Опять вирус

Я повелась по наивности, всё скачала, просмотрела и даже не заметила, что у меня веб-мани кошелёк пропал, пока не нашла эту тему. Теперь в срочном порядке пытаюсь решить проблему...

Следуя всем рекомендациям из диспетчера задач удалила lsas, который второй, не системный. Но самое ужасное, что после перезагрузки компьютера этот lsas опять появился. Что делать?!

Ещё сделала выборку по последним документам, где были внесены изменения - нашла wmagent.exe. Его тоже удалять?

И ещё нод предательски молчит, хотя вирусов наверное полно

shapod, Видела и поболее.Мне не надо 20 страниц для оценки.Надо писать суть, а 20 страниц уже на почту.

Hostname Country Code Country Name Region Region Name City Postal Code Latitude Longitude ISP Organization Metro Code Area Code
95.78.193.211 RU Russian Federation 55 Orenburg Orenburg 51.7847 55.0986 ER-Telecom CJSC Company ER-Telecom

Вот у меня кто увёл) Может конечно под прокси, но навряд ли. Обычно прокси юзают не России

textolite, Да я сначала написал, а потом прочитал и все увидел.
Но вот беда - антивирусники молчат, файл Lsass.exe удалял, но он после перезагрузки все равно появлялся и снова запускался. Пока с кошельками ничего не произошло (тьфу-тьфу-тьфу), но как-то боязно.

Zhorzh, присоединяюсь к просьбе детального описания удаления сего страшного зверя

Цитата ("PolSoft"):

Wildcat, Вы часто видели вордовские файлы с расширением ЕХЕ? )))))

тут есть еще тема "говорят что хотят нанять, а сами шлют вирус", это так сказать обсуждение первой волны вируса
вот там в архиве лежало два файла - docx - расширение вордовского файла из офиса-2007 и ярлык. Запустила я вордовский файл, у меня офис-2003 и стоит утилита для прочтения нового формата файлов. Мне повезло - файл полностью перехватил ворд и он не ушел на исполнение. Ярлык я не открыла, посчитав его мусором, который заказчик впихнул в архив случайно (типа файла thumb). Написала заказчику "вышлите файл в 2003 ворде". Через 2 часа на веблансере создали тему пострадавшие. У меня вируса нет, ворд не дал ему выполниться.

По поводу удаления - ну прочитайте несколько страниц назад, Ворон все писал не раз

Ой да, приходило) в моей случае речь шла о переводе)) Но я архив не сохраняла а так открывала. Признаки вируса увидела только сегодня, быстро удалила

Пришло общеизвестное письмо, после которого я скачала файл.
С компом большие проблемы, винду буду сносить.
Пришло повторное письмо "Извините, не на тот файл дала ссылку, скачайте здесь".
Мне уже было не доскачивания, отписала, что за работу не смогу взяться.
Естественно, по указанной ссылке не заходила, письмо удалила.
Что теперь делать с кошельком? Можно открывать, когда винду снесу и
вируса не будет?

Цитата:

И еще было бы просто чудесно, если б можно было снимать деньги прямо с Веблансера переводами, системами , на карточки. Это и сервису+ и прибыль и не надо кучу посредников в лице Вебманей и обменников. Понимаю сложно, но нужно....

Art-Media, Цитата:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See посилання

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '95.78.192.0 - 95.78.239.255'

inetnum: 95.78.192.0 - 95.78.239.255
netname: ERTH-OREN-PPPOE-1-NET
descr: CJSC "Company "ER-Telecom"
descr: Orenburg, Russia
descr: Individual PPPoE customers
country: RU
admin-c: NOCC56-RIPE
tech-c: NOCC56-RIPE
status: ASSIGNED PA
mnt-by: RAID-MNT
source: RIPE # Filtered

role: Network Operation Center CJSC ER-Telecom Company Orenburg branch
address: 8, Dzerzhinskogo av., 460038
address: Orenburg, Russia
e-mail: ***
admin-c: NAIZ-RIPE
tech-c: NAIZ-RIPE
nic-hdl: NOCC56-RIPE
source: RIPE # Filtered
mnt-by: MNT-ERTHOLDING

% Information related to '95.78.192.0/19AS42683'

route: 95.78.192.0/19
descr: "Company "