Показано с 1 по 19 из 19.

Воруют пароли WebMoney, AVZ: Перехватчик не определен! (заявка № 52655)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27

    Cool Воруют пароли WebMoney, AVZ: Перехватчик не определен!

    Здравствуйте. Троянами были выкрадены с моего ПК пароли на Вебмани, и естественно украли деньги. Использую Антивиурс Касперского-8. После кражи поставил Outpost Firewall Pro 2009, но какой-то он старнный: Не показывает список портов, активных соединений, меньше намного функций, чем в старом (не помню только в каком), при загрузке ПК выдает 2 сообщения, что какие-то сетевые драйверы не были запущены. После обновлений баз в Фаерволе он всеравно пишет, что сигнатуры устарели (хотя и обновлены, дата выпуска баз на неделю раньше..)
    Проверил систему, как написано в http://virusinfo.info/pravila.html
    Сделал все, что нужно. Cureit! не находит ничего, каспер с фаерволом тоже.. АВЗ только вот жалуется при выполнении скриптах и полном эвристическом анализе (поставил макс. настройки при поиске вирусов) жалуется на перехватчики.. "Перехватчик не определен" Вот к примеру пара строк из Протокола:

    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A4BB1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 8A4BB1F8 -> перехватчик не определен

    Пользуюсь утилитой (последней) КК.. Она ничего не находит. Помогите пожалуйста избавится от всех троянов-перехватчиков, помогите настроить фаервол или скачать другой, или посоветуйте утилиты, типа как КК.ехе

    И что еще мне нужно сделать и какие иметь программы и защиты на ПК (как Вам кажется лучше), чтобы полностью защититься от атак хакеров.

    С Уважением, Максим.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Обновите AVZ с сайта разработчика и повторите логи.
    В этих все чисто.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NomaK Посмотреть сообщение
    Троянами были выкрадены с моего ПК пароли на Вебмани
    Почему Вы думаете, что с ПК, а не по дороге? Пароль был сохранен в проводнике? На ПК?
    После кражи поставил Outpost Firewall Pro 2009, но какой-то он старнный
    это самообман: никакой защитный софт не предотвратит кражу паролей. Храните их записанными на бумажке.
    АВЗ только вот жалуется на перехватчики.. "Перехватчик не определен"
    Он не жалуется. Это нормально .
    Пользуюсь утилитой (последней) КК..
    Это кто?
    что еще мне нужно сделать
    http://virusinfo.info/showthread.php?t=30339
    какие иметь программы и защиты на ПК ...., чтобы полностью защититься от атак хакеров.
    Таких программ нет

    В принципе: Чем больше т.н. защитных программ Вы ставите, тем больше у нехорошего человека шансов, взломать Ваш ПК.

    В логах ничего подозрительного.
    Последний раз редактировалось Rene-gad; 22.08.2009 в 14:18.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    (последней) КК..
    - КидоКиллер, наверное
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    Забыл добавить, что ВСЕ базы в АВЗ и в касперском и в фаерволе обновлены и обновляются ежедневно. Как быть логи чистыми могут, если при выполнении двух скриптов АВЗ выделяет в протоколе красным цветом, что Перехватчик не определен.. т.е. последние базы даже не знают, что это за перехватчик? все пароли я храню в еще более "лучшем" месте-в голове, причем пароли на кошелек Вебмани и на все остальные-индивидуальные, содержат верхний и нижинй регистры и цифры.. т.е. Дать или показать пароли я никому не мог, вывод только один, и я это точно знаю-их выкрали именно трояном. (за мой ПК никто не садился, никому не говорил паролей, за компом 10 лет сижу и впринципе всегда успешно боролся с вирусами и мне в этом помогали, да и сам не плохой хакер..А этот так и не обнаружил, посему и знаю, что до сих пор сидит какой-то олень у меня..Причем через Инет сидит...) Кстати, когда выкрали пароли, я сново обновил все свои антивирусы, проверил все, потмо переставил систему, форматнул (естественно) С:, поставил на него систему, и потом решил проверить..Опять же (после форматирования!) на диске С: перехватчик не определен..А файл klif.sys он самый и есть.. Но АВЗ его удалить не может, пишет что нужна перезагрузка-а когда гружу ПК, то он сново там висит..

