 25.06.2009, 14:36

Произвел опять проверку по правилам, только поскольку в защищенном режиме я опять не смог загрузиться, то проверка происходила в обычном режиме. Кроме того, у меня теперь стоит 2-й антивирус (аваст) и им я также производил проверку. Может нет смысла лечить - не лучше ли переустановить систему и работать с 2-мя антивирусами. Знаете, пройти один раз по Вашим правилам куда больше времени займет, чем переустановить Windows с программами, но после переустановки ведь будешь работать с новой системой, а не хрен знает с чем, я прав? Кому нужно такое "лечение"?
Насчет паролей, так я первым делом как только заметил неладное начал требовать у службы поддержки Вебмани заблокировать кипер, но они только через 12 часов его заблокировали и из их слов я понял, что уже поздно. Но кипер все равно уже заблокирован.

**Bratez** · 25.06.2009, 14:56

В логах больше ничего плохого не видно. Переустанавливать систему нет никакой необходимости, только очень рекомендуется поставить SP3 и последующие обновления. Два антивируса не есть гут, тормоза и глюки обеспечены. Так что лучше один уберите.