WebMoney Keeper Cl. после копирования в буфер кошелька вставляет чужой кошель

[nataff]

WebMoney Keeper Cl. после копирования в буфер вставляет чужой кошельек. Обратилась на сервис Вебмани они направили к Вам сказали, что у меня практически 100% троян. Проверила своим антивирусом Symantec. Он нашол 2 файла трояна однако при копировании кошельков ничего не изменилось. Просканировала AntiVir 6. Он нашел 5 и одну шпионскую программу. Но также при копировании кошельков ничего не изменилось.
Дальше делала все по Вашей инструкции только не смогла отсканироваться в безопасном режиме DrWeb все время выдавал сообщение "Неправильный формат конечной точки" и "ОК". Вторым способом, ввела код комп перезагрузился, но вошел снова в обычный режим.
Наверно этого не следовало делать, но я просканировала DrWeb он нашел 5 троянов и еще много файлов. Троянов сразу удалил, а остальные оставил без действий. Это действие тоже ни как не повлияло на кипер.
Также, очень плохо работает Эксплоуэр 7 и Проигрыватель медио файлов стандартный XP.
Помогите пожалуйста.

[Bratez]

У вас одновременно работают антивирусы Symantec, AntiVir и еще какой-то Stop! - очевидно, из-за этого имеете большие тормоза. Оставьте один антивирус, какой посвежее, остальные удалите.

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Олег\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe
O4 - HKCU\..\Run: [Clicker] C:\Program Files\Clicker\Clicker.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Clicker\Clicker.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
 QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Application Data\cftmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\zmNTMon.sys','');
 QuarantineFile('C:\WINDOWS\System32\ntllt.exe','');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\cftmon.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19901).

[nataff]

Сделала все как написано, есть вопросы
1. пересылать ли образовавшиеся файлы в HijackThis "backups"?
2. я зарегистрировалась на французском сайте там скачала бар для серфинга практически все антивирусы пишут, что загрузочный бар moneycashbar www.moneycashbar.com - троян и удаляют его или не дают поставить.
Однако, в службе поддержки на сайте при скачивании бара написано, что файл чистый и нужно отключить антивирус при его установке на компьютор. Так же хочу сообщить, что проблемы с кипером у меня возникли раньше, чем я поставила moneycashbar.
Хотелось бы получить от вас ответ, какой будет риск при установке такой программы (ее хотелось бы поставить так как они обещают неплохие деньги за серфинг).
В настояшее время данный бар удален.

[AndreyKa]

Меняет номер кошелька файл C:\WINDOWS\System32\ntllt.exe
Выполните в AVZ скрипт:

Код:

begin
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\ntllt.exe');
 DeleteService('SysCD');
 BC_DeleteSvc('SysCD');
 BC_ImportDeletedList;
 ClearHostsFile;
 ExecuteSysClean;
 BC_Activate; 
 RebootWindows(True);
end.

Компьютер перезагрузится.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

Добавлено через 4 минуты

1. Нет.
2. Троян это то, что выдает себя не за то, что оно есть не самом деле. Какие функции на самом деле есть у этого бара точно вам никто не скажет.
Кстати, загрузите его установочный файл по ссылке http://virusinfo.info/upload_virus.php?tid=19901
Так что, я бы не советовал его устанавливать, тем более что вы пользуетесь WM.

Добавлено через 32 минуты

ntllt.exe будет детектироваться как Trojan-Spy.Win32.Webmoner.hi

[nataff]

Выполнила все оставила антивирус AntiVir хотя Stop 4.10 нашел практически столько же вирусов как и DrWeb

[nataff]

Кошели заработали огромное спасибо! Подскажите какой антивирус лучше поставить при работе в серфинге?
и какие действия предпринимать дальше?

[AndreyKa]

MoneyCashBAR.exe - AdWare.Win32.VB.ah (KAV) может он и не опасный сам по себе, но куда он вас направит, что там предложат скачать это ещё вопрос...
http://www.virustotal.com/ru/analisi...d0421464304134

Подскажите какой антивирус лучше поставить при работе в серфинге?
и какие действия предпринимать дальше?

Почитайте это: http://security-advisory.virusinfo.info/
Ни один антивирус не даст 100% защиты.
Обратите внимание на бесплатную программу SandboxIE http://www.sandboxie.com/

[nataff]

Что делать каждый раз сканирую AntiVir он выдает все время сообщения что вирусные что найдены, вирусные файлы будут удалены навсегда. Опять запускаю сканер тоже самое. Значит вирусные файлы еще есть на моем компьюторе?
Как их удалить?

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
end.

[AndreyKa]

каждый раз сканирую AntiVir он выдает все время сообщения что вирусные что найдены

Напишите поподробнее что и где найдено.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 40
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\ntllt.exe - Trojan-Spy.Win32.Webmoner.hi (DrWEB: Trojan.MulDrop.13843)
  2. \\moneycashbar.exe - not-a-virus:AdWare.Win32.VB.ah (DrWEB: Adware.MegaBar.1)