Игорь Нечитайло
58 сообщений
#14 лет назад
Если я получил письмо, открыл архив, запустил картинку.
Понял что это все зло, удалил архив.
Провер все на висусы, вирусов не нашло.
Теперь боюсь запускать кипер.

Можно как-то проверить систему, или нужно запустить и глянуть?
Роман К.
6970 сообщений
#14 лет назад
Цитата ("gziBon"):
Если я получил письмо, открыл архив, запустил картинку.
Понял что это все зло, удалил архив.
Провер все на висусы, вирусов не нашло.
Теперь боюсь запускать кипер.
Можно как-то проверить систему, или нужно запустить и глянуть?

Запустите Диспетчер задач (Ctrl+Alt+Del). Если там два процесса lsass.exe - значит, троян внедрился. Если один - ничего страшного. Проверьте папку C:\Windows\Temp на предмет файлов со значком Кипера.
Игорь Нечитайло
58 сообщений
#14 лет назад
Был файл wmagent.exe*32
завершил процесс
Сергей Б.
2268 сообщений
#14 лет назад
Этот файл может лежать и в c:\Document and Settings\Имя_пользователя\Application Data\Export (там еще с ним второй скрытый файл с расширением .dat - его тоже надо удалить)
Вообще эти файлы могут по идее лежать где угодно.
Только не удаляйте тот lsass.exe, который лежит в папке c:\Windows\System32 - это настоящий системный lsass

Оффтопик

Как я удачно вчера запустил очистку диска в Norton Utilites. Она все файлы из папки Temp удалила )))
Ксения Годунова
1 сообщение
#14 лет назад
Цитата ("gziBon"):
Можно как-то проверить систему, или нужно запустить и глянуть?


Вы не пробовали почитать ветку форума с первой страницы? Помогает обычно....
Ирина К.
253 сообщения
#14 лет назад
Аналогичная ситуация - скачала архив, открыла, посмотрела. так как foto.jpg не открылся, я сразу удалила всю папку. А потом увидела тему здесь на форуме. Сразу задалась вопросом - есть вирус или нет. В папках TEMP никаких подозрительных файлов не было, запущенных процессов подозрительных - тоже. На всякий случай папку с ключами от кипера скопировала с запускающей флешки на другой комп. Проверила комп Касперским - нашла пару троянов, но каких-то других ! Ключам на флешке присвоила атрибут "только чтение" и решилась таки запустить кипер. Вроде все нормально. Уфффффффф.............
Олег Р.
155 сообщений
#14 лет назад
А в win7 где он может быть ещё, я просто все что можно было удалил, но не уверен что удалил все, хотя может я ошибаюсь.
Сергей Б.
2268 сообщений
#14 лет назад
Запустите поиск файла lsass.exe по всему диску С:\ и удалите все копии (все кроме одного, который находится в папке C:\WINDOWS\System32).
Это для WindowsXP совет. В Windows 7 не знаю, где он лежит. Семерка у меня на комп так и не поставилась...
Олег Р.
155 сообщений
#14 лет назад
Просто в семерке, там и структура папок немного другая, вроди в процессах тоже не было такого файла (lsass.exe), ни системного, ни пользовательского.
Сергей Б.
2268 сообщений
#14 лет назад
Давно пора сделать на Веблансере скрытие личной и контактной информации от любых залетных. Чтобы по умолчанию показывалась только аватарка, приватное сообщение, портфолио и список услуг. Надоел уже ежедневный СПАМ и вирусописатели разные.

Например, хорошо было бы сделать так, чтобы пользователь сам мог выбирать людей, которые могли бы просматривать его полную информацию (например, предполагаемый заказчик).
Сергей Н.
64 сообщения
#14 лет назад
Этим вирусом увели ключи от вебмани, lsass.exe удалял он востанавливался почему-то, не один антивирь не видит этого зверя. Пришлось снести систему и заменить все ключи. Вроде успел, пронесло.
Алексей К.
3 сообщения
#14 лет назад
Я дурень. Я все открыл... exe нет ну и открыл. Потом открываю кипер, а он не открывается, попытался переустановить, с флэшки исчез файл ключей. Пытаюсь новый сделать, чтобы процедуру восстановления запустить, а не выходит. Ну тогда схватил ноутбук и зарегистрировал и процедуру восстановления запустил. Если перевод денег был во время запуска испорченного кипера, то наверное я их лишился. Восстановят посмотрим, клиент денег принес на хостинг собирался оплатить. 1500 рублев где-то. Жалко.
Ну будет уроком на будущее. Про такое я еще не слышал, экзешника не было, я и повелся.
Марина Грамович
464 сообщения
#14 лет назад
Тут знакомый мой специалист, который помогал комп вылечить, просил передать:

