Трояны???

Printable View

27.03.2009, 18:48
Soland

Вложений: 3

Трояны???

Добрый день, уважаемые хелперы!
Проблема состоит в следующем:
26.03.09 около 9-00 по Киеву в ВМ-кипере произошли непонятные вещи
Сначала я получаю "Перевод средств 6.49 WMZ из секции wm.exchanger.ru по встречной заявке 5342563", хотя никаких заявок я не давал. С моего Е-кошелька списалось 4.96 WME. Сразу же после этого с моего Z-кошелька в адрес Z277664358903 (103145595876) снялась сумма 44.20 WMZ с примечанием "оплата", хотя никому никакой оплаты я произодить не собирался. Попытки зайти на wm.exchanger.ru результата не дали - выдавалось сообщение "Пользователь офлайн, Запустиле ВМ-кипер" Хотя он был запущен. >При выходе из кипера и новой попытке входа мне выдает ошибку "Не выполнена команда входа". Попытки провести ининциализацию через файлы ключей тоже ни к чему не привели - кипер не запускатся.
Служба поддержки WebMoney рекомендовала обратиться к Вам.
Логи
[ATTACH]121329[/ATTACH]
[ATTACH]121330[/ATTACH]
[ATTACH]121331[/ATTACH]

Заранее благодарен!
27.03.2009, 19:20
light59

В логе
[CODE]C:\Program Files\RusIP Transfer System\rusip.exe >>>>> Trojan-PSW.Win32.WebMoner.x успешно удален
[/CODE]
Воровайка паролей...

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\system32\ntos.exe','');
QuarantineFile('C:\WINNT\System32\rs32net.exe','');
DeleteFile('(Нет)');
DeleteFile('C:\Documents and Settings\And\And.exe');
DeleteFile('C:\WINNT\System32\rs32net.exe');
DeleteFile('C:\WINNT\system32\ntos.exe');
DeleteFile('digeste.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=42672"]http://virusinfo.info/upload_virus.php?tid=42672[/URL]
Повторите логи.

P.S.В саппорт webmoney писали?
27.03.2009, 21:05
Soland

Спасибо!
Но дело в том, что RusIP Transfer System является программой передачи средств из системы RusIP - об этом написано на сайте [url]http://rusip.ru/[/url] - Каспер действиетельно считает этот файл чистым, тем более Transfer System используется мной уже более года и никаких нареканий не вызывал.
Саппорт WM что-то пишет о восстановлении... попробую..
А какие логи повторить? Повторно прогнать AVZ и HiJackThis??
27.03.2009, 21:14
Гриша

Да...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

rusip.exe пришлите в архиве с паролем "virus", разработчик уберет кривую сигнатуру...
28.03.2009, 21:41
Soland

Вложений: 4

Новые логи и rusip.exe в RAR
28.03.2009, 22:35
Гриша

В логах чисто, rusip.exe прислать по красной ссылке вверху темы...
29.03.2009, 23:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\winnt\system32\ntos.exe - [B]Trojan-PSW.Win32.Broker.n[/B] ( DrWEB: Trojan.Packed.511, BitDefender: Trojan.Spy.Zeus.1.Gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]