Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Украдены деньги WEBMONEY (заявка № 28375)

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35

    Question Украдены деньги WEBMONEY

    Собственно нужно посмотреть на наличие скрытых троянов и прочей фигни...
    дабы УБЕДИТЬСЯ ВОРУЕТ ЛИ СИСТЕМА WEBMONEY ДЕНЬГИ СВОИХ ПОЛЬЗОАТЕЛЕЙ или это работа новых неизвестных антивирусам вредоносных программ

    Добавлено через 6 минут

    собстно вот
    Ошибки загрузкиvirusinfo_syscheck.zip:
    Превышен предел на форуме (14.2 Кбайт).
    virusinfo_syscure.zip:
    Превышен предел на форуме (15.0 Кбайт).
    hijackthis.log:
    Превышен предел на форуме (1.1 Кбайт).
    Последний раз редактировалось bost84; 19.08.2008 в 00:28. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Заархивируйте 3 лога в один архив и на файлообменник, а нам тут ссылочку дайте.

  4. #3
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    ok секунду

    Добавлено через 3 минуты

    http://rapidshare.com/files/138333239/LOGS________.ZIP
    Последний раз редактировалось bost84; 19.08.2008 в 00:34. Причина: Добавлено

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\DOCUME~1\B68E~1\LOCALS~1\Temp\ALSysIO.sys','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28375

  6. #5
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    второй раз отправил правильно...

    Добавлено через 10 часов 5 минут

    кто-нить смотрел?
    что скажете?
    Последний раз редактировалось bost84; 19.08.2008 в 11:13. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от bost84 Посмотреть сообщение
    кто-нить смотрел?
    Смотрели: В присланном Вами файле не найдено ничего вредоносного. Архив пустой

  8. #7
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    а по логам ещё что-нибудь подозрительное есть?
    если нет то вывод только один... сам напрашивается...
    ЕСЛИ НЕТ ЗЛОВРЕДОВ КОТОРЫЕ МОГЛИ УВЕСТИ ПАРОЛИ И КЛЮЧ К КОШЕЛЬКУ WEBMONEY ЗНАЧИТ ДЕНЬГИ УВЕЛА САМА ОРГАНИЗАЦИЯ!!!
    Последний раз редактировалось bost84; 19.08.2008 в 12:07.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от bost84 Посмотреть сообщение
    а по логам ещё что-нибудь подозрительное есть?
    Коллега wise-wistful нашел подозрительное и хотел на него посмотреть. Попробуйте найти файл и повторить закачку. Предварительно убедитесь, попал ли файл в карантин.

  10. #9
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    файл не найден!
    искал по правилам как описано...
    что дальше?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Значит больше ничего подозрительного на найдено.
    А как система себя ведет?

  12. #11
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    Система ведёт себя нормально!
    никак подзрений не вызывает!
    я собственно поэтому так про WEBMONEY и говорю.
    Защита стоит KIS на максимальных настройках проверки + аппаратный фаервол. Естественно никакие файлы (тем более ключей) и пароли никому не отсылал не говорил... вообщем имею представление о безопасности... вот собственно и пытаюсь выяснить что к чему...
    насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... но трояна как вы говорите тоже нет... остаётся один вариант.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от bost84 Посмотреть сообщение
    насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае...
    Смотря какие пароли.

  14. #13
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Смотря какие пароли.
    даже если бы были 123456 то как ключ увели???
    хотя пароли конечно же не такие были...

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от bost84 Посмотреть сообщение
    Система ведёт себя нормально!
    никак подзрений не вызывает!
    я собственно поэтому так про WEBMONEY и говорю.
    Защита стоит KIS на максимальных настройках проверки + аппаратный фаервол. Естественно никакие файлы (тем более ключей) и пароли никому не отсылал не говорил... вообщем имею представление о безопасности... вот собственно и пытаюсь выяснить что к чему...
    насколько я понимаю без трояна подобрать 3 разных пароля и скопировать файл ключей нереально в данном случае... но трояна как вы говорите тоже нет... остаётся один вариант.
    Начнем по порядку ...
    1. сколько денег пропало ?
    2. есть ли доступ к кошельку ?
    3. если ответ на п.п. 2 положительный, то что записано в логах WebMoney кошелька ? (если два раза щелкнуть скажем по рублевому кошельку, открывается лог всех операций - поступления, списания, когда, кому и т.п. в хронологическом порядке)

