Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Подмена номера Я-кошелька при copy-paste (заявка № 11888)

  1. #1
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64

    Question Подмена номера Я-кошелька при copy-paste

    Здравствуйте!

    Около месяца назад случайно обнаружил что при операции copy-paste моего номера Я-кошелька выгружается не мой номер, а вот этот: 4100114313288. Приходится номер вбивать руками, иначе перевод который я жду уйдет по другому адресу.
    Еще один сюрприз - кто-то свистнул пароль к моему номеру ICQ и подменил меня собой. Деньги просит у юзеров из контакт-листа.
    Из новых особенностей в работе также отмечу несанкционированное пользователем предложение соединиться с интернетом - выпрыгивает окно подключения при загрузке ОС, и иногда в работе.

    Насчет дремучести и дырявости моей ОС в курсе ( не в первый раз обращаюсь). Но есть virus.info, и значит все поправимо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\svshost.exe','');
     QuarantineFile('c:\windows\calc.exe','');
     QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный).zip','');
     DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный).zip');
     DeleteFile('c:\windows\calc.exe');
     DeleteFile('C:\WINDOWS\svshost.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

    2. Пофиксить строчки, если они будут:
    Код:
    O4 - HKLM\..\Run: [C:\WINDOWS\svshost.exe ] C:\WINDOWS\svshost.exe 
    O4 - HKLM\..\Run: [System] C:\WINDOWS\calc.exe
    3. Поменяйте все пароли.

    4. O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    Телнет сервер работает с Вашего ведома?

    5.
    Все-же 2-й сервиспак установить надо.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Цитата Сообщение от Kuzz Посмотреть сообщение
    1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    выполнил
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    Отослал 4 файла в архиве.

    2. Пофиксить строчки, если они будут:
    Код:
    O4 - HKLM\..\Run: [C:\WINDOWS\svshost.exe ] C:\WINDOWS\svshost.exe 
    O4 - HKLM\..\Run: [System] C:\WINDOWS\calc.exe
    Таких нет.

    4. O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\tlntsvr.exe
    Телнет сервер работает с Вашего ведома?
    Трудно вспомнить. Помню что как-то ковырял Службы, но что поставил не помню. Обязательно оставлять "вручную" на телнете?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    C:\WINDOWS\svshost.exe - Backdoor.Win32.SdBot.asy(Kaspersky) BackDoor.IRC.Evil(DrWeb)
    C:\WINDOWS\calc.exe - Trojan-Spy.Win32.Webmoner.ct(Kaspersky) Trojan.Spy.Webmoner.CV(BitDefender)
    Это тот, кто менял номер кошелька.
    C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный). zip - Trojan.Pws.Ldpinch.RT(BitDefender)
    Этот "помог" в уводе Вашей ICQ.
    Все удалены.

    Цитата Сообщение от hash Посмотреть сообщение
    Обязательно оставлять "вручную" на телнете?
    Ставить "выключено".

    Диск "D" - CD/DVD привод?
    Цитата Сообщение от hash Посмотреть сообщение
    Но есть virus.info, и значит все поправимо!
    С таким отношением к безопасности Вы //наверное// еще вернетесь к нам.
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Цитата Сообщение от Kuzz Посмотреть сообщение
    C:\WINDOWS\svshost.exe - Backdoor.Win32.SdBot.asy(Kaspersky) BackDoor.IRC.Evil(DrWeb)
    C:\WINDOWS\calc.exe - Trojan-Spy.Win32.Webmoner.ct(Kaspersky) Trojan.Spy.Webmoner.CV(BitDefender)
    Это тот, кто менял номер кошелька.
    Угу, уже нормально. Забыл сказать в первом посте, что тогда, при копировании, ОС жаловалась на "can`t open clipboard"
    C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный). zip - Trojan.Pws.Ldpinch.RT(BitDefender)
    Этот "помог" в уводе Вашей ICQ.
    Это 100%? Дело в том, что автора знаю лично ... не могу поверить.
    Все удалены.
    Лихо, а в первый раз мне приходилось удалять вручную.

    Диск "D" - CD/DVD привод?
    да.

    С таким отношением к безопасности Вы //наверное// еще вернетесь к нам.