    И еще, почему думаю, что выкрали с ПК, а не подороге? да потому, что когда используешь перехватчик пакетов\снифер, то получаешь пароли в md5, а у меня они с верхним и нижним регистром+цифры.. => что любым дешифратором будешь подбирать нужный пароль лет 20.. Хотя могли и по дороге, даже скорее всего, что именно так..тогда как расшифровали мд5-кеш?

    В проге RootKitRUnlocker3.8.342.554 (последняя) в вкладке SSDT нашел "Захваченные" моменты (Hooked) NTAdjustPrivilegesTuken, NTClose, NTConnectPort, NTCreateFile, NTCreateKey и так далее. Это означает ли (может я и ошибаюсь, прогу только что скачал и запустил), что найдены захваченные некоторые функции? к примеру что-то связанное с портами, с созданием файлов, ключей рееста, каких-то привелегий?
    Последний раз редактировалось NomaK; 22.08.2009 в 14:27.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NomaK Посмотреть сообщение
    Как быть логи чистыми могут, если при выполнении двух скриптов АВЗ выделяет в протоколе красным цветом, что Перехватчик не определен..
    Ну и что? Не определен - не означает зловреден При работе АВЗ абсолютно все получают такое сообщение .
    А файл klif.sys он самый и есть..
    Это файл от Касперского. Если он Вам определенно не нравится - удалите все продукты ЛК.

  8. #7
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    Блин, ну что же это может тогда быть? ведь по сути, троян так и не найден..Посоветуйте с браундменом чтоли.. Помню утилитка где-то валялась, так она верищит на любой скан портов.. ASP (если я не ошибаюсь) зеленый кругылй значек такой.. Даже если по локалке кто-нибудь Нетлук или Ленскоп запустит и очередь его сканера дойдет до тебя, то эта утилитка выдаст полнейшую инфу о том, кто сканирует или атакует, его айпишник там все порты и т.п.. Подобные утилиты можете посоветовать? Хочу уже создать новый WMID (в Вебмани) и перечислить туда деньги, а не могу-т.к. знаю, что и новый пароль от нового WMID`а будет вытянут у меня и деньги сново могут своровать..

    И что насчет того, что фаервол при запуске винды не может загрузить некоторые сетевые драфреы? (прием в пунктах Запущеные процессы и порты (в фаерволе)) они пустые!

    Программа RootKit Unlocker LE v3.8.342.544 (последняя) во вкладке "драйвера" не видит инодного Скрытого (Hidden) Зато во вкладке SSDT -Захваченные есть (Hooked-YES) К примеру: NTAdjustPrivilegesTuken, NTClose, NTConnectPort, NTCreateFile, NTCreateKey, NTDeletekey и так далее... Есть возможность Разблокировать все (из перечисленных и из тех что есть у меня там) Я так понимаю (м.б. ошибаюсь конечно, прогу только что скачал и запустил) Что захвачены возможности создания файлов, что-то с портами, с ключами реестра. Так?
    Последний раз редактировалось NomaK; 22.08.2009 в 14:21.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NomaK Посмотреть сообщение
    ведь по сути, троян так и не найден..
    А кто Вам сказал, что ВСЕХ троянов можно обнаружить?
    Вы всегда замочек в проводнике проверяете, когда на https - странички идете? Может phishing ом у Вас деньги вытянули?
    Цитата Сообщение от NomaK Посмотреть сообщение
    Подобные утилиты можете посоветовать?
    Не могу, т.к. не пользуюсь Смотрите в соотв. разделах нашего форума. Там можете создать новую тему с вопросом по таким утилитам.
    Цитата Сообщение от NomaK Посмотреть сообщение
    И что насчет того, что фаервол при запуске винды не может загрузить некоторые сетевые драфреы?
    Обратитесь в техподдержку Agnitum. Я в необходимости файрвола очень сомневаюсь и сам не пользуюсь

  10. #9
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    хм.. Значит, стоит тупо смириться..

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NomaK Посмотреть сообщение
    Значит, стоит тупо смириться..
    Ну что Вы прикажете с карманниками делать? Понашивайте рыболовных крючков в карман, где кошелек лежит - одного поймаете ...

  12. #11
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    ну чтож, поставил уже на сайте вебмани, чтобы в мой кипер можно ыбло войти только с одного айпишника...

