Воруют пароли WebMoney, AVZ: Перехватчик не определен!
Здравствуйте. Троянами были выкрадены с моего ПК пароли на Вебмани, и естественно украли деньги. Использую Антивиурс Касперского-8. После кражи поставил Outpost Firewall Pro 2009, но какой-то он старнный: Не показывает список портов, активных соединений, меньше намного функций, чем в старом (не помню только в каком), при загрузке ПК выдает 2 сообщения, что какие-то сетевые драйверы не были запущены. После обновлений баз в Фаерволе он всеравно пишет, что сигнатуры устарели (хотя и обновлены, дата выпуска баз на неделю раньше..)
Проверил систему, как написано в http://virusinfo.info/pravila.html
Сделал все, что нужно. Cureit! не находит ничего, каспер с фаерволом тоже.. АВЗ только вот жалуется при выполнении скриптах и полном эвристическом анализе (поставил макс. настройки при поиске вирусов) жалуется на перехватчики.. "Перехватчик не определен" Вот к примеру пара строк из Протокола:
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A4BB1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A4BB1F8 -> перехватчик не определен
Пользуюсь утилитой (последней) КК.. Она ничего не находит. Помогите пожалуйста избавится от всех троянов-перехватчиков, помогите настроить фаервол или скачать другой, или посоветуйте утилиты, типа как КК.ехе
И что еще мне нужно сделать и какие иметь программы и защиты на ПК (как Вам кажется лучше), чтобы полностью защититься от атак хакеров.
С Уважением, Максим.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Забыл добавить, что ВСЕ базы в АВЗ и в касперском и в фаерволе обновлены и обновляются ежедневно. Как быть логи чистыми могут, если при выполнении двух скриптов АВЗ выделяет в протоколе красным цветом, что Перехватчик не определен.. т.е. последние базы даже не знают, что это за перехватчик? все пароли я храню в еще более "лучшем" месте-в голове, причем пароли на кошелек Вебмани и на все остальные-индивидуальные, содержат верхний и нижинй регистры и цифры.. т.е. Дать или показать пароли я никому не мог, вывод только один, и я это точно знаю-их выкрали именно трояном. (за мой ПК никто не садился, никому не говорил паролей, за компом 10 лет сижу и впринципе всегда успешно боролся с вирусами и мне в этом помогали, да и сам не плохой хакер..А этот так и не обнаружил, посему и знаю, что до сих пор сидит какой-то олень у меня..Причем через Инет сидит...) Кстати, когда выкрали пароли, я сново обновил все свои антивирусы, проверил все, потмо переставил систему, форматнул (естественно) С:, поставил на него систему, и потом решил проверить..Опять же (после форматирования!) на диске С: перехватчик не определен..А файл klif.sys он самый и есть.. Но АВЗ его удалить не может, пишет что нужна перезагрузка-а когда гружу ПК, то он сново там висит..
И еще, почему думаю, что выкрали с ПК, а не подороге? да потому, что когда используешь перехватчик пакетов\снифер, то получаешь пароли в md5, а у меня они с верхним и нижним регистром+цифры.. => что любым дешифратором будешь подбирать нужный пароль лет 20.. Хотя могли и по дороге, даже скорее всего, что именно так..тогда как расшифровали мд5-кеш?
В проге RootKitRUnlocker3.8.342.554 (последняя) в вкладке SSDT нашел "Захваченные" моменты (Hooked) NTAdjustPrivilegesTuken, NTClose, NTConnectPort, NTCreateFile, NTCreateKey и так далее. Это означает ли (может я и ошибаюсь, прогу только что скачал и запустил), что найдены захваченные некоторые функции? к примеру что-то связанное с портами, с созданием файлов, ключей рееста, каких-то привелегий?
Последний раз редактировалось NomaK; 22.08.2009 в 14:27.
