PDA

Просмотр полной версии : Украли Webmoney и сменили пароль.



begunok
08.04.2009, 15:06
Ткнулся вечером 12.03.09 в Webmoney. Пароль не принимает, инициализироваться не хочет. Служба поддержки пишет пароль был сменен 12.03.09 в 19.05 пройдите процедуру восстановления. Восстановил доступ к Webmoney, открываю, денег нет. В операциях рублевого кошелька три прихода различными суммами(начиная с 18.10) и один большой перевод на какой-то кошелек в 19.04. Активация на мыло не приходила. Подозрение на троян.

light59
08.04.2009, 15:24
"Пофиксите" (http://www.virusinfo.info/showthread.php?t=4491) в HijackThis


F2 - REG:system.ini: Shell=
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing)



В AVZ -> файл-> Выполнить скрипт (http://virusinfo.info/showthread.php?t=7239)



begin
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\psubst.exe','' );
QuarantineFile('C:\WINDOWS\system32\drivers\DSDrv4 .sys','');
QuarantineFile('D:\My\777\3\rdrive\DrvSnSht.sys',' ');
QuarantineFile('C:\Program Files\TopServer 2.1\usr\local\FTP\SlimFTPd.exe','');
BC_Importquarantinelist;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=43460


c:\Program Files\Icq_щдв1111\Icq1.exe Это аська у вас?

begunok
08.04.2009, 16:02
c:\Program Files\Icq_щдв1111\Icq1.exe Это аська у вас?

Была, когда то переименовал, поставил новую и забыл. Удалил всю папку Icq_щдв1111.

light59
08.04.2009, 20:25
Вредоносный код в файлах не обнаружен.

В логах не вижу ничего плохого.
Обновите базы каспера и сделайте полную проверку на всякий случай.


Ткнулся вечером 12.03.09 в Webmoney. Пароль не принимает, инициализироваться не хочет.
А до этого никакие файлики не запускали? Может кто-то что-то прислал или ссылку дал, вы ткнулись туда и после этого увели пароли.

begunok
09.04.2009, 07:19
Каспер обновляется на автомате чуть ли не каждый день. Перед тем как проверить AVZ-ом. Прошел полную проверку касперским. Каспер ничего не нашел. При проверке Dr. Web CureIt из безопасного режима, CureIt нашел три трояна: Trojan.BitAcc.8, Trojan.AdVirtualNetwork.2, Trojan.NtRootKit.1519, сказал что лечение не возможно и все удалил. Из этих трех гадов кто нибудь способен на такое?
Увести пароли мало. Нужно увести еще файл ключей и пройти активацию. А почтовым ящиком пока я управляю и никаких подозрительных писем об активации не приходило.
А что такое psubst.exe и подозрение его на Trojan.Win32.Agent.acmc?

SDA
09.04.2009, 09:47
PSUBST - утилита, которая реализует стандартные функции команды SUBST и добавляет несколько своих для доступа к виртуальным дискам, доступным в момент загрузки системы.

begunok
14.04.2009, 10:52
Может с домашнего компа увели? http://virusinfo.info/showthread.php?t=43772

begunok
16.04.2009, 08:27
Поможите люди добрые! :sos: :help: Проблемма то осталась! Вчера отлучился на полтора часа, оставив кипера в онлайне. Возвращаюсь, как обычно ввожу пароль на выход из заставки и .... :shok: :censored: На рабочем столе открыто окно кипера(хотя он в трэе был), поверх него открыт проводник с предложением показать где у меня ключи спрятаны, и 8! запросов активации на e-mail с моего ip. Проводник с кипером опорно отказались добровольно закрываться :furious3:, пришлось процесс webmoney.exe убить. :diablo:
Я уже и не знаю где заразу искать, :dash1: учитывая что логи скорее всего чистыми окажутся.

Логи.

Rene-gad
16.04.2009, 10:35
Закачайте файл ..\LOG\virusinfo_cure.zip тут: http://virusinfo.info/upload_virus.php?tid=43460

begunok
16.04.2009, 10:49
Файл сохранён как 090416_114927_virusinfo_cure_49e6e307178ff.zip
Размер файла 19032
MD5 d0333e45ab886206ba6322a397ee4dfa

RiC
16.04.2009, 11:09
Сделайте лог Gmer (http://www.gmer.net), дополнительно WebMoney можно защитить с помошью Enum (http://www.enum.ru).

begunok
16.04.2009, 11:41
Лог Gmer

Rene-gad
16.04.2009, 11:48
Папка Documents and Settings содержит какую-то странную папку, имя которой состиот из вопросительных знаков (по крайней мере я ее так вижу). Откройте в проводнике папку Documents and Settings и посмотрите, что там есть. Предварительно убедитесь, что у Вас активирован показ скрытых и системных файлов. Можете воспользоваться Volkov Commander или Total Commander.

Alex_Goodwin
16.04.2009, 12:14
Пришлите в карантин файл C:\WINDOWS\system32\kernel32.dll

begunok
16.04.2009, 12:37
Documents and Settings/¦+T-¦+~1/Locals~1/Temp
там 10 файлов типа avz_3696_1.tmp, avz_5212_1.tmp... Весит все это дело 6,6Мб.

Файл сохранён как 090416_133708_kernel32_49e6fc441d9c6.zip
Размер файла 376480
MD5 354f0633c81c015c5802f351ce5ce629

Rene-gad
16.04.2009, 12:41
Documents and Settings/¦+T-¦+~1/А учетка такая тоже есть? :O

begunok
16.04.2009, 12:54
А учетка такая тоже есть? Нет. понятия не имею как эта папка появилась. Там только один путь (Locals~1/Temp), других папок нет.

light59
16.04.2009, 13:06
kernel32.dll - Вредоносный код в файле не обнаружен.

begunok
16.04.2009, 13:11
А по локальной сети такие действия возможны?

light59
16.04.2009, 13:16
c:\windows\system32\remotecontrolservice.exe
Это что у вас такое?

begunok
16.04.2009, 13:27
c:\windows\system32\remotecontrolservice.exeЭто что у вас такое?
Не знаю. :unknw:

Добавлено через 2 минуты

Ааа, это пульт управления я ставил когда-то. А удалить так и не смог. Он у меня до сих пор в трэе висит. В установке/удаление программ его нет. В автозагрузке я его не нашел. Вот так и висит.

light59
16.04.2009, 15:19
не нравится она мне. А раз она вам больше не нужна, то удалим?
Поставьте ещё SP3 + последующие обновления безопасности.

begunok
16.04.2009, 15:40
Удалил(точнее пока переместил) RemoteControlService.exe, remotepg.dll, remotesp.tsp

begunok
17.04.2009, 12:48
Поставьте ещё SP3 + последующие обновления безопасности. Поставил. Всем спасибо.

light59
17.04.2009, 12:51
Проблема повторялась?

begunok
17.04.2009, 14:41
Пока нет.

light59
17.04.2009, 14:42
Если повторится, напишите. будем думать дальше.

CyberHelper
18.04.2009, 14:42
Статистика проведенного лечения:

Получено карантинов: 5
Обработано файлов: 7
В ходе лечения вредоносные программы в карантинах не обнаружены