    Добавлено через 7 минут

    новой версией программы AVZ 4.32 Нашел вот это: C:\Windows\System32\Drivers\karlchen.sys - Перехватчик KernelMode..

    Добавлено через 15 минут

    КОЧМАРГ! Выполнил в новом АВЗ скрипты под номером 4 и 5, в общем поместил кучу системных файлов на карантин. Вот список некоторых файлов: Нетлук (из программфайлс, это же простой сканер сети на ресурсы) из систем32: xlive.dll (за что его то?) SHDOCVW.dll, Perfom.exe, xpsp2res.dll, COMRes.dll,shimgvw.dll, printui.dll, ntlanui2.dll, shscrap.dll
    , что самое интересное, так это - cmd.exe тоже туда попал.. Ну и так далее (всего 31 штука)
    Последний раз редактировалось NomaK; 22.08.2009 в 15:08. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Давайте новые логи по правилам
    - Сделайте лог GMER

  14. #13
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    Сделал лог.(прога ругается на NEtshell.dll, пишет, что она захвачена ( Hidden)
    Кстати нашел ту прогу, которая обнаруживает сканирование портов:

    http://www.izone.ru/security/utilities/aps-download.htm


    Выкладываю логи с GMER:
    Вложения Вложения
    • Тип файла: log 1.log (78.8 Кб, 5 просмотров)

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NomaK Посмотреть сообщение
    Выкладываю логи с GMER:
    А остальные логи?
    NEtshell.dll в идее системный файл: http://www.liutilities.com/products/...rary/netshell/

    Попробуйте прислать его нам по правилам (приложение 2 и 3 ).

  16. #15
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    Какие еще остальыне логи? все сделал по правилам ГМара, после сканирования нажал сохранить лог на раб. стол сохранил он один был и отправил его вам !

    Добавлено через 2 минуты

    И как его еще прислать его вам по правилам, сайт на английском.. как прислать нетшелл? скачал сканирование системы оттуда..
    Последний раз редактировалось NomaK; 23.08.2009 в 12:10. Причина: Добавлено

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Предлагаю 2 варианта:
    1. прекратить цирк и четко делать только то, что просят хелперы (попросили же - новые логи по правилам + логи GMER - лог GMER есть, новых логов по правилам - нет ... новые логи просят начиная с поста №2, сейчас уже пост номер 15, логов все нет ...)
    2. просто прекратить цирк (т.е. закрыть тему)

  18. #17
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    Прочитайте пожалуйста внимательно.

    "Обновите AVZ с сайта разработчика и повторите логи.
    В этих все чисто." Далее я ответил, что базы обновлены на всех антивирусах: "Забыл добавить, что ВСЕ базы в АВЗ и в касперском и в фаерволе обновлены и обновляются ежедневно." смысл делать повторно логи, если с момента их создания я инчего не менял? хотите логи по правилам? они выложены все тут в моих "первых" постах. Логи по правилам ГМер тоже есть.


    Вопрос по Нетшеллу.длл: "Попробуйте прислать его нам по правилам (приложение 2 и 3 )." Где такие правила новые? ссылочку дайте пожалуйста, а если эти правила и есть та ссылка: http://www.liutilities.com/products/...rary/netshell/, то там правил никаких нет, это анегл. сайт с прогарммой, от туда я скачал сканер, который очень сильно тупит. При установке этой программы обновляется она через Инет, доходит до 100% и пишет ошибку, повторяю так тысачу раз в общем потратил 25 метров на это..

    Добавлено через 35 минут

    Не большая проблемка произошла, после использования АВЗ: в папке Мой компьютер появились 3 папки: Общие документы, документы-Админ, и Web Folders.. Как от нихз избавиться, а еще лучше, как откатить изменения из пункта в АВЗ Восстановление системы. (я восстанавливал систему через АВЗ потому, что при загрузке ПК как только прогружается раб. стол вылазиет сообщение "sfc /scannow" точнее его функция, т.е. запрашивается диск и так вечно что-то проверяет, а диск (ЗверДВД) я втаскиваю, но "sfc /scannow" говорит мне, что это не тот диск, с которого была установлена система.. Так же из Пуск-Все программы-Стандартные от туда пропали Фотошопы (ярлыки) и много других ярлыков, далее там вкладка есть Стандартные-от туда вообще все почти поисчезало, включай калькулятор, во вкладке Служебные-там лишь только Интернет Эксплорер висит.. Что делать? Можно ли откатыть изменения ? (Восстановление системы выключено, т.к. я прочел здесь на форуме, что там могут лежать вирусы..)