  16. #15
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Начнем по порядку ...
    1. сколько денег пропало ?
    2. есть ли доступ к кошельку ?
    3. если ответ на п.п. 2 положительный, то что записано в логах WebMoney кошелька ? (если два раза щелкнуть скажем по рублевому кошельку, открывается лог всех операций - поступления, списания, когда, кому и т.п. в хронологическом порядке)
    в том то и дело...
    не надо меня совсем за дурака считать
    1. 12500 (с чем то)рублей
    2. доступа нет пароль сменили, в оставшихся от кошельках данных посмотрел перевода нет. значит не троян подомной не переводил деньги.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от bost84 Посмотреть сообщение
    в том то и дело...
    не надо меня совсем за дурака считать
    1. 12500 (с чем то)рублей
    2. доступа нет пароль сменили, в оставшихся от кошельках данных посмотрел перевода нет. значит не троян подомной не переводил деньги.
    Никто Вас за дурака не считает - прочто Вы представьте, что пришли на прием к врачу // Вы же не врываетесь в кабинет с криком "Не надо меня считать дураком, я все в медицине лучше вас знаю ..." Мы же совершенно не в курсе вашей проблемы - нужно понять ситуацию - деньги то по разному можно "увести" - левый перевод, полный захват webmoney и т.п. Далее вот такие вопросы
    1. Если нет доступа к кошельку, то откуда известно, что в кошельке нет денег ?
    2. кошелек на свои данные регистрировался (там же есть email для активации, ФИО, паспортные данные и т.п.) ? если да, то в саппорт webmoney нужно срочно написать письмо с того ящика, который указан был при регистрации кошелька - и сообщить о проблеме, указав все свои реквизиты - посмотрим, что они ответят. А перед этим поменять для профилактики пароли на почту
    3. Как сделан доступ с компьютера в Инет ? (прямое подключения через что-то типа xDSL, "домашняя сеть", некая внутридомовая сеть провайдера и т.п. ?
    4. Под какой учетной записью идет работа (в плане с правами она или нет)
    5. Пароль учетной записи и учетной записи админа длинные/корявые или как обычно пустые ?
    Последний раз редактировалось Зайцев Олег; 19.08.2008 в 12:56.

  18. #17
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Никто Вас за дурака не считает - прочто Вы представьте, что пришли на прием к врачу // Вы же не врываетесь в кабинет с криком "Не надо меня считать дураком, я все в медицине лучше вас знаю ..." Мы же совершенно не в курсе вашей проблемы - нужно понять ситуацию - деньги то по разному можно "увести" - левый перевод, полный захват webmoney и т.п. Далее вот такие вопросы
    1. Если нет доступа к кошельку, то откуда известно, что в кошельке нет денег ?
    2. кошелек на свои данные регистрировался (там же есть email для активации, ФИО, паспортные данные и т.п.) ? если да, то в саппорт webmoney нужно срочно написать письмо с того ящика, который указан был при регистрации кошелька - и сообщить о проблеме, указав все свои реквизиты - посмотрим, что они ответят. А перед этим поменять для профилактики пароли на почту
    3. Как сделан доступ с компьютера в Инет ? (прямое подключения через что-то типа xDSL, "домашняя сеть", некая внутридомовая сеть провайдера и т.п. ?
    простите сорвалось... действительно вы ведь ничего не знаете... больше так не буду
    1. Известно от арбитража WEBMONEY, естественно после того как несколько раз подряд не смог войти в кипер связался со службой поддержки WM где мне было сказано что пароль 15.08.2008 был изменён. Этого же числа я и не смог войти в кипер. сказали писать в арбитраж... я естественно сразу туда... поздно ночью 12:10 по Москве приходит письмо от арбитража мол на кошельках пусто все деньги переведены на такой то счёт в системе РБК money. Ваш WMID заблокирован.(имеется вся переписка).
    2.Сделано естественно. Регился на свои данные так что с этим проблем нет. заявку на восстановление доступа подал... в статусе уже даже стоит : данные проверены и переданы в отдел восстановления. ПАРОЛЬ НА ПОЧТУ СМЕНИЛ ПЕРВЫМ ДЕЛОМ!
    С ответом не понятно пока... они отвечают очень скупо... такое ощущение что им это всё побоку. Хотя я уже без них всё выяснил куда ушли все деньги. Связался с магазином. На деньги кстати были куплены аккаунты на рапиду. Магазин готов вернуть деньги. ТОЛЬКО НУЖНО ЧТОБЫ WEBMONEY подтвердили факт мошенничества. Тем более что сегодня пришло письмо мол нам добавить нечего только вот ip с которого был последний доступ на ваш кипер... есссно IP не из моей подсетки. я им опять отписал чтобы связались с РБК и сообщили что деньги украдены. иначе РБК мне их не вернет. узнал про купленные аккаунты от РБК собственно. обратился в их поддержку они мне сказали. жду очередного ответа от WEBMONEY. (есть вся история переписки со всеми).
    3. доступ xDSL. динамический ip вида xxx.xxx.zzz.yyy
    zzz меняется очень редко
    yyy при каждом переподключении
    ip никаких не внутренних сетей а глобальные. т.е. каждому абоненту собственный ip в сети интернет.
    стоит модем со встроенным роутером. в нём включён фаерволл на максимум. даже на ping не отвечает. проверял.
    4. работа под админом
    5. средней безопасности пароль на админа скажем так. но не 123456

    Вообще очень хочется разобраться в ситуации. ОЧЕНЬ НЕ ХОЧЕТСЯ ВЕРИТЬ ЧТО WEBMONEY ЗДЕСЬ ПРИЧАСТНЫ.

