Помогите! Пропали деньги со счета WebMoney (сказали что троян)

**biznesoft** · 06.11.2009, 21:31

Здраствуйте!
Возникла у меня проблема при обмене денег WebMoney c WMR на WMU в обменнике вроди все прошло удачно, сума обмена пришла. Но вот что заметил что с кошелька WMU создалась заявка на обмен которою я неделал вобще и отправилась сума на обмен... и вроде все хорошо но квитанция показивает что пришли на счет деньги НО бАЛАНС счета равен нулю. Написал на сапорт веб моней - они ответили что ето скорее всево троян уменя на компютере... вот хочу разобратса.
Зарание спасибо.

Помогите логи прикрепляю..... может ето троян.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 06.11.2009, 22:06

Лог gmer сделайте

**biznesoft** · 07.11.2009, 14:13

Вот как вы и просили ЛОГ файл ( gmer.zip ).
Жду помощи от вас.

**vegas** · 07.11.2009, 19:59

Выполните скрипт AVZ

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\pcjnp.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\gsemu.SYS','');
 BC_ImportALL;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(14);
 RebootWindows(true);
end.

Компьютер перезагрузится. Сохраните текст ниже как cleanup.bat в ту же папку, где находится gr42dm25.exe (gmer)

Код:

gr42dm25.exe -del file 'C:\WINDOWS\system32\pcjnp.dll'
gr42dm25.exe -del service hltlesu
gr42dm25.exe -del reg 'HKLM\SYSTEM\CurrentControlSet\Services\hltlesu'
gr42dm25.exe -del reg 'HKLM\SYSTEM\CurrentControlSet\Services\hltlesu\Parameters'
gr42dm25.exe -del reg 'HKLM\SYSTEM\ControlSet002\Services\hltlesu'
gr42dm25.exe -del reg 'HKLM\SYSTEM\ControlSet002\Services\hltlesu\Parameters'
gr42dm25.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится. Закачайте карантин по красной ссылке вверху. Удалите bonjour http://virusinfo.info/showthread.php?t=27923. Повторите логи

**biznesoft** · 07.11.2009, 20:58

Сделал все по инструкции.... закачал карантин по ссилке!!!

Результат загрузкиФайл сохранён как 091107_205906_virus_4af5b56ac83d4.zip
Размер файла 48516
MD5 5c1e701b7116d1cac4bbfaa3d3eeb2bb

**thyrex** · 08.11.2009, 00:38

Новый лог gmer сделайте

**vegas** · 08.11.2009, 12:21

+ к thyrex
Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 StopService('gsemu');
 DeleteFile('C:\WINDOWS\System32\drivers\gsemu.SYS');
 BC_ImportALL;
 BC_DeleteSvc('gsemu');
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 RebootWindows(true);
end.

Лог virusinfo syscheck повторите

**biznesoft** · 08.11.2009, 13:02

Скрипт выполнил... сканирую скоро выложу логи Gmer.

**biznesoft** · 08.11.2009, 14:48

Логи gmtr
а также ЛОГ virusinfo_syscheck

**Rene-gad** · 08.11.2009, 14:54

Восстановление системы: включено

Отлкючите
-Выполните скрипт:

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:

повторите лог syscheck.zip

**biznesoft** · 08.11.2009, 15:47

После исполнения скрипта - новых устройств необнаружено в системе.
ЛОГ файл прилагаю.

А что ето такое у меня находилось на компа... что за зверь ???

**thyrex** · 08.11.2009, 16:09

В логе чисто

Панель eBay в IE Вам нужна?

**biznesoft** · 08.11.2009, 16:14

Сообщение от thyrex

В логе чисто

Панель eBay в IE Вам нужна?

нет ета панель мне не нужна.

**vegas** · 08.11.2009, 16:25

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\DOCUME~1\ASUSPC\LOCALS~1\Temp\pxtdrpog.sys');
 DeleteFile('C:\Documents and Settings\ASUSPC\Application Data\Toolbars\eBay\ebay.dll');
 DeleteFileMask('C:\Documents and Settings\ASUSPC\Application Data\Toolbarse\eBay\', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\ASUSPC\Application Data\Toolbars\eBay\');
 DelCLSID('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
 DelCLSID('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DelCLSID('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelCLSID('{427AB608-62F1-48D1-84D4-50C6358B7268}');
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится. Что с проблемами?

**biznesoft** · 08.11.2009, 16:31

Проблем вроде нет... пока деньги переводил и все нормально!

А что за вирус у меня был ???

**vegas** · 08.11.2009, 16:40

Собственно их было два - Conficker и Rootkit.Win32.Agent. Обновите систему (установите вышедшие после SP3 обновления)

**biznesoft** · 08.11.2009, 17:12

Спасибо за помощь.

**vegas** · 08.11.2009, 17:22

Для Спасибо кнопочка есть

**CyberHelper** · 09.11.2009, 17:22

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите! Пропали деньги со счета WebMoney (сказали что троян) (заявка № 59511)

Опции темы

Помогите! Пропали деньги со счета WebMoney (сказали что троян)

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Не получается перевести деньги из WebMoney

Взломали Webmoney и украли все деньги

Есть Троян - утверждает суппорт WebMoney (заблокировали мой идентификатор) И пропали права в учётку Admin

Троян, похищающий деньги Webmoney

Украдены деньги WEBMONEY

Ваши права в разделе