Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Помогите - взлом webmoney (заявка № 73605)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30

    Exclamation Помогите - взлом webmoney

    Доброе время суток!
    Проблема такого плана - пару дней назад при очередном запуске Вебмани Кипера, появилось сообщение "Серьезная ошибка при приеме команды". Исправить локально(переинициализировать) не удалось. После обращения в саппорт, стало ясно, что кипер был взломан. Деньги с кошельков пропали.
    Помогите, пожалуйста, найти и обезвредить троян.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\xgfqsw.dll','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp 0yAAAAAAAA','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp 0yAAAAAAAA');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp');
     RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs', '');
    BC_ImportAll;
     ExecuteSysClean;
     BC_Activate; 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Скрип выполнил, файлы из карантина выслал.
    Прикрепляю новый лог диагностики

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    И в логе и в карантине чисто. Троян, возможно, самоликвидировался. Это для них характерно: http://virusinfo.info/showthread.php?t=71976
    Но посмотрите в папке с WebMoney Keeper нет ли файла inetmib1.dll.

  6. #5
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Нет, в папке с кипером нет. Есть в папках \windows\system32\dllcache\ и \windows\system32

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Скорее всего, это уже чистый системный файл. Но попробуйте прислать его в zip-архив с паролем virus через ссылку Прислать запрошенный карантин вверху этой темы.

  8. #7
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Прислал - из папки windows\system32.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Файл чистый.

  10. #9
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Спасибо!
    Возможно, дадите какие-то рекомендации, чтобы уберечься от подобного в будущем? Я имею ввиду не рекомендации общего плана(ознакомился в этой теме - http://virusinfo.info/showthread.php?t=1431), а именно защиту от взлома кипера.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Если бы вы соблюдали общие рекомедации, то всё было бы в порядке.

  12. #11
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Общие рекомендации, который приведены по ссылке выше? (http://virusinfo.info/showthread.php?t=1431?)

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Нет, этого не достаточно. Я имел ввиду это: http://virusinfo.info/showthread.php?t=30339

  14. #13
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Зарегистрировал себе новый WMID, на время восстановления доступа к старому.
    Сегодня на него пришла определенная сумма - и опять была попытка взлома. Пришло письмо о попытке активировать кипер с другого IP.
    Троян все еще в системе
    Помогите найти и уничтожить.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Установите AVZPM через меню в AVZ.
    Перезагрузите компьютер.
    Запустите Keeper.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

    Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.

  16. #15
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    AndreyKa, саппорт вебмани предлагает переустановить ОСь. Я тоже склоняюсь к этому варианту. После переустановки запущу ScanVuln.txt, установлю обновления и приложу к этой теме его лог.

    Или лучше все-таки сначала попробовать выполнить шаги, описанные вами? С целью обнаружения этой гадости и для того, чтобы было понятно с чем бороться не только мне, а и другим пользователям форума и вебмани в частности.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    rider-x, делайте так, как считаете нужным.

  18. #17
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Выполнил следующие указание:
    Установите AVZPM через меню в AVZ.
    Перезагрузите компьютер.
    Запустите Keeper.
    Обновите базы AVZ.
    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
    Единственное, что новый WMID уже заблокирован поэтому кипер висит запущенным на момент логина.
    Лог прикрепил

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
     QuarantineFile('C:\Program Files\WebMoney\*.dll','');
    end.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.

  20. #19
    Junior Member Репутация
    Регистрация
    27.12.2009
    Сообщений
    11
    Вес репутации
    30
    Сделал.
    Вот протокол выполнения скрипта:

    Код:
    Ошибка карантина файла, попытка прямого чтения (C:\Program Files\WebMoney\*.dll)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\Program Files\WebMoney\*.dll)
     Карантин с использованием прямого чтения - ошибка
    Выполнен карантин файла C:\Program Files\WebMoney\bexth.dll
    Выполнен карантин файла C:\Program Files\WebMoney\DefaultKSP.dll
    Выполнен карантин файла C:\Program Files\WebMoney\Enum.dll
    Файл успешно помещен в карантин (C:\Program Files\WebMoney\gausenum.dll)
    Выполнен карантин файла C:\Program Files\WebMoney\gausenum.dll
    Выполнен карантин файла C:\Program Files\WebMoney\gdiplus.dll
    Файл успешно помещен в карантин (C:\Program Files\WebMoney\WMClient.dll)
    Выполнен карантин файла C:\Program Files\WebMoney\WMClient.dll

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В карантине 2 файла, у обоих действительная цифровая подпись. Больше мне придраться не к чему.
    PS. Вы сменили пароль к почте, которую использовали для активации WebMoney?

  • Уважаемый(ая) rider-x, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Взлом в контакте помогите,вирус(
      От kalyan378 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.06.2011, 19:08
    2. Взлом Webmoney
      От LilJay в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 29.11.2010, 18:06
    3. наверное взлом..помогите((
      От porex в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.05.2009, 13:32
    4. Помогите! Взлом моих сайтов через CMS
      От Galya2 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.10.2008, 11:14
    5. Осуществлен взлом Webmoney
      От SDA в разделе Новости интернет-пространства
      Ответов: 2
      Последнее сообщение: 28.10.2006, 12:23

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01457 seconds with 16 queries