-
Junior Member
- Вес репутации
- 51
Был взломан webmoney кошелек
Взломали кошелек - вывели деньги. IP адрес захода в мой кошелек в момент кражи является ip адресом моего провайдера (но сегменты разные). Наверное есть какие-то keylogers и прочие шпионские программы... Как вылечиться от всего этого и узнать что комп чист - и можно менять все пароли.. и как вообще умудрились вскрыть кошелек...
Помогите!
P.S. жалко не деньги, хочу предотвратить подобное в будущем.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\JET42EF.tmp','');
QuarantineFile('C:\thumbs.db','');
QuarantineFile('Odauedpspwm.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tpc00.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Suq80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lgh56.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gco81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8xcxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a0l5bqyp.SYS','');
DeleteService('Odauedpspwm');
DeleteService('Suq80');
DeleteService('Nrv01');
DeleteService('Lgh56');
DeleteService('Gco81');
DeleteService('ati8xcxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8xcxx.sys');
DeleteFile('Odauedpspwm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Suq80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gco81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lgh56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv01.sys');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_DeleteFile('Odauedpspwm.sys');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
Сделал все что сказали, карантин файл отправил - остальные файлы во вложении.
Что дальше?
-
В логах нет ничего подозрительного.
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 23
- В ходе лечения вредоносные программы в карантинах не обнаружены
-