Показано с 1 по 16 из 16.

замена номера кошелька webmoney в буфере (заявка № 10136)

  1. #1
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64

    Thumbs up замена номера кошелька webmoney в буфере

    при переислении суммы своему товарищу обратил внимание на несоответствие номеров кошельков и вспомнил о вирусе, проверил, все так и есть при копировании возникает другой кошелек...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svch0d.dll','');
     QuarantineFile('C:\Program Files\Windows NT\NTmon.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите содержимое карантина согласно приложению 3 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64
    Файл сохранён как 070602_145945_virus_46614da1e9c1f.zip
    Размер файла 28128
    MD5 3f3e8b0f0497ec8d76419d99cdaa3d00

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    C:\WINDOWS\system32\svch0d.dll в карантин не попал, поищите его вручную в AVZ, если найдется - пришлите (см. приложение 2 правил).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64
    не находится... проблема осталась...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\svch0d.dll');
     BC_DeleteFile('C:\WINDOWS\system32\svch0d.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis, если останется:
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\svch0d.dll
    Проверьте, сохраняется ли после этого проблема.
    По поводу NTmon.exe пока однозначного ответа нет, ждем...
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64
    скрипт и указания выполнил, проблема осталась

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    На всякий случай проверим еще пару файликов.
    Выполните скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\WMAcceptor.dll','');
     QuarantineFile('appmgmts.dll','');
    RebootWindows(true);
    end.
    После перезагрузки пришлите новый карантин по правилам.
    I am not young enough to know everything...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А вот и ответ пришел насчет NTmon.exe!
    Hello.

    New malicious software was found in the attached file.
    Trojan-Spy.Win32.Webmoner.bw
    It's detection will be included in the next update. Thank you for your help.
    -----------------
    Regards, Roman Gavrilchenko
    Virus Analyst, Kaspersky Lab.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\Windows NT\NTmon.exe');
     BC_DeleteFile('C:\Program Files\Windows NT\NTmon.exe');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64
    предыдущие логи нужны? которые в вашем сообщении от 16.07 времни?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Нет, оттуда только карантин. Логи после последнего скрипта.

  13. #12
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64
    вот
    Файл сохранён как 070602_164035_virus_46616543e5b9f.zip
    Размер файла 164448
    MD5 e5d7e4d02b27df35f9910032f55fe7cb
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В карантине только WMAcceptor.dll - он чистый, впрочем и на appmgmts.dll особых подозрений не было.
    В логах все нормально, удаление прошло успешно. Проблемы уже быть не должно.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    17.12.2006
    Сообщений
    43
    Вес репутации
    64
    да, Вы правы, проблем больше вроде нет, спасибо большое за помощь

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\windows nt\\ntmon.exe - Trojan-Spy.Win32.Webmoner.bw (DrWEB: Trojan.Packed.166)


  • Уважаемый(ая) fil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Кража Web Money Кошелька
      От p0lym0rph в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 04.03.2010, 16:12
    2. Ответов: 5
      Последнее сообщение: 18.08.2009, 22:56
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:27
    4. Подмена номера Я-кошелька при copy-paste
      От hash в разделе Помогите!
      Ответов: 34
      Последнее сообщение: 22.02.2009, 02:14
    5. Замена имени соединения и номера дозвона
      От Gorinich в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.01.2006, 15:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01540 seconds with 20 queries