Блин, ну что же это может тогда быть? ведь по сути, троян так и не найден..Посоветуйте с браундменом чтоли.. Помню утилитка где-то валялась, так она верищит на любой скан портов.. ASP (если я не ошибаюсь) зеленый кругылй значек такой.. Даже если по локалке кто-нибудь Нетлук или Ленскоп запустит и очередь его сканера дойдет до тебя, то эта утилитка выдаст полнейшую инфу о том, кто сканирует или атакует, его айпишник там все порты и т.п.. Подобные утилиты можете посоветовать? Хочу уже создать новый WMID (в Вебмани) и перечислить туда деньги, а не могу-т.к. знаю, что и новый пароль от нового WMID`а будет вытянут у меня и деньги сново могут своровать..
И что насчет того, что фаервол при запуске винды не может загрузить некоторые сетевые драфреы? (прием в пунктах Запущеные процессы и порты (в фаерволе)) они пустые!
Программа RootKit Unlocker LE v3.8.342.544 (последняя) во вкладке "драйвера" не видит инодного Скрытого (Hidden) Зато во вкладке SSDT -Захваченные есть (Hooked-YES) К примеру: NTAdjustPrivilegesTuken, NTClose, NTConnectPort, NTCreateFile, NTCreateKey, NTDeletekey и так далее... Есть возможность Разблокировать все (из перечисленных и из тех что есть у меня там) Я так понимаю (м.б. ошибаюсь конечно, прогу только что скачал и запустил) Что захвачены возможности создания файлов, что-то с портами, с ключами реестра. Так?
Последний раз редактировалось NomaK; 22.08.2009 в 14:21.
А кто Вам сказал, что ВСЕХ троянов можно обнаружить?
Вы всегда замочек в проводнике проверяете, когда на https - странички идете? Может phishing ом у Вас деньги вытянули?
Сообщение от NomaK
Подобные утилиты можете посоветовать?
Не могу, т.к. не пользуюсь Смотрите в соотв. разделах нашего форума. Там можете создать новую тему с вопросом по таким утилитам.
Сообщение от NomaK
И что насчет того, что фаервол при запуске винды не может загрузить некоторые сетевые драфреы?
Обратитесь в техподдержку Agnitum. Я в необходимости файрвола очень сомневаюсь и сам не пользуюсь
ну чтож, поставил уже на сайте вебмани, чтобы в мой кипер можно ыбло войти только с одного айпишника...
Добавлено через 7 минут
новой версией программы AVZ 4.32 Нашел вот это: C:\Windows\System32\Drivers\karlchen.sys - Перехватчик KernelMode..
Добавлено через 15 минут
КОЧМАРГ! Выполнил в новом АВЗ скрипты под номером 4 и 5, в общем поместил кучу системных файлов на карантин. Вот список некоторых файлов: Нетлук (из программфайлс, это же простой сканер сети на ресурсы) из систем32: xlive.dll (за что его то?) SHDOCVW.dll, Perfom.exe, xpsp2res.dll, COMRes.dll,shimgvw.dll, printui.dll, ntlanui2.dll, shscrap.dll
, что самое интересное, так это - cmd.exe тоже туда попал.. Ну и так далее (всего 31 штука)
Последний раз редактировалось NomaK; 22.08.2009 в 15:08.
Причина: Добавлено
Предлагаю 2 варианта:
1. прекратить цирк и четко делать только то, что просят хелперы (попросили же - новые логи по правилам + логи GMER - лог GMER есть, новых логов по правилам - нет ... новые логи просят начиная с поста №2, сейчас уже пост номер 15, логов все нет ...)
2. просто прекратить цирк (т.е. закрыть тему)
"Обновите AVZ с сайта разработчика и повторите логи.
В этих все чисто." Далее я ответил, что базы обновлены на всех антивирусах: "Забыл добавить, что ВСЕ базы в АВЗ и в касперском и в фаерволе обновлены и обновляются ежедневно." смысл делать повторно логи, если с момента их создания я инчего не менял? хотите логи по правилам? они выложены все тут в моих "первых" постах. Логи по правилам ГМер тоже есть.
Вопрос по Нетшеллу.длл: "Попробуйте прислать его нам по правилам (приложение 2 и 3 )." Где такие правила новые? ссылочку дайте пожалуйста, а если эти правила и есть та ссылка: http://www.liutilities.com/products/...rary/netshell/, то там правил никаких нет, это анегл. сайт с прогарммой, от туда я скачал сканер, который очень сильно тупит. При установке этой программы обновляется она через Инет, доходит до 100% и пишет ошибку, повторяю так тысачу раз в общем потратил 25 метров на это..
