Показано с 1 по 12 из 12.

Был взломан wm кипер (заявка № 81785)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    5
    Вес репутации
    28

    Exclamation Был взломан wm кипер

    Здравствуйте!
    На моем компьютере был взломан wm кипер, все деньги с него были выведены. Впрочем 66 центов "добрый хакер" мне все же оставил... Прошу помощи в поиске той гадости, которая пробралась на компьютер и позволила сделать такой "финт". Проверку компьютера провела по Правилам, было найдено несколько троянов - все удалено. Логи прилагаются, отвечу на все дополнительные вопросы, которые возникнут по ходу дела.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
    O3 - Toolbar: Alexa - {EA582743-9076-4178-9AA6-7393FDF4D5CE} - C:\Program Files\Alexa Toolbar\AlxTB2.9.0.0.30.dll (file missing)
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\Aston\aston.exe ,svchost.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ab900om4.SYS','');
     QuarantineFile('C:\WINDOWS\Temp\964a9hN3.sys','');
     QuarantineFile('C:\Documents and Settings\Natalia\Application Data\netprotocol.exe','');
     DeleteService('Netprotocol');
     DeleteFile('C:\Documents and Settings\Natalia\Application Data\netprotocol.exe');
     DeleteFile('C:\WINDOWS\Temp\964a9hN3.sys');
     QuarantineFile('C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe','');
     QuarantineFile('C:\downloaded\clcl112_rus\CLCL.EXE','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(16);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
      BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  4. #3
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    5
    Вес репутации
    28
    Сделано.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Цитата Сообщение от Nacida Посмотреть сообщение
    Прошу помощи в поиске той гадости, которая пробралась на компьютер и позволила сделать такой "финт".
    Эта гадость самоудалилась или была вами удалена ранее. Но пути проникновения остались открытые:
    - Adobe Acrobat Reader 7.0
    - Java 1.6.0_07
    ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128
    Вы настроили?

  6. #5
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    5
    Вес репутации
    28
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Эта гадость самоудалилась или была вами удалена ранее. Но пути проникновения остались открытые:
    - Adobe Acrobat Reader 7.0
    - Java 1.6.0_07
    Что мне делать? Удалить эти программы?

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128
    Вы настроили?
    Честно говоря, я вообще не понимаю, что это. Я такого никогда нигде не настраивала.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    Самое лучшее это переустановить систему, потому что она уже скомпрометирована и если вы соответственно собираетесь опять с ней заниматься электронными платежами. Подчеркиваю - электронными платежами.
    http://club-symantec.ru/forum.php

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Причём переустановить с нуля. С форматированием раздела.

  9. #8
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    5
    Вес репутации
    28
    Платежи будут, но поможет ли переустановка системы решить все проблемы? Опять же, можно ли ставить после переустановки Acrobat Reader?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Переустановка все проблемы не решит. Потому что слабым звеном, обычно, является человек. И как не печально, ни один антивирус не даст 100% защиты.
    http://virusinfo.info/showthread.php?t=77464

  11. #10
    Junior Member Репутация
    Регистрация
    25.06.2010
    Сообщений
    5
    Вес репутации
    28
    Использование интернета вообще похоже на вечную борьбу осторожности с хитростью: одни все время пытаются найти какие-то уязвимости, чтобы использовать их в своих целях, другие - защитить себя и свой компьютер. За почти 8 лет использования интернета это первая проблема с вирусами, которая у меня возникла, но 100% защиты не бывает, верно, вот и ко мне проскочила зараза... Все, что можно сделать - свести риск к минимуму, те программы все же удалила, еще почитаю советы с форума, может что-то полезное почерпну для себя. ProxyServer = http=85.175.178.81:3128;https=85.175.178.81:3128 - где это прописано никто не подскажет? В этой области я довольно плохо ориентируюсь, даже не представляю, где искать и как устранить.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Панель управления - Свойства обозревателя - вкладка Подключения - кнопка Настройка сети. Это для IE. Для других браузеров свои настройки.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Nacida, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. webmoney кипер не запускается
      От artofey в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 17.10.2010, 00:40
    2. блокируется кипер ВМ
      От samcool в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.03.2010, 21:44
    3. Взломали КИПЕР ВМ
      От laver в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.01.2010, 21:08
    4. Кто-то вскрыл кипер
      От vassbar в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.12.2009, 14:58
    5. Был взломан веб мани кипер. Помогите.
      От Stepa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.09.2009, 10:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00320 seconds with 16 queries