-
Junior Member
- Вес репутации
- 53
Помогите - взлом webmoney
Доброе время суток!
Проблема такого плана - пару дней назад при очередном запуске Вебмани Кипера, появилось сообщение "Серьезная ошибка при приеме команды". Исправить локально(переинициализировать) не удалось. После обращения в саппорт, стало ясно, что кипер был взломан. Деньги с кошельков пропали.
Помогите, пожалуйста, найти и обезвредить троян.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xgfqsw.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp 0yAAAAAAAA','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp 0yAAAAAAAA');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\jlsv.tmp');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 53
Скрип выполнил, файлы из карантина выслал.
Прикрепляю новый лог диагностики
-
И в логе и в карантине чисто. Троян, возможно, самоликвидировался. Это для них характерно: http://virusinfo.info/showthread.php?t=71976
Но посмотрите в папке с WebMoney Keeper нет ли файла inetmib1.dll.
-
-
Junior Member
- Вес репутации
- 53
Нет, в папке с кипером нет. Есть в папках \windows\system32\dllcache\ и \windows\system32
-
Скорее всего, это уже чистый системный файл. Но попробуйте прислать его в zip-архив с паролем virus через ссылку Прислать запрошенный карантин вверху этой темы.
-
-
Junior Member
- Вес репутации
- 53
Прислал - из папки windows\system32.
-
-
-
Junior Member
- Вес репутации
- 53
Спасибо!
Возможно, дадите какие-то рекомендации, чтобы уберечься от подобного в будущем? Я имею ввиду не рекомендации общего плана(ознакомился в этой теме - http://virusinfo.info/showthread.php?t=1431), а именно защиту от взлома кипера.
-
Если бы вы соблюдали общие рекомедации, то всё было бы в порядке.
-
-
Junior Member
- Вес репутации
- 53
Общие рекомендации, который приведены по ссылке выше? (http://virusinfo.info/showthread.php?t=1431?)
-
Нет, этого не достаточно. Я имел ввиду это: http://virusinfo.info/showthread.php?t=30339
-
-
Junior Member
- Вес репутации
- 53
Зарегистрировал себе новый WMID, на время восстановления доступа к старому.
Сегодня на него пришла определенная сумма - и опять была попытка взлома. Пришло письмо о попытке активировать кипер с другого IP.
Троян все еще в системе
Помогите найти и уничтожить.
-
Установите AVZPM через меню в AVZ.
Перезагрузите компьютер.
Запустите Keeper.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Выполните в AVZ скрипт из файла ScanVuln.txt и приложите к этой теме файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедится, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 53
AndreyKa, саппорт вебмани предлагает переустановить ОСь. Я тоже склоняюсь к этому варианту. После переустановки запущу ScanVuln.txt, установлю обновления и приложу к этой теме его лог.
Или лучше все-таки сначала попробовать выполнить шаги, описанные вами? С целью обнаружения этой гадости и для того, чтобы было понятно с чем бороться не только мне, а и другим пользователям форума и вебмани в частности.
-
rider-x, делайте так, как считаете нужным.
-
-
Junior Member
- Вес репутации
- 53
Выполнил следующие указание:
Установите AVZPM через меню в AVZ.
Перезагрузите компьютер.
Запустите Keeper.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Единственное, что новый WMID уже заблокирован поэтому кипер висит запущенным на момент логина.
Лог прикрепил
-
Запустите AVZ. Выполните скрипт через меню Файл:
Код:
begin
QuarantineFile('C:\Program Files\WebMoney\*.dll','');
end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
-
-
Junior Member
- Вес репутации
- 53
Сделал.
Вот протокол выполнения скрипта:
Код:
Ошибка карантина файла, попытка прямого чтения (C:\Program Files\WebMoney\*.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Program Files\WebMoney\*.dll)
Карантин с использованием прямого чтения - ошибка
Выполнен карантин файла C:\Program Files\WebMoney\bexth.dll
Выполнен карантин файла C:\Program Files\WebMoney\DefaultKSP.dll
Выполнен карантин файла C:\Program Files\WebMoney\Enum.dll
Файл успешно помещен в карантин (C:\Program Files\WebMoney\gausenum.dll)
Выполнен карантин файла C:\Program Files\WebMoney\gausenum.dll
Выполнен карантин файла C:\Program Files\WebMoney\gdiplus.dll
Файл успешно помещен в карантин (C:\Program Files\WebMoney\WMClient.dll)
Выполнен карантин файла C:\Program Files\WebMoney\WMClient.dll
-
В карантине 2 файла, у обоих действительная цифровая подпись. Больше мне придраться не к чему.
PS. Вы сменили пароль к почте, которую использовали для активации WebMoney?
-