Показано с 1 по 20 из 20.

iBank - опять кажется завелся! (заявка № 120904)

  1. #1
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45

    iBank - опять кажется завелся!

    Пару месяцев назад, в феврале уже обнаруживал и лечил, в том числе и через этот форум, iBank троян.

    Я пользователь интернет-банкинга. И вот, сегодня мне звонят из банка и говорят, что у меня седьмой из восьми уровень подозрения на троян и все платежки от меня теперь будут переподтверждаться звонком из банка. Нужно дескать решать проблему с трояном. Как их (банка) Java аплет обнаруживает троян - я не в курсе, видимо какими-то эвритическими способами.

    Причем второй уровень тревоги, со слов програмиста из банка, у меня был еще с конца 2011 года.

    Пропаж денег я не обнаружил.

    Все сканы делал с воткнутым еТокеном-донглом-флешкой в USB, потому что программист сказал, что подобные трояны активизируются при использовании донгла и создают скрытые поручения-переводы в банк.

    Хелп!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) MamaINeedHelp, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Дополнительно выкладываю лог GMER.

    Там есть подозрительные записи RAdmin.

    Хелп.
    Вложения Вложения
    • Тип файла: log gmer.log (39.0 Кб, 3 просмотров)

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\ACCESS~1\Apsm.sys','');
     QuarantineFile('0.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\1X83j2eo.sys','');
     DeleteFile('C:\WINDOWS\TEMP\1X83j2eo.sys');
     DeleteFile('0.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\WOW\boot','previousProjectorProcessID');
    executerepair(10);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте лог полного сканирования MBAM.


  6. #5
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Выслал карантин и прикладываю лог MBAM.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Жду до сих пор.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите в MBAM:
    Код:
    HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\Books.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\Typelib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\Interface\{8CB0D898-A6A2-48c3-BBD7-862F85B18D46} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\DOWNLOADER.DownLoaderCtrl.1 (Adware.2020search) -> Действие не было предпринято.
    HKLM\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Действие не было предпринято.
    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    Файл C:\WINDOWS\system32\inject.dll запакуйте в zip-архив и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    Цитата Сообщение от MamaINeedHelp Посмотреть сообщение
    Там есть подозрительные записи RAdmin.
    RAdmin сами устанавливали?


  9. #8
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Techno,

    inject.zip залил. А вот насчет RAdmin точно не уверен, в последние годы точно нет, но опять же не помню чтобы его устанавливал.

    Строчка в реестре пустая. Наверное антивирусники такую тулзу бы давно обнаружили? Но у меня 100% доверия нет антивирусникам.

    Лицензионный DrWeb обновляющийся на автомате каждые 30 минут, профукал действующий iBank троян-скрипт в Java. Казалось бы, уж чего страшнее троянов ворующих деньги с интернет-банкинга можно придумать.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от MamaINeedHelp Посмотреть сообщение
    inject.zip залил
    Чистый...

    Что с проблемами?

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.


  11. #10
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Проблема простая - ветка HKLM/System/RAdmin - не удаляется (ошибка при удалении раздела).

    Нездоровая какая-то ситация.

  12. #11
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Techno

    Ну так что с RADmin то делать? Сидит же наверняка, ветка защищенная в реестре удалить не могу, посмотреть что внутри тоже не могу.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от MamaINeedHelp Посмотреть сообщение
    Проблема простая - ветка HKLM/System/RAdmin - не удаляется (ошибка при удалении раздела).
    Права на ветку себе дайте...


  14. #13
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Я сделал вот что: добавил себя в Разрешениях, плюс поставил Полный доступ. После этого эта ветка стала открываться, там пара вложенных папок (ключей нет) и последняя папка из двух непечатных символов. Удалить в итоге ничего не могу. Возможно, эти непечатные символы есть некая защита от доступа.

    Хелп!

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Что Вы пытаетесь удалить и что он пишет Вам при удалении?


  16. #15
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Проще скриншоты выложить.

    На первом сообщение ошибки, если я навожу курсор на вложенную папку из двух непечатных символов. На втором пытаюсь удалить всю папку RAdmin.
    Изображения Изображения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Попробуйте через командную строку:
    Код:
    reg delete HKLM/System/RAdmin


  18. #17
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Пишет ошибка: системе не удалось найти указанный раздел или параметр реестра.

    Делаю так: cmd /k reg delete HKLM\System\RAdmin

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406


  20. #19
    Junior Member Репутация
    Регистрация
    25.02.2012
    Сообщений
    25
    Вес репутации
    45
    Спасибо.

    Утилитка RegDelNull сработала.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) MamaINeedHelp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. trojan.pws.ibank.39
      От O`Coner в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 28.05.2010, 21:09
    2. Trojan.PWS.Ibank.38
      От skinv в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.05.2010, 15:45
    3. Trojan.PWS.Ibank.
      От myaso в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 10.05.2010, 16:09
    4. Trojan.PWS.Ibank + что-то еще?
      От v119 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 17.03.2010, 17:42

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00020 seconds with 18 queries