Был взломан wm кипер

Printable View

25.06.2010, 09:11
Nacida

Был взломан wm кипер

Здравствуйте!
На моем компьютере был взломан wm кипер, все деньги с него были выведены. Впрочем 66 центов "добрый хакер" мне все же оставил... Прошу помощи в поиске той гадости, которая пробралась на компьютер и позволила сделать такой "финт". Проверку компьютера провела по Правилам, было найдено несколько троянов - все удалено. Логи прилагаются, отвечу на все дополнительные вопросы, которые возникнут по ходу дела.
25.06.2010, 09:27
polword

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: Alexa - {EA582743-9076-4178-9AA6-7393FDF4D5CE} - C:\Program Files\Alexa Toolbar\AlxTB2.9.0.0.30.dll (file missing)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\Aston\aston.exe ,svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ab900om4.SYS','');
QuarantineFile('C:\WINDOWS\Temp\964a9hN3.sys','');
QuarantineFile('C:\Documents and Settings\Natalia\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
DeleteFile('C:\Documents and Settings\Natalia\Application Data\netprotocol.exe');
DeleteFile('C:\WINDOWS\Temp\964a9hN3.sys');
QuarantineFile('C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe','');
QuarantineFile('C:\downloaded\clcl112_rus\CLCL.EXE','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
25.06.2010, 13:29
Nacida

Сделано.
25.06.2010, 17:08
AndreyKa

[QUOTE='Nacida;660367']Прошу помощи в поиске той гадости, которая пробралась на компьютер и позволила сделать такой "финт". [/QUOTE]Эта гадость самоудалилась или была вами удалена ранее. Но пути проникновения остались открытые:
- Adobe Acrobat Reader 7.0
- Java 1.6.0_07
[quote]ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128[/quote]Вы настроили?
25.06.2010, 20:58
Nacida

[QUOTE=AndreyKa;660629]Эта гадость самоудалилась или была вами удалена ранее. Но пути проникновения остались открытые:
- Adobe Acrobat Reader 7.0
- Java 1.6.0_07
[/QUOTE]

Что мне делать? Удалить эти программы?

[QUOTE=AndreyKa;660629]
ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128
Вы настроили?
[/QUOTE]
Честно говоря, я вообще не понимаю, что это. Я такого никогда нигде не настраивала.
25.06.2010, 21:58
SDA

Самое лучшее это переустановить систему, потому что она уже скомпрометирована и если вы соответственно собираетесь опять с ней заниматься электронными платежами. Подчеркиваю - [b]электронными платежами.[/b]
25.06.2010, 23:09
pig

Причём переустановить с нуля. С форматированием раздела.
26.06.2010, 00:18
Nacida

Платежи будут, но поможет ли переустановка системы решить все проблемы? Опять же, можно ли ставить после переустановки Acrobat Reader?
26.06.2010, 06:34
AndreyKa

Переустановка все проблемы не решит. Потому что слабым звеном, обычно, является человек. И как не печально, ни один антивирус не даст 100% защиты.
[url]http://virusinfo.info/showthread.php?t=77464[/url]
26.06.2010, 10:49
Nacida

Использование интернета вообще похоже на вечную борьбу осторожности с хитростью: одни все время пытаются найти какие-то уязвимости, чтобы использовать их в своих целях, другие - защитить себя и свой компьютер. За почти 8 лет использования интернета это первая проблема с вирусами, которая у меня возникла, но 100% защиты не бывает, верно, вот и ко мне проскочила зараза... Все, что можно сделать - свести риск к минимуму, те программы все же удалила, еще почитаю советы с форума, может что-то полезное почерпну для себя. ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128 - где это прописано никто не подскажет? В этой области я довольно плохо ориентируюсь, даже не представляю, где искать и как устранить.
26.06.2010, 10:56
AndreyKa

[B]Панель управления[/B] - [B]Свойства обозревателя[/B] - вкладка [B]Подключения[/B] - кнопка [B]Настройка сети[/B]. Это для IE. Для других браузеров свои настройки.
27.06.2010, 10:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]