Похищены средства Webmoney
В результате действий злоумышленика похищены деньги Webmoney. Подозреваю троян.
1) Помогите найти и обезвредить троян.
2) Выудить как можно больше информации о злоумышленнике для поиска его.
Установлена лицензионная WINXP SP2 с автообновлением. Лицензионный KIS - базы постоянно обновляются.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ....Код:begin QuarantineFile('C:\Program Files\WebMoney Advisor\tbu00072\autosearch_plugin.dll',''); QuarantineFile('C:\Program Files\WebMoney Advisor\autosearch_plugin.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Запрошенный карантин загружен
присланные файлы чисты ....
в логах ничего зловредного , зловреды такого типа после выполнения своей работы самоуничтожаются (что бы не попасть в сигнатуры антивирусов ) ...
Возможна ли такая ситуация - В журнале событий WMK записано событие, что была активация неактивированного оборудования. В ответ на активацию Webmoney высылает код активации на почтовый ящик указанный при регистрации WMID. В журнале событий это также отражено. Вопрос:
1) Возможен ли перехват этого сообщения ?
2) Если даже он перехватил это сообщение, мог ли он удалить это сообщение из почтового ящика ?
Чуть позже пришло сообщение об оплате клиентом. И оно существует, а сообщения об активации нет!!!
Добавлено через 34 минуты
Есть еще один момент возможно связан с темой. Примерно за месяц до этого перестал работать plugin WinAVR с AVR Studio 4 фирмы Atmel. Вот ответ службы поддержки фирмы:
This sounds strange. I have never heard of this issue with AVR Studio. A similar issue, causing the error message "No compilers/Assemblers installed" have been seen very seldom. This message might occur if the user does not have proper READ access to certain registry keys.
If installation of the program was ok, no further write access to HKEY_LOCAL_MACHINE keys is needed. We have seen some problems with machines missing read-access to certain keys. This should normally not occur, but it does sometimes.
To locate the plugins/compilers avrstudio searces for COM-modules supporting
certain categories.
We use two of them, their GUID are:
4DB2A60E-D9FE-40BF-B3D5-58BD4363C42F this is a avrstudio compilerplugin
D6C9B3C1-6A18-11D5-809B-006008125A1D this is a avrstudio plugin
Searcing registry for these two values should show at least 3 different
entries for COM-modules:
avrassembler (both values)
avrgcc (both values)
stk500 (only last value)
The keys for these entries must be accessable for the user.
So please try to do the following:
1) Uninstall your current version of AVRStudio and WinAVR by using "Add/Remove
Programs" from the Windows Control Panel.
2) Manually delete the "C:\Program Files\Atmel\AVR Tools" folder including
its subfolders.
3) Remove the following AVRStudio related registry settings using
REGEDIT.EXE:
- KEY_CURRENT_USER/Software/Atmel/
- KEY_LOCAL_MACHINE/Software/Atmel/
4) Enable the above mention files:
Click on edit and Find in regedit (Ctrl + F) and search the below registries:
4DB2A60E-D9FE-40BF-B3D5-58BD4363C42F this is a avrstudio compilerplugin
D6C9B3C1-6A18-11D5-809B-006008125A1D this is a avrstudio plugin
Find all the entries for these registries, mark them, and click Edit --> Permissions --> Advanced
Make sure these files has all the read permissions needed by the user.
Alternatively you can try to download and run a Rootkit Remover (Try search Google) or Registry Tools.
5) Run Windows Update, especially according to Windows Internet Explorer.
6) Download (if necessary) and install the latest version of AVRStudio and WinAVR.
www.atmel.com/AVR --> Tools & Software
http://winavr.sourceforge.net/
I hope this will help you.
Best Regards,
Bjшrn Liene Gundersen
AVR General Support
Atmel Technical Support Team
Рекомендации не помогли. Plugin до сих пор не работает.
Сомнительно, что проблема связана с WINDOWS XP (лецинзионная версия с автообновлением) или AVR Studio или WinAVR (последнии версии).
Иначе суппорт Atmel был бы завален подобными запросами.
Что - то все таки не нормально.
Последний раз редактировалось alexsandr671; 25.04.2008 в 04:11. Причина: Добавлено
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) alexsandr671, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