Цитата:
lsass.exe и его настройки set.dat лежат на системном диске, обычно диск С
в каталоге \Documents and Settings\имя пользователя под которым вы работаете\Application Data\Options

причем !!! второй файл имеет атрибут системный и скрытый
то есть, его проводником без соответствующих настроек обнаружить НЕВОЗМОЖНО

иконка у этого файла такая же, как и у webmoney кипера, то есть, муравей
вот она-то и работать начинает на компе и тырить ваши денежки
Марина Грамович
464 сообщения
#14 лет назад
Надеюсь, кому-то поможет
Наталья Э.
2099 сообщений
#14 лет назад
Цитата ("owlteam"):
Вчера также была атака на мой кошелек, но деньги снять не смогли, да и мало их там было. Заход произошел утром с IP 78.21.52.174 (это Бельгия похоже).
Советую всем посмотреть отчет по безопасности в своих Webmoney Keeper - список всех IP с которых происходили заходы в Кипер за последние дни.
Нет ли там чего похожего на IP 78.21.52.174 (последние цифры могут отличатся, если у вора IP динамический).


IP 78.21.52.174 да, это бельгийский IP.
Сегодня получили письмо от фирмы которая присылает нам в письме ссылку, где нужно вести логин и пароль и потом мы скачиваем фактуру за заправку машины дизельным топливом.
В письме было написано, что их сайт взломан и все пароли сейчас недействительны. Кстати, пароль и логин они сами нам высылали и там нельзя его менять.
Так что скорей всего, кто-то есть из Бельгии кто такое сделал и скорей всего русскоговорящий хакер.
Сергей Н.
64 сообщения
#14 лет назад
Цитата ("marinesko"):
marinesko
Действительно файл похожий на файл вебмани с этим же ярлычком "муравьем" лежал в с:\windows\temp\234.exe
а lsass.exe и его настройки set.dat лежат на системном диске обычно диск С
в каталоге \Documents and Settings\имя пользователя под которым вы работаете\Application Data\Options
Роман К.
6970 сообщений
#14 лет назад
Цитата ("Natalya56"):
Так что скорей всего, кто-то есть из Бельгии кто такое сделал и скорей всего русскоговорящий хакер.

Народ, ну нельзя же быть такими доверчивыми... Ни один нормальный "хакер" не будет атаковать со своего родного адреса. Этот "русскоговорящий бельгийский хакер" сидит где-нибудь в Урюпинске через мобилу с купленной на раз симкой.
Наталья Э.
2099 сообщений
#14 лет назад
Цитата ("voron_76"):
Народ, ну нельзя же быть такими доверчивыми... Ни один нормальный "хакер" не будет атаковать со своего родного адреса.
Этот "русскоговорящий бельгийский хакер" сидит где-нибудь в Урюпинске через мобилу с купленной на раз симкой.


Поясните, не поняла вас. Я пользуюсь услугами этого провайдера и купить то что Вы пишите не возможно.
Игорь Д.
522 сообщения
#14 лет назад
Цитата ("Formica"):
Мдя... все почистил, WMoney не открывал, сейчас решил рискнуть ... не открывается, ведать успел таки вирус попортить файлы, будем восстанавливать, или пытаться восстанавливать, кто знает как, пишите, буду очень признателен. Денег на кошеле было не много, но все же неприятненько ...


у мя тоже было, кипер не снесло, просто побило. Если возможно - восстановите систему, мне помогло.
Наталья Э.
2099 сообщений
#14 лет назад
voron_76, telenet.be зайдите и прочитайте сайт и Вы поймете что невозможно сидеть в N городе и использовать услуги теленета.