Опять вирус

Цитата ("deeforgotten"):

Хм.. мне не приходил вирус.. подозрительные письма вобще обычно не открываю..
а вот в процессах "wmagent" был.. Следует лечиться?

Если у Вас в трее висит вебаманевский муравей, то этот wmagent - это их агент. Но на всякий случай я бы тоже порекомендовал удалить его (п.2 и далее моего поста). В любом случае, держать этого агента в памяти не стоит - это потенциальная дыра, значительно облегчающая увод денег.

Цитата ("art2"):

Ну, Сколько мог потерять агент мошенник на замкнутом аккаунте, чтобы так обозлиться на сервис, и ещё и на долго?

Да пофиг ему на сервис, скорее всего. Просто это удобная площадка для сбора базы рассылки и создания легенды.

Мне тоже эта гадость прилетела, и не один раз. Сначала заказ на копирайтинг в аську. Потом якобы верная ссылка в почту.
В аське я спросила - что по ссылке, якобы заказчик тут же распрощался.

Очень стараюсь не открывать ссылки, присланные незнакомцами. Задание в моей сфере можно дать в виде текста, ура.

Мне кажется, было бы правильно, если бы администрация ресурса известила об этом всех пользователей. Хотя бы личное сообщение. А то не все на форум заглядывают

А я все прошу что бы мне на почту отсылали
и незнакомые ссылки просматриваю в Google Chrome

Цитата ("Formica"):

Мне кажется, было бы правильно, если бы администрация ресурса известила об этом всех пользователей. Хотя бы личное сообщение. А то не все на форум заглядывают

Зато многие хабр читают)

Цитата ("Aradesh"):

Зато многие хабр читают)

Многие, но не все

Цитата ("voron_76"):

Итак, руководство "для чайников" по удалению зловреда.

Если Вы всё-таки запустили файл трояна, то избавиться от него достаточно просто.
1. Перезагружаете компьютер кнопкой Reset (обязательно. В противном случае зловред сядет в автозагрузку). Вообще, возьмите за правило: при любом подозрении на вторжение сразу жать Reset. Это не очень полезно для системы, но во многих случаях помогает избежать заражения или ещё более тяжёлых последствий.
2. После перезагрузки проверьте автозагрузку: Пуск - Программы - Автозагрузка. Если там есть запись "wmagent" - удаляйте её (правая кнопка мыши - Удалить) и снова перегружайтесь кнопкой Reset. Но её там быть не должно - похоже, зловред садится туда при нормальном завершении работы системы.
3. Если после перезагрузки автозагрузка чистая, качайте бесплатную лечащую утилиту от Доктора Веба: ссылка, запускайте и ставьте полное тестирование диска С:. Нынешняя версия обнаруживает и вычищает все копии зловреда.
4. После окончания работы утилиты вручную удалите папку C:\Windows\temp. Файлы, остающиеся там, скорее всего, безвредны, но на всякий случай...

Замечание. Перезагрузка обязательна: активного зловреда CureIt из памяти не вычищает.

voron_76, спасибо за помощь и профессионализм!

Цитата ("voron_76"):

Цитата ("annie_st"):

Коллеги - фрилансеры, проконсультируйте плизз насчет этого вируса.
Я сегодня скачала данный архив, попробовала открыть сначала один, потом второй файл)))
Потом я наткнулась на Вашу ветку.
Вебмани с кошелька украсть не успели, в тот момент, когда файлы открывались, киппер не был запущен.
Я могла не зацепить вирус по этой причине???
Нортон молчал, сделала прогонку на сканирование - ничего не нашел.
В диспетчере задач вебмани киппер классик раннер модуль только WebMoney.exe, других нет.
Как можно точно узнать есть у меня этот вирус или нету???
И могла ли я его Не зацепить?

Почти наверняка Вы его подцепили.
Перезагрузите компьютер (лучше Reset'ом). Скачайте CureIt (ссылка) и проверьте компьютер - он сегодня уже должен ловить эту заразу.

CureIt лучше ищет вирусы, когда Windows запущена в безопасном режиме. В безопасный режим входить так: начинаете перезагружать компьютер, после первого загрузочного экранчика (тест POST), жмете клавишу F8 (примерно раз в секунду), пока не появится меню. Дальше клавишами курсора выбираете нужный режим загрузки - "Безопасный режим" и жмете Enter.

После того, как Винда загрузится запускаете только CureIt и больше ничего не трогаете до конца проверки (длится она будет примерно час). На все вопросы отвечаете "Лечить" и "Для всех".

Сразу после запуска CureIt начнет проверять память и загрузочные сектора, нужно дождаться, когда он это закончит и выбрать опцию "Полная проверка".

