Опять вирус

Цитата ("voron_76"):

Доктор Веб тоже сообщил о добавлении, имя - Trojan.MulDrop.60130. Но пока не детектится.

Уведомили значит уже. А мне еще не написали...

Тоже получил. Я как раз занят, и даже не стал открывать данный архив. Писал ей что занят и все.

Цитата ("wmdesigner"):

Цитата ("voron_76"):

Цитата ("wmdesigner"):

а мне такое вот пришло, ТАМ РЕАЛЬНО ТРОЯН СИДИТ
у меня ВСЕ ВЕБМАНИ увели под чистую
я винду недавно сносил и антивируса не было, хоть и было написано что файл проверен на вирусы

Не, я понимаю, конечно, что "многабукаф, ниасилил"... Но зачем орать о том, что уже давно всеми обсуждено со всех сторон?

хочу и ору, на то он и форум.
у тебя бы столько бабосов сперли я бы поглядел на реакцию

Ну, так голова-то дадена не только для того, чтобы в неё есть.
70 сообщений - значит, на форуме появляетесь. А тему обсасывают уже больше полусуток.

Цитата ("wmdesigner"):

у тебя бы столько бабосов сперли я бы поглядел на реакцию

Думаете, автор трояна испугается вашего крика и вернет деньги?

ЗЫ: что за привычка "тыкать" малознакомым людям?

Цитата ("WebDesignStudio"):

Тоже получил. Я как раз занят, и даже не стал открывать данный архив. Писал ей что занят и все.

Я ведь тоже не открывал, а сразу удалил письмо, но троянец все-равно оказался в папке c:\Documents and Settings\Ваш_Ник\Application Data\Export\" (если WinXP).

Цитата ("owlteam"):

Цитата ("WebDesignStudio"):

Тоже получил. Я как раз занят, и даже не стал открывать данный архив. Писал ей что занят и все.

Я ведь тоже не открывал, а сразу удалил письмо, но троянец все-равно оказался в папке c:\Documents and Settings\Ваш_Ник\Application Data\Export\" (если WinXP).

Это другой троянец. Этот внедряется только при распаковке всех файлов и запуске .lnk. И в папку Export не залазит.

Цитата ("voron_76"):

Это другой троянец. Этот внедряется только при распаковке всех файлов и запуске .lnk. И в папку Export не залазит.

Что-то подозрительно много "разных" троянцев с одинаковым описанием и местонахождением. Не кажется?

Цитата ("owlteam"):

Что-то подозрительно много "разных" троянцев с одинаковым описанием и местонахождением. Не кажется?

Простите, подозрительно много для чего? для винды?

Народ. А под wine'ом троян запустится? Очень хочется посмотреть на него.

Да видимо местные заказомошенники шалят. Густно им по саппорту сервис покидать.

voron_76, А мне всю систему так загрузил что....Касперскитй все мои файлы через одного посчитал вирусами,мне его хрюканье напоминало свиноферму. Постоянные атаки....AVAST - может и не так популярен, но хоть не шумит так....

Мне до этого письмо пришло с жуткими словами и типа того чего тебе вообще на Веблансере с твоими данными делать.По IP Белоруссия, я вычислила.Последнее с вирусом я так поняла из Америки- там IP стоял, но скорее всего прокси и никак не поймать. Склоняюсь к мысли, что кто-то из бывших вредит....Мелочная месть + прибыль.Зачем работать.

Цитата ("AlexsimA"):

voron_76, А мне всю систему так загрузил что....Касперскитй все мои файлы через одного посчитал вирусами,мне его хрюканье напоминало свиноферму. Постоянные атаки....

Так может, у Вас все файлы через одного и были заражены? Файловые вирусы сейчас редко встречаются, но если уж попадают на машину - заражают всё, до чего дотянутся.

Цитата:

AVAST - может и не так популярен, но хоть не шумит так....

Может, Вам тогда вообще антивирус снести? Вообще тишина и покой будет.
А у Касперского звук, кстати, отключается.

voron_76, Зачем у меня AVZ есть. Нет у меня были вполне приличные файлы, не понимаю вашей иронии.Что приемлемо для одного ПК, губительно для другого. Мне антивирус, уже не помню какой, но всеми любимый-вроде КИС был, какой-то супер сборкуи почистил все.Потом комп не загружался.Все это видимо для сисадминов, а меня что попроще вполне устраивает.

Цитата ("AlexsimA"):

а меня что попроще вполне устраивает

установил КИС и не заглядываю - все по умолчанию. Только если порт какой открыть для своих нужд. Еще включен UAC и, самое главное - мозг.

Цитата ("shapod"):

Цитата ("AlexsimA"):

а меня что попроще вполне устраивает

установил КИС и не заглядываю

Ничего не устанавливаю, бо антивирус - это лишняя дыра в системе.

Цитата ("AlexsimA"):

По IP Белоруссия, я вычислила.

в современном мире IP ничего не говорит
даже школьник со своим настоящим шалить не будет

По наблюдениям схемотехника Вируса примерно такая.

1. При первом запуске заражает файл Webmoney.exe т.е. рабочий файлик WM.
2. При запуске и вводе пароля выдаёт ошибку, требуя подтвердить через файлы ключей
3. В процессах повисает процесс lsass.exe, который является дочерним от webmoney.
4. При указании файла ключей, паролей к нему делает перевод бабла и обнуляет файлы

В систему не внедряется, так как завязан исключительно на Webmoney. Антивирусы его не видят.

Что получилось у меня. Ступил и заразился. Понял, что троян, но сначала сканировал систему, тем более NOD ничего не видел. AVZ. DrWebCutIt тоже в чистую, а тот факт, что в JPG хранится исполняемый exe код 100% говорил за троян. В процессах и в автозагрузке в реестре пока было чисто.

Сразу подумал на WM. Запустил, тут же получил окно, мол пароль неверный. Сделал отмену. Повторно запустился, ввёл пароль, опять типа неверно. Тогда запустил утилиту Proces Explorer, и тут же увидел запущенный lsass.exe Процесс убил, однако кошель Webmoney тут же начал выдавать ошибки. Короче вообще не запускался. Недолго думая, прошёл на сайт Webmoney.ru скачал снова кипер, запустил и указал восстановление. Что и произошло. Запустил Webmoney ввёл пароль, всё ок. Деньга на месте. Сохранил файл ключей с новым паролем, сменил пароль на кипер.

Дальше отправил архив в поддержку Esset Nod 32. Так как Process Explorer показывает файлы откуда запущены, то нашёл lsass.exe в папке options и также отправил в поддержку Esset. Удалил последнего и пока вроде тихо всё.

Вывод для себя сделал такой. Олень не тот, кто написал вирус, а тот кто его запустил. В данном случае Я. Тот, кто написал вирус, распространил и срубил бабал при всём при том, молодец, раз развёл так даже прошареных людей.

Цитата ("mymind"):

По наблюдениям схемотехника Вируса примерно такая.

1. При первом запуске заражает файл Webmoney.exe т.е. рабочий файлик WM.
2. При запуске и вводе пароля выдаёт ошибку, требуя подтвердить через файлы ключей
3. В процессах повисает процесс lsass.exe, который является дочерним от webmoney.
4. При указании файла ключей, паролей к нему делает перевод бабла и обнуляет файлы

Точно, так оно все и было у меня, только не вчера, когда письмо пришло (которое я сразу удалил) а за 2 дня до этого, когда в кошеле кто-то шарился и тыкался в активацию. Из чего следует вывод, что этим троянцем можно не только через почту заразится...