Добавлено через 35 минут
Не большая проблемка произошла, после использования АВЗ: в папке Мой компьютер появились 3 папки: Общие документы, документы-Админ, и Web Folders.. Как от нихз избавиться, а еще лучше, как откатить изменения из пункта в АВЗ Восстановление системы. (я восстанавливал систему через АВЗ потому, что при загрузке ПК как только прогружается раб. стол вылазиет сообщение "sfc /scannow" точнее его функция, т.е. запрашивается диск и так вечно что-то проверяет, а диск (ЗверДВД) я втаскиваю, но "sfc /scannow" говорит мне, что это не тот диск, с которого была установлена система.. Так же из Пуск-Все программы-Стандартные от туда пропали Фотошопы (ярлыки) и много других ярлыков, далее там вкладка есть Стандартные-от туда вообще все почти поисчезало, включай калькулятор, во вкладке Служебные-там лишь только Интернет Эксплорер висит.. Что делать? Можно ли откатыть изменения ? (Восстановление системы выключено, т.к. я прочел здесь на форуме, что там могут лежать вирусы..)
Заного сделал все логи. Посмотрите, пожалуйста их.
И помогите разобраться с откатом системы, а то не хочется по новой ее переустанавливать.. Кстати в АВЗ много файлов на карантине висит, Нажимаю восстановить-ничего вообще непроисходит, они дальше там лежат..
Последний раз редактировалось Rene-gad; 23.08.2009 в 14:37.
при загрузке ПК как только прогружается раб. стол вылазиет сообщение "sfc /scannow" точнее его функция, т.е. запрашивается диск и так вечно что-то проверяет, а диск (ЗверДВД) я втаскиваю, но "sfc /scannow" говорит мне, что это не тот диск, с которого была установлена система..
новой версией программы AVZ 4.32 Нашел вот это: C:\Windows\System32\Drivers\karlchen.sys - Перехватчик KernelMode..Выполнил в новом АВЗ скрипты под номером 4 и 5, в общем поместил кучу системных файлов на карантин.
Поэтому я и попросил сделать новые логи.
karlchen.sys - не увидел.
В логах ничего подозрительного
Добавлено через 4 минуты
Сообщение от NomaK
Мой компьютер появились 3 папки: Общие документы, документы-Админ, и Web Folders.. Как от нихз избавиться, а еще лучше
Для удаления Web Folders скопируйте код
Код:
Windows Registry Editor Version 5.00
; Remove Web Folders Icon
; Howtogeek.com
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\MyComputer\NameSpace\{BDEADF00-C265-11D0-BCED-00A0C90AB50F}]
в чистый текстовый файл, сохраните его как 133.reg и запустите двойным щелчком.
Добавлено через 1 минуту
Сообщение от NomaK
я восстанавливал систему через АВЗ
Зачем?
Если Вы ....делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.
Последний раз редактировалось Rene-gad; 23.08.2009 в 14:56.
Причина: Добавлено
Спасибо за помощь! Просто сделал нового пользователя и туда все свои файлы перенес.. Сейчас все отлично, вот только в папке Мой компьютер остался противный ярлык Web Folders.. А еще я установил новый фаервол - COMODO Internet Security.. Одобряете его ?
Кстати, что там с логами ?
Добавлено через 3 минуты
Хорошо я понял, спасибо за рег-файл, спасибо за помощь! Думаю, что теперь с моими 4-мя антивирусами на мой новый WMID не узнают пару логин\пароль.. Спасибо за помощь !
(И все-таки, что такое тогда karlchen.sys ? Просто если вот просто так проверять комп на вирусы АВЗ, то он некоторые файлы, причем безобидные, помещает в карантин, и у меня из меню пуска пропадают cmd калькуляторы и т.п..Раньше такого не было, когда я пользовался АВЗ года 3-4 назад..)
Последний раз редактировалось NomaK; 23.08.2009 в 15:04.
Причина: Добавлено
Уважаемый(ая) NomaK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: