Был взломан webmoney кошелек

[booba]

Взломали кошелек - вывели деньги. IP адрес захода в мой кошелек в момент кражи является ip адресом моего провайдера (но сегменты разные). Наверное есть какие-то keylogers и прочие шпионские программы... Как вылечиться от всего этого и узнать что комп чист - и можно менять все пароли.. и как вообще умудрились вскрыть кошелек...

Помогите!
P.S. жалко не деньги, хочу предотвратить подобное в будущем.

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll (file missing)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)
O3 - Toolbar: PROMT - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Program Files\PRMT6\PRMTIE\prmtie.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

2. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Temp\JET42EF.tmp','');
 QuarantineFile('C:\thumbs.db','');
 QuarantineFile('Odauedpspwm.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Tpc00.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Suq80.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv01.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lgh56.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gco81.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ati8xcxx.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\a0l5bqyp.SYS','');
 DeleteService('Odauedpspwm');
 DeleteService('Suq80');
 DeleteService('Nrv01');
 DeleteService('Lgh56');
 DeleteService('Gco81');
 DeleteService('ati8xcxx');
 DeleteFile('C:\WINDOWS\System32\Drivers\ati8xcxx.sys');
 DeleteFile('Odauedpspwm.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Suq80.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gco81.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lgh56.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Nrv01.sys');
 DeleteFile('C:\thumbs.db');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_DeleteFile('Odauedpspwm.sys');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[booba]

Сделал все что сказали, карантин файл отправил - остальные файлы во вложении.

Что дальше?

[AndreyKa]

В логах нет ничего подозрительного.
Обновите базы AVZ.
Проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 23
• В ходе лечения вредоносные программы в карантинах не обнаружены