Опять вирус

Если я получил письмо, открыл архив, запустил картинку.
Понял что это все зло, удалил архив.
Провер все на висусы, вирусов не нашло.
Теперь боюсь запускать кипер.

Можно как-то проверить систему, или нужно запустить и глянуть?

Цитата ("gziBon"):

Если я получил письмо, открыл архив, запустил картинку.
Понял что это все зло, удалил архив.
Провер все на висусы, вирусов не нашло.
Теперь боюсь запускать кипер.
Можно как-то проверить систему, или нужно запустить и глянуть?

Запустите Диспетчер задач (Ctrl+Alt+Del). Если там два процесса lsass.exe - значит, троян внедрился. Если один - ничего страшного. Проверьте папку C:\Windows\Temp на предмет файлов со значком Кипера.

Был файл wmagent.exe*32
завершил процесс

Этот файл может лежать и в c:\Document and Settings\Имя_пользователя\Application Data\Export (там еще с ним второй скрытый файл с расширением .dat - его тоже надо удалить)
Вообще эти файлы могут по идее лежать где угодно.
Только не удаляйте тот lsass.exe, который лежит в папке c:\Windows\System32 - это настоящий системный lsass

Цитата ("gziBon"):

Можно как-то проверить систему, или нужно запустить и глянуть?

Вы не пробовали почитать ветку форума с первой страницы? Помогает обычно....

Аналогичная ситуация - скачала архив, открыла, посмотрела. так как foto.jpg не открылся, я сразу удалила всю папку. А потом увидела тему здесь на форуме. Сразу задалась вопросом - есть вирус или нет. В папках TEMP никаких подозрительных файлов не было, запущенных процессов подозрительных - тоже. На всякий случай папку с ключами от кипера скопировала с запускающей флешки на другой комп. Проверила комп Касперским - нашла пару троянов, но каких-то других ! Ключам на флешке присвоила атрибут "только чтение" и решилась таки запустить кипер. Вроде все нормально. Уфффффффф.............

А в win7 где он может быть ещё, я просто все что можно было удалил, но не уверен что удалил все, хотя может я ошибаюсь.

Запустите поиск файла lsass.exe по всему диску С:\ и удалите все копии (все кроме одного, который находится в папке C:\WINDOWS\System32).
Это для WindowsXP совет. В Windows 7 не знаю, где он лежит. Семерка у меня на комп так и не поставилась...

Просто в семерке, там и структура папок немного другая, вроди в процессах тоже не было такого файла (lsass.exe), ни системного, ни пользовательского.

Давно пора сделать на Веблансере скрытие личной и контактной информации от любых залетных. Чтобы по умолчанию показывалась только аватарка, приватное сообщение, портфолио и список услуг. Надоел уже ежедневный СПАМ и вирусописатели разные.

Например, хорошо было бы сделать так, чтобы пользователь сам мог выбирать людей, которые могли бы просматривать его полную информацию (например, предполагаемый заказчик).

Этим вирусом увели ключи от вебмани, lsass.exe удалял он востанавливался почему-то, не один антивирь не видит этого зверя. Пришлось снести систему и заменить все ключи. Вроде успел, пронесло.

Я дурень. Я все открыл... exe нет ну и открыл. Потом открываю кипер, а он не открывается, попытался переустановить, с флэшки исчез файл ключей. Пытаюсь новый сделать, чтобы процедуру восстановления запустить, а не выходит. Ну тогда схватил ноутбук и зарегистрировал и процедуру восстановления запустил. Если перевод денег был во время запуска испорченного кипера, то наверное я их лишился. Восстановят посмотрим, клиент денег принес на хостинг собирался оплатить. 1500 рублев где-то. Жалко.
Ну будет уроком на будущее. Про такое я еще не слышал, экзешника не было, я и повелся.

Тут знакомый мой специалист, который помогал комп вылечить, просил передать:

Цитата:

lsass.exe и его настройки set.dat лежат на системном диске, обычно диск С
в каталоге \Documents and Settings\имя пользователя под которым вы работаете\Application Data\Options

причем !!! второй файл имеет атрибут системный и скрытый
то есть, его проводником без соответствующих настроек обнаружить НЕВОЗМОЖНО

иконка у этого файла такая же, как и у webmoney кипера, то есть, муравей
вот она-то и работать начинает на компе и тырить ваши денежки

Надеюсь, кому-то поможет

Цитата ("owlteam"):

Вчера также была атака на мой кошелек, но деньги снять не смогли, да и мало их там было. Заход произошел утром с IP 78.21.52.174 (это Бельгия похоже).
Советую всем посмотреть отчет по безопасности в своих Webmoney Keeper - список всех IP с которых происходили заходы в Кипер за последние дни.
Нет ли там чего похожего на IP 78.21.52.174 (последние цифры могут отличатся, если у вора IP динамический).

IP 78.21.52.174 да, это бельгийский IP.
Сегодня получили письмо от фирмы которая присылает нам в письме ссылку, где нужно вести логин и пароль и потом мы скачиваем фактуру за заправку машины дизельным топливом.
В письме было написано, что их сайт взломан и все пароли сейчас недействительны. Кстати, пароль и логин они сами нам высылали и там нельзя его менять.
Так что скорей всего, кто-то есть из Бельгии кто такое сделал и скорей всего русскоговорящий хакер.

Цитата ("marinesko"):

marinesko

Действительно файл похожий на файл вебмани с этим же ярлычком "муравьем" лежал в с:\windows\temp\234.exe
а lsass.exe и его настройки set.dat лежат на системном диске обычно диск С
в каталоге \Documents and Settings\имя пользователя под которым вы работаете\Application Data\Options

Цитата ("Natalya56"):

Так что скорей всего, кто-то есть из Бельгии кто такое сделал и скорей всего русскоговорящий хакер.

Народ, ну нельзя же быть такими доверчивыми... Ни один нормальный "хакер" не будет атаковать со своего родного адреса. Этот "русскоговорящий бельгийский хакер" сидит где-нибудь в Урюпинске через мобилу с купленной на раз симкой.

Цитата ("voron_76"):

Народ, ну нельзя же быть такими доверчивыми... Ни один нормальный "хакер" не будет атаковать со своего родного адреса.
Этот "русскоговорящий бельгийский хакер" сидит где-нибудь в Урюпинске через мобилу с купленной на раз симкой.

Поясните, не поняла вас. Я пользуюсь услугами этого провайдера и купить то что Вы пишите не возможно.

Цитата ("Formica"):

Мдя... все почистил, WMoney не открывал, сейчас решил рискнуть ... не открывается, ведать успел таки вирус попортить файлы, будем восстанавливать, или пытаться восстанавливать, кто знает как, пишите, буду очень признателен. Денег на кошеле было не много, но все же неприятненько ...

у мя тоже было, кипер не снесло, просто побило. Если возможно - восстановите систему, мне помогло.

voron_76, telenet.be зайдите и прочитайте сайт и Вы поймете что невозможно сидеть в N городе и использовать услуги теленета.