-
Junior Member
- Вес репутации
- 53
Не могу найти троян снимающий деньги с моего кошелька
Прошу совета. С моего WebMoney Keeper с помощью троянской программы сняли все деньги. Соответственно вмид заблокировали. Прошерстил весь комп NOD32, все зловредное прибил. Вмид разблокировал. Хотел снять деньги, а вмид опять заблокирован, обратился в вебмани, вот ответ:
"Нами были зафиксированы попытки перхвата управления над Вашим WMID троянской программой, поэтому Ваш wmid заблокирован".
Прошелся опять NOD32 ничего не нашел. Вот такая проблема.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Maxim
Не могу открыть, вот что пишет :
Страница, которую вы пытаетесь просмотреть, не может быть показана, так как она использует неверную или неподдерживаемую форму компрессии.
* Пожалуйста свяжитесь с владельцами веб-сайта и проинформируйте их об этой проблеме.
-
Откройте ее при помощи Internet Explorer, у меня все работает
-
-
-
-
Junior Member
- Вес репутации
- 53
-
Junior Member
- Вес репутации
- 53
Все выполнил
Сообщение от
Maxim
Жду помощи
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Обновите базы AVZ! Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Все выполнил
Сообщение от
Venus Doom
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт.
Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "
Прислать запрошенный карантин" над первым сообщением темы)
Обновите базы AVZ! Сделайте новые логи
Обновляю логи
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
-
В логах чисто
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Хоть Ваша ОС упорно не хочет нам выдавать свою тайну Service Pack, все равно настоятельно рекомендуется установить SP3 + все заплатки (может потребоваться повторная активация). Обновите Internet Explorer до версии 8.
В Вашей системе были обнаружена троянская программа класса Spy\Banker, рекомендуется сменить все пароли
Результаты карантина:
sdra64.exe - Trojan-Banker.Win32.Bancos.hqh
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
В логах чисто
В Вашей системе были обнаружена троянская программа класса Spy\Banker, рекомендуется сменить все пароли
Результаты карантина:
sdra64.exe - Trojan-Banker.Win32.Bancos.hqh
какие пароли сменить и как удалить данный троян
-
Сообщение от
sergejjs
какие пароли сменить и как удалить данный троян
Троян уже удален, а вот пароли могли уйти куда не нужно. Сменить все пароли, особенно пароли от электронных кошельков
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Venus Doom
Троян уже удален, а вот пароли могли уйти куда не нужно. Сменить все пароли, особенно пароли от электронных кошельков
Спасибо, спасибо и ещу раз спасибо. 3 месяца не мог его обнаружить.
И еще, что делать чтобы не нахвататься еще троянов. Ведь мой НОД32 постоянно обновляеться
-
Спасибо, спасибо и ещу раз спасибо
И на счастье кнопочку "спасибо" нажмите =)
И еще, что делать чтобы не нахвататься еще троянов
Тут конкретного ответа нет. Аккуратнее в сети. Не запускайте незнакомые программы и не посещайте сомнительные сайты
-
-
http://virusinfo.info/showthread.php?t=30339
Должно помочь, мне помогает уже ни один год
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Banker.Win32.Bancos.hqh ( DrWEB: Trojan.PWS.Panda.171 )
-