Украдены деньги WEBMONEY

[DVi]

1. к сожалению нет возможности так сделать. по крайней мере пока.

Попробуйте загрузиться с какого-нибудь LiveCD (загрузочного CD-диска) и проверить жесткий диск антивирусом. Это действие аналогично тому, что предложил Олег.

[bost84]

Я не думаю, что Webmoney здесь причастны.
Даже если у Вас на компьютере нет вредоносной программы, ворующей пароли, это не значит, что ее не было. Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника.

В логах у Вас есть подозрительный файл, проверим его:
Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
end.

Пришлите карантин согласно приложению 3 правил.

Рекомендуется удалить программу Bonjour.

карантин отправлен.
жду ответа...
сразу скажу что это надстройка для IE на неё KIS реагирует как на рекламную программу. она показывает наличие сайта в каталогах пр тиц и прочее...
а вот программу Bonjour я не могу найти... скажите где вы её увидели???

[kps]

карантин отправлен.
жду ответа...

Вы прислали файл avz00001.ini , а нужно прислать avz00001.dta.

сразу скажу что это надстройка для IE на неё KIS реагирует как на рекламную программу.

Если Вы заботитесь о чистоте системы, то не стоит держать адваре-программы. Некоторые из них могут содержать и шпионские функции.

а вот программу Bonjour я не могу найти... скажите где вы её увидели???

c:\program files\bonjour\

[bost84]

файл отправил...
программу удалил...

жду результатов

[kps]

C:\WINDOWS\pagepromoterbar.dll - not-a-virus:AdWare.Win32.Delf.ax (по классификации ЛК)
Интересны также такие детекты на VirusTotal:
AntiVir - ADSPY/Delf.AX
AVG - Generic2.ADDP
F-Prot - W32/Trojan-PBNP-based!Maximus
Symantec - Trojan Horse
и много детектов файла другими антивирусами как адваре.

Посмотрите, есть ли у него uninstall (в установке/удалении программ), если нет, то выполните такой скрипт в AVZ для его удаления:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\pagepromoterbar.dll');
 DelBHO('BA5D8DF9-1851-4660-B3AE-89E6E030AC34');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Если нет возможности сделать проверку системы антивирусом с Live CD, то выполните пункт 2 правил.

[bost84]

удалил uninstall-ом
к сведению эта надстройка стоит уже очень давно...
и украсть деньги могли раньше когда были большие суммы...

Добавлено через 1 час 27 минут

больше проверять нечего?
можно выносить вердикт?

[Зайцев Олег]

больше проверять нечего?
можно выносить вердикт?

Кроме полного сканирования ПК после загрузки с BootCD пока ничего более разумного в голову не приходит. В данной ситуации получается, что как будто кто-то имел копию ключевого файла Webmoney + пароль + полный доступ к почтовому ящику, с которого проходила авторизация. Технически конечно такое в принципе возможно, можно рассмотреть сценарий - если кто-то установил на ПК некий Backdoor троян с функций кейлоггера, что позволило записать пароль доступа к Webmoney, далее этот некто скопировал файл с ключами и получив параметры доступа к почте провел активацию кошелька, поменял пароль и снял все деньги. Но это довольно сложно сделать технически и это должно было делаться целенаправленно ... плюс маскировка следов - в логе то ничего подозрительного не видно. Чисто теоретически возможен один сценарий, делающий это простым и реальным - пароли записаны куда-то в текстовый файл, и он вместе ключами записан на флешку. Достаточно воткнуть ее на ПК "приятеля" с активным файлграббером - и у него все в руках... но такой вариант уж очень фантастичен и нереален

[bost84]

вот мы и пришли к логическому концу...
все пароли только в голове...
ключ на отдельной флэшке... которая тупо лежит в ящике чтобы после установкпи винд или смены оборудования ключик указать... флэшка ипользуется только для хранения ключа...

отсюда вывод что всё вышеописанное кроме меня может иметь только WEBMONEY...
точнее даже сказать не всё... а всё кроме доступа к почте... хотя в такой ситуации им доступ к почте и ненужен вовсе...