    Могу ли я пожертвовать некоторую сумму в поддержку проекта который меня регулярно выручает?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    89
    Цитата Сообщение от hash Посмотреть сообщение
    Это 100%? Дело в том, что автора знаю лично ... не могу поверить.
    Если учесть,что основная задача "пинча" воровать пароли то думаю,что 100% и не обязательно вам дал её знакомый,вы могли его выловить где угодно.
    Цитата Сообщение от hash Посмотреть сообщение
    Могу ли я пожертвовать некоторую сумму в поддержку проекта который меня регулярно выручает?
    спасибо конечно,но лучше бы вы вложили эти средства в лицензионное ПО и позаботились о своей безопастности
    Советую работать за компьютером под пользователем с ограничеными правами.
    По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
    Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

    Удачи!

  8. #7
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Чего-то проблемы не заканчиваются. 11 сентября сын словил целый ворох вирусов, и скорее всего под IE (я пользуюсь IE только в тех случаях когда регистрация из-под firefox невозможна, к сожалению таких форумов много).
    Так вот, вначале пытался побороть бяку сам, из system32 выкинул добрую дюжину неизвестных файлов со свежей датой, большинство из котоых Dr.web в онлайне признал как зараженными. Прогонял несколько раз через avz и drweb в офлайне - что-то постоянно находится и удаляется. Меня беспокоит то, что с моего компьютера постоянно что-то выкачивается и закачивается в него без моего ведома, причем на этот процес не влияют меры по удалению обнаруженных вирусов. Стоит войти в сеть как вижу растущий исходящий трафик.
    Челом бью - помогите. Аську уже украл кто-то, и просил деньги у всех из контакт-листа. Теперь вот с этим выкачиванием даже не знаю что ожидать.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Да вроде уже говорили что делать заплатки ставить на дырки, до сих пор же SP1, это естественно Как я понял, ребёнок и вы под админом работаете за компьютером- вот и всё липнет
    нужно под ограниченным юзером заходить в систему и вам
    и ребёнку .
    . Пароль админа ребёнку не давать.
    Tеперь придётся начинать лечение сначала:
    1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\System32\codeblocks.exe,
    
    O2 - BHO: BrandNewCodec Class - {74EFCE6B-FE84-443D-94F6-101AE84DF961} - C:\DOCUME~1\9335~1\APPLIC~1\~tmpdll.dll
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\APFMON40.DLL','');
     QuarantineFile('C:\WINDOWS\System32\NRad.dll','');
     QuarantineFile('C:\WINDOWS\System32\RadClkR.dll','');
     QuarantineFile('C:\WINDOWS\System32\RadMnu.dll','');
     QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\~tmpdll.dll','');
     QuarantineFile('C:\WINDOWS\System32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\System32\codeblocks.exe','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE','');
     QuarantineFile('C:\WINDOWS\system32\drivers\windrvr6.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\windrvr.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\vsb.sys','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\RadProbe.sys','');
     QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\Aen49.sys','');
     QuarantineFile('C:\WINDOWS\System32\RadExe.dll','');
     QuarantineFile('C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     QuarantineFile('C:\Documents and Settings\Сергей\Local Settings\Temp\SetD.tmp','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\System32\svshost.dll');
     DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\~tmpdll.dll');
     DeleteFile('C:\Documents and Settings\Сергей\Local Settings\Temp\SetD.tmp');
     DeleteFile('C:\WINDOWS\System32\codeblocks.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11888
    Последний раз редактировалось drongo; 17.09.2007 в 10:00.

  10. #9
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Карантин отправил.
    Обновление до SP2 немного страшит, был случай у знакомого что система после патча рухнула вообще, с сети мне его не выкачать, т.к. весит много, придется искать на пиратских дисках.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от hash Посмотреть сообщение
    Карантин отправил.
    По поводу карантина:
    C:\WINDOWS\system32\drivers\Aen49.sys - Rootkit.Win32.Agent.ea, Trojan.NtRootKit.371
    C:\Documents and Settings\All Users\Документы\Settings\bot.dll - Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371

  12. #11
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    По поводу карантина:
    C:\WINDOWS\system32\drivers\Aen49.sys - Rootkit.Win32.Agent.ea, Trojan.NtRootKit.371
    C:\Documents and Settings\All Users\Документы\Settings\bot.dll - Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
    Это хорошо, но все равно что-то выкачивают из меня.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\drivers\Aen49.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Затем повторите логи.

  14. #13
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    После выполнения второго скрипта из темы стал выскакивать "мастер установки нового оборудования". Какое новое непонятно, в списке диспетчера находится в строке "неизвестное устройство".
    Последние логи приложил.
    P.S. Почему файл svchost.exe из system32 имеет дату и время изменения соответствующую моменту заражения: 11 сентября 21:46?
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Ничего подозрительного в логах не вижу.
    Пофиксте в HijackThis эту строку:
    O20 - Winlogon Notify: botreg - C:\WINDOWS\
    Цитата Сообщение от hash Посмотреть сообщение
    После выполнения второго скрипта из темы стал выскакивать "мастер установки нового оборудования".
    Попробуйте его удалить.
    Цитата Сообщение от hash Посмотреть сообщение
    Почему файл svchost.exe из system32 имеет дату и время изменения соответствующую моменту заражения
    Не знаю, может к нему троян присоединял дополнительный поток. А DrWeb его затем удалил.

  16. #15
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    А вот это выделенное красным при сканировании:
    Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
    Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
    Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
    Функция MmQuerySystemSize (804D4B2E) - модификация машинного кода. Метод не определен., внедрение с байта 2
    модификация машинного кода ... звучит угрожающе.
    И еще, по поводу мер. Где можно рулить правами гостей на компьютере? Что им можно, что нельзя. А то гость вообще в интернет не может выйти, и закладки в избранном поисчезали.

    Добавлено через 12 минут

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    C:\Documents and Settings\All Users\Документы\Settings\bot.dll - Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
    Что значит подпись "прямое чтение" под соответствующим файлом в окне сканирования? Достаточно ли этого чтобы признать файл вирусом и удалить его? Дело в том что под файлом bot.dll надпись "прямое чтение" я видел, но прямого указания что это вирус не было, от того он и не удалялся программой. Поэтому вопрос: кем (чем) было определено что файл "bot.dll" является:
    Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
    ?
    Последний раз редактировалось hash; 18.09.2007 в 22:30. Причина: Добавлено

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от hash Посмотреть сообщение
    модификация машинного кода ... звучит угрожающе
    Многие легальные программы могут использовать такие приёмы.

    Цитата Сообщение от hash Посмотреть сообщение
    Где можно рулить правами гостей на компьютере? Что им можно, что нельзя.
    Лучше, по-моему заводить для пользователей отдельные учетные записи.

    Цитата Сообщение от hash Посмотреть сообщение
    Что значит подпись "прямое чтение" под соответствующим файлом в окне сканирования? Достаточно ли этого чтобы признать файл вирусом и удалить его?
    Это значит, что его не удалось прочесть обычным способом. Но это совсем не значит что он вирус.

    Цитата Сообщение от hash Посмотреть сообщение
    'кем (чем) было определено что файл "bot.dll" является: Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371?
    Касперским и DrWeb.

    И ещё удалите файл
    C:\WINDOWS\system32\drivers\symavc32.sys

  18. #17
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Всем спасибо, вроде выздоровел.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Сделайте ещё раз логи, посмотрим А на спасибо у нас нажимают

  20. #19
    Junior Member Репутация
    Регистрация
    18.11.2006
    Сообщений
    43
    Вес репутации
    64
    Ха! Опять та же песня.
    Вчера установил в браузер онлайн-проверку от ДрВеб, а сегодня при проверке одной из ссылок на сайте http://www.akhtuba.vistcom.ru/ firefox захлопнулся, а при второй попытке выпал в синий экран смерти. Опять в system32 появился примерно тот же набор зараженных файлов, опять bot.dll, и опять svchost.exe:ext.exe, и еще куча. Но появились и новые, например delsyb.sys (возможно вру в названии, но в соседней ветке он упоминался). Файл svchost.exe:ext.exe невидим, и не убивается. В заражение от 11.09.2007 он был прибит ДрВеб`ом при сканировании в безопасном режиме, и предыдущие логи были без него, а теперь ДрВеб его не видит, хотя версия использовалась та же. Еще вагон вирусов, большинство явных удалил вручную.
    Повторил предложенные скрипты из этой ветки.
    С трудом верится что все вири залезли за то недолгое время что я был на названном сайте, такое впечатление что они возродились из моего компа по команде извне. Опять пополз исходящий трафик. Логи сняты после всех ручных операций.
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');     
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\winlogon.exe ');
     BC_DeleteSvc('aspimgr');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...
    без установки СП2 ... лечение превращается в бесконечный процесс ...

  • Уважаемый(ая) hash, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 9
      Последнее сообщение: 09.10.2011, 15:12
    2. Ответов: 6
      Последнее сообщение: 27.09.2010, 19:05
    3. Suspect Trojan Horse, Can't run Virus scanner or copy to cd
      От Brian Kenny в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 29.10.2009, 18:53
    4. замена номера кошелька webmoney в буфере
      От fil в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:52
    5. copy or paste crashes my system
      От hansob в разделе Malware Removal Service
      Ответов: 2
      Последнее сообщение: 26.11.2008, 08:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00474 seconds with 18 queries