    жду ваших следующих вопросов...

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1280
    Я не думаю, что Webmoney здесь причастны.
    Даже если у Вас на компьютере нет вредоносной программы, ворующей пароли, это не значит, что ее не было. Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника.

    В логах у Вас есть подозрительный файл, проверим его:
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\pagepromoterbar.dll','');
    end.
    Пришлите карантин согласно приложению 3 правил.

    Рекомендуется удалить программу Bonjour.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от bost84 Посмотреть сообщение
    жду ваших следующих вопросов...
    давайте рассуждать:
    1. Явного зловреда не видно ... в данной ситуации можно применить более "крутые" меры - снять HDD и пролечить его с чистой машины KAV и CureIT - на случай, если на диске сидит что-то хитро и надежно маскирующееся
    2. если железный FW + KIS + пароль на учетной записи, то вероятность того, что кто-то пролез извне и хакнул ПК выглядит крайне маловероятной
    3. Физический доступ к ПК у кого-то есть ? (дети, родственники, сослуживцы ... - кто угодно) ?
    4. Пароль на учетной записи или BIOS спрашивается при загрузке ПК ?

    Добавлено через 3 минуты

    Цитата Сообщение от kps Посмотреть сообщение
    ... Существует к примеру троян - вор паролей Пинч, так вот он самоуничтожается после сбора паролей и оправки их на адрес злоумышленника. ...
    Я тоже так думал - но во первых пинч не может украсть пароль Webmoney (последний его не хранит), а во вторых - для доступа к кошельку нужен еще файл ключей + при смене IP и железа в теории кошелек должен заблокироваться и на указанный в регистрации email высылается код активации. Это кстати можно уточнить в саппорте и арбитраже Webmoney - высылали ли они после смены пароля код активации кошелька, и если да - на какой адрес
    Последний раз редактировалось Зайцев Олег; 19.08.2008 в 13:35. Причина: Добавлено

  21. #20
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    17
    Вес репутации
    35
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    давайте рассуждать:
    1. Явного зловреда не видно ... в данной ситуации можно применить более "крутые" меры - снять HDD и пролечить его с чистой машины KAV и CureIT - на случай, если на диске сидит что-то хитро и надежно маскирующееся
    2. если железный FW + KIS + пароль на учетной записи, то вероятность того, что кто-то пролез извне и хакнул ПК выглядит крайне маловероятной
    3. Физический доступ к ПК у кого-то есть ? (дети, родственники, сослуживцы ... - кто угодно) ?
    4. Пароль на учетной записи или BIOS спрашивается при загрузке ПК ?
    1. к сожалению нет возможности так сделать. по крайней мере пока.
    2. и я про тоже.
    3. Доступ только у меня, комп дома стоит.
    4. нет. на биосе пароля нет, на записи тоже. ещё раз повторю что физически доступом к компу воспользоваться никто не мог. Если только заиметь ключи от квартиры. но это уже бред. и не ради такой суммы так мутить.

    Добавлено через 4 минуты

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Я тоже так думал - но во первых пинч не может украсть пароль Webmoney (последний его не хранит), а во вторых - для доступа к кошельку нужен еще файл ключей + при смене IP и железа в теории кошелек должен заблокироваться и на указанный в регистрации email высылается код активации. Это кстати можно уточнить в саппорте и арбитраже Webmoney - высылали ли они после смены пароля код активации кошелька, и если да - на какой адрес
    обязательно запрошу...
    повторюсь если кто не знает на почту письмо с кодом активации не приходило!!!
    Последний раз редактировалось bost84; 19.08.2008 в 13:44. Причина: Добавлено

  • Уважаемый(ая) bost84, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Не получается перевести деньги из WebMoney
      От Николай Сергеевич в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 12.09.2010, 20:27
    2. Взломали Webmoney и украли все деньги
      От fdv в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.07.2010, 18:54
    3. Ответов: 15
      Последнее сообщение: 15.03.2010, 22:25
    4. Троян, похищающий деньги Webmoney
      От Freel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:30

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01474 seconds with 16 queries