Опять вирус

Мне пришло дня 3-4 назад...
ссылку не запускал, отписал, что выслали лажу, пришло второе со ссылкой на архив в "Народ", вирусов якобы нет!!!

но сам естественно проверяю. стоит Avira, изначально промолчал, запустил и тишина.
почитал сообщение на weblance и мои догадки, стали реальностью...

при повтором скане.... показал мне вирусный WebMoney и lsass.exe... снес webmoney... почистил temp. посмотрим что будет.... на крайний случай может помочь снос ОС...
кошелки менять не охота конечно....

Будьте бдительны

Мне тоже приходило... Я открыла, почитала сообщение... поскольку письмо было с сылкой на веблансер... По ссылкам не ходила и удалила сразу же - не заинтересовало (потому что мимо сервиса - стремно, а на сервисе этого проект не видела). Кроме того, не хожу по ссылкам, которые присылают не знакомые люди. Приходило и второе письмо, но почитав предупреждение, я его удалила, не открывая...
Спасибо за предупреждение! Даже подумать не могла, что так вирусы рассылают...

Цитата ("owlteam"):

Цитата ("LSD-Team"):

VersouL_, пришли мне экземпляр вируса в запароленном архиве на почту (смотри в профиле). Скажу, что сделать. Видимо, разные вещи присылаются...

У меня сохранился экземпляр ))) варианта, который попал ко мне на комп несколько дней назад.
Надо бы его дизассемблировать, чтобы глянуть, что он там творил. Но лень пока... )

Как я уже говорил, возможно это дельфинский проект. Легче декомпилировать, ведь проще читать код, чем movы и jmpы.

Цитата ("Lisio"):

А ведь так просто, не открывать все что попало... Exe может понадобиться только в одном единственном случае - вы взялись за доработку какой-то программы. Глядишь вас такие троянцы и научат технике собственной безопасности. Уж если другие способы не работают, то хотя бы так.

ехе можно переименовать в любое расширение и запустить виндовыми командами. Conficker например вообще не использует при заражении ехе, у него там dll, переименованная в другой файл. А функции из dll вызываются через rundll32.exe - стандартный модуль винды. Поэтому будьте осторожны с любыми расширениями файлов, если рядом с ними лежат другие подозрительные файлы (шеллы типа ярлыков или батников). Можно легко проверить файл на истинность расширения. В тотал командере нажмите F3, и если это ехе или dll, то в самой первой вкладке вы увидите, что это на самом деле. Если файл действительно картинка или текст, вы увидите картинку или текст =)

Я открыл. Запустился ms-dos. Сразу всё понял и заблокировал файрволом, удалил. В автозагрузку не успел попасть. В диспетчере задач ничего страшного не обнаружил. Кстати добило ответное письмо. Типа извините, перепутала ссылку и прислала ещё одну )

Bob 301 согласен, уж сильно нагло вторым письмом слать)

marinesko, Да уж блин этот саппорт в вебманях... год назад доступ восстанавливал 2 месяца, первый месяц потратил на то , что бы достучатся до них, второй они "усердно работали" над восстановлением, аж зла не хватает, позавчера тоже отписал им с просьбой разобраться... все ни как... боюсь что тоже затянется...

Пришла такая штука два раза.

Первый раз якобы перепутали меня с кем то и в первом письме не было вирусов

Поэтому можно было бы поверить, что это без злого умысла

Благо она была уничтожена еще при получении

Цитата ("owlteam"):

Цитата ("Formica"):

_VersouL_
Если мне не изменяет память, то процесс wmagent.exe у меня появился ещё со времен первой установки Вебмани

Толку от него все-равно - ноль без палочки. Так что заходите в Панель Управления ---> Установка/удаление программ и удаляйте его (перезагрузитесь). Зато если после этого в памяти снова появится wmagent - вы наверняка будете знать, что это точно вирус.

Под другой учетной записью винды (под которой не используется WM) в процессах висит wmagent.exe. Через установку/удаление программ предлагается удалить только webmoney keeper classic целиком (отдельно агент удалить не предлагается). Антивирусная проверка компа Каспером была проведена, все указанные выше в теме файлы (типа 234.exe, lsass с русской а и т.д.) не найдены на компе. Что означает этот wmagent.exe - действительно агент или есть вероятность, что вирь?

textolite, "мутный муравей" возле "часиков" есть? это wmagent.

Сидит он в реестре HKLM:Run под своим именем. Любым "тюнером" винды эта программа отключается в три щелчка мыши. Можете и сами через "регедит" подправить.

Цитата ("Lava24"):

слава богу, что я подозрительна на таких заказчиков, которые мне пишут сразу на почту, а не в проект)))))

а если вам такой текст написать в проект, вы кликните? хорошая защита )))

НЕ РАСПРОСТРАНЯЙТЕ ВИРУС - УБЕРИТЕ ССЫЛКИ.

Вот все пишут, что их пронесло. А есть здесь люди, которые потеряли деньги или кошельки?

Главное не пытайтесь переводить свои WM на другие системы!
Без файла ключей и пароля к ним у вас ничего не украдут!
Когда открыть зараженный кипер - окно немного отличается от настоящего это заметно. Ни в коем случае не вводить туда свои данные и не передавать файлы ключей!

как удалить уже написали.

И потом не забыть восстановить файлы кипера запустив установочный файл.

Цитата ("shapod"):

textolite, "мутный муравей" возле "часиков" есть? это wmagent.

Сидит он в реестре HKLM:Run под своим именем. Любым "тюнером" винды эта программа отключается в три щелчка мыши. Можете и сами через "регедит" подправить.

shapod, спасибо, убрал его. но похоже, это был настоящий агент (видимо, при установке под одной учетной записью, WM сразу ставится доступной всем остальным аккаунтам, что, имхо, странно).

shapod,
нет...на ссылки так просто не кликаю))))
пока пронесло,слава богу)

Цитата ("textolite"):

Что означает этот wmagent.exe - действительно агент или есть вероятность, что вирь?

Agent.WebMoney - новшество кипера последней версии: посилання

Цитата:

Новое! Agent.WebMoney:
Когда WebMoney Keeper не запущен эта полезная утилита проверяет нет ли для Вас нового перевода, счёта или сообщения. Для того чтобы включить\выключить Agent.WebMoney используете опцию "Оповещать о новых событиях даже когда программа не запущена" на странице "Общие" в диалоге "Параметры программы" (Инструменты\Параметры программы).

сперто с другого форума

Кстати, вот такая вот информация вылазит при наведении курсора на wmagent.exe, а какая инфа появляется, если это вирус?

У меня виста и нод32.все ловит))))почти все))))

Цитата ("mao-11"):

Кстати, вот такая вот информация вылазит при наведении курсора на wmagent.exe, а какая инфа появляется, если это вирус?

Обратите внимание на дату создания, если не переустанавливался кипер то файл модифицирован вирусом

удалить вирус и восстановить кипер

Цитата ("bartelbe"):

Цитата ("mao-11"):

Кстати, вот такая вот информация вылазит при наведении курсора на wmagent.exe, а какая инфа появляется, если это вирус?

Обратите внимание на дату создания, если не переустанавливался кипер то файл модифицирован вирусом

удалить вирус и восстановить кипер

Я агент час назад переустановил на фоне всех этих событий, но малость тупанул - надо было посмотреть до переустановки, может и не стоило его деинсталлирвоать.

А если я не скачивала? я просто открыла ссылку а там было написано файл удален (или как-то так) и все, я и забыла про это письмо