    Заного сделал все логи. Посмотрите, пожалуйста их.

    И помогите разобраться с откатом системы, а то не хочется по новой ее переустанавливать.. Кстати в АВЗ много файлов на карантине висит, Нажимаю восстановить-ничего вообще непроисходит, они дальше там лежат..
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 23.08.2009 в 14:37.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от NomaK Посмотреть сообщение
    "Попробуйте прислать его нам по правилам (приложение 2 и 3 )." Где такие правила новые?
    Это наши правила: http://virusinfo.info/showthread.php?t=1235

    при загрузке ПК как только прогружается раб. стол вылазиет сообщение "sfc /scannow" точнее его функция, т.е. запрашивается диск и так вечно что-то проверяет, а диск (ЗверДВД) я втаскиваю, но "sfc /scannow" говорит мне, что это не тот диск, с которого была установлена система..
    Сервис Пак доустанавливали? Или обновления какие? Нужно дистрибутив с сервис паком интегрировать: http://articles.softportal.com/article-425.html

    Цитата Сообщение от NomaK Посмотреть сообщение
    новой версией программы AVZ 4.32 Нашел вот это: C:\Windows\System32\Drivers\karlchen.sys - Перехватчик KernelMode..Выполнил в новом АВЗ скрипты под номером 4 и 5, в общем поместил кучу системных файлов на карантин.
    Поэтому я и попросил сделать новые логи.
    karlchen.sys - не увидел.

    В логах ничего подозрительного

    Добавлено через 4 минуты

    Цитата Сообщение от NomaK Посмотреть сообщение
    Мой компьютер появились 3 папки: Общие документы, документы-Админ, и Web Folders.. Как от нихз избавиться, а еще лучше
    Для удаления Web Folders скопируйте код
    Код:
    Windows Registry Editor Version 5.00
    
    ; Remove Web Folders Icon
    ; Howtogeek.com
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\MyComputer\NameSpace\{BDEADF00-C265-11D0-BCED-00A0C90AB50F}]
    в чистый текстовый файл, сохраните его как 133.reg и запустите двойным щелчком.

    Добавлено через 1 минуту

    Цитата Сообщение от NomaK Посмотреть сообщение
    я восстанавливал систему через АВЗ
    Зачем?
    Если Вы ....делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.
    Последний раз редактировалось Rene-gad; 23.08.2009 в 14:56. Причина: Добавлено

  20. #19
    Junior Member Репутация
    Регистрация
    21.08.2009
    Сообщений
    45
    Вес репутации
    27
    Спасибо за помощь! Просто сделал нового пользователя и туда все свои файлы перенес.. Сейчас все отлично, вот только в папке Мой компьютер остался противный ярлык Web Folders.. А еще я установил новый фаервол - COMODO Internet Security.. Одобряете его ?

    Кстати, что там с логами ?

    Добавлено через 3 минуты

    Хорошо я понял, спасибо за рег-файл, спасибо за помощь! Думаю, что теперь с моими 4-мя антивирусами на мой новый WMID не узнают пару логин\пароль.. Спасибо за помощь !

    (И все-таки, что такое тогда karlchen.sys ? Просто если вот просто так проверять комп на вирусы АВЗ, то он некоторые файлы, причем безобидные, помещает в карантин, и у меня из меню пуска пропадают cmd калькуляторы и т.п..Раньше такого не было, когда я пользовался АВЗ года 3-4 назад..)
    Последний раз редактировалось NomaK; 23.08.2009 в 15:04. Причина: Добавлено

  • Уважаемый(ая) NomaK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Воруют пароли ВКонтакте 1. Офис комп
      От SergRus в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.06.2011, 13:41
    2. Воруют пароли
      От SergEee в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.02.2010, 23:48
    3. Как воруют пароли vkontakte.ru :)
      От tempnet в разделе Спам и мошенничество в сети
      Ответов: 0
      Последнее сообщение: 08.08.2009, 12:44
    4. Воруют пароли
      От wikbol в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.07.2009, 13:17
    5. Ответов: 2
      Последнее сообщение: 26.09.2008, 00:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00818 seconds with 22 queries