ссылка
Интересно и подробно указал про спам этот, почитайте

Я тоже получил этот вирус. Изучил его, но тему увидел только сегодня, поэтому администрации отправил описание (и вообще блин, наплодили тем, не знаешь, куда писать). И вот лично мое описание:

Почта отправителя трояна: ***

Описание трояна:
текстовый файлик - на самом деле ехе-шник, который запускается ярлыком при распаковке архива (поэтому архив лучше распаковывать через тотал коммандер, путем копирования). Кейлогер перехватывает все нажатые клавиши с клавиатуры, а значит и все пароли.

Тело копируется в папку:
c:\Documents and Settings\User\Application Data\Options\
имя файла - lsass.exe (буква "а" русская), файл имеет значок Webmoney Keeper'a, одноименный процесс висит в диспетчере задач, также висит notepad.exe, но это оригинальный процесс блокнота и угрозы не представляет, хотя и запущен в скрытом режиме. Блокнот используется программой для своих целей.
Рядом с lsass.exe лежит файлик, в котором в незашифрованном виде (!!!) лежат все Ваши нажатые клавиши.

также файлы после заражения:
c:\Documents and Settings\User\Local Settings\temp\статья 1.txt (статья про недосыпания какие-то)
c:\Documents and Settings\User\Local Settings\temp\Project1.exe (судя по названию - писалось возможно на Delphi, это резервная копия фальшивого lsass.exe)
c:\Documents and Settings\User\Local Settings\temp\do.tt (там две строчки с именами предыдущих файлов)

Примерно каждую минуту троян пытается выполнить DNS-запрос, и достучаться до адреса node5.byetcluster.com по HTTP, куда и отправляет файлик с паролями. Я файлик с паролями подменил на файлик со своим сообщением злоумышленнику. (возможно это только один из УРЛов, куда стучится троян)

Но это лично мое описание, может быть, что-то упустил.

Насчет Web-Money и боязни потерять с него деньги. В настройках поставьте, чтобы код активации слался только на мобильный телефон. Тогда, для того, чтобы украть с Web-Money средства, злоумышленникам нужно будет украсть не только пароль и ключ, но и ваш телефон Ну и не надо хранить ключи на компе, естественно.
А на ошибках других надо учится

Блин,проверил процессы вмагент висит,в автозапуске тоже есть. хотя агент у вебманей выключен. чудеса убрал из реестра нафиг путь "C:\Program Files\WebMoney Agent\wmagent.exe"
папки c:\Documents and Settings\User\Application Data\Options\ нету
также нету
c:\Documents and Settings\User\Local Settings\temp\статья 1.txt (статья про недосыпания какие-то)
c:\Documents and Settings\User\Local Settings\temp\Project1.exe (судя по названию - писалось возможно на Delphi, это резервная копия фальшивого lsass.exe)
c:\Documents and Settings\User\Local Settings\temp\do.tt (там две строчки с именами предыдущих файлов)

плюс ко всему стоит фаервол который при каждом подключении нового приложения к сети спрашивает дать ли ему доступ, вроде чисто,но в автозагрузке странности

VersouL_, пришли мне экземпляр вируса в запароленном архиве на почту (смотри в профиле). Скажу, что сделать. Видимо, разные вещи присылаются...

LSD-Team мне письмо не приходило я никуда не тыкал ничего не устанавливал,просто ради любопытства просмотрел реестр там где автозапуск

А ведь так просто, не открывать все что попало... Exe может понадобиться только в одном единственном случае - вы взялись за доработку какой-то программы. Глядишь вас такие троянцы и научат технике собственной безопасности. Уж если другие способы не работают, то хотя бы так.

_VersouL_
Если мне не изменяет память, то процесс wmagent.exe у меня появился ещё со времен первой установки Вебмани

Цитата ("LSD-Team"):

VersouL_, пришли мне экземпляр вируса в запароленном архиве на почту (смотри в профиле). Скажу, что сделать. Видимо, разные вещи присылаются...

У меня сохранился экземпляр ))) варианта, который попал ко мне на комп несколько дней назад.
Надо бы его дизассемблировать, чтобы глянуть, что он там творил. Но лень пока... )

Цитата ("Formica"):

_VersouL_
Если мне не изменяет память, то процесс wmagent.exe у меня появился ещё со времен первой установки Вебмани

Толку от него все-равно - ноль без палочки. Так что заходите в Панель Управления ---> Установка/удаление программ и удаляйте его (перезагрузитесь). Зато если после этого в памяти снова появится wmagent - вы наверняка будете знать, что это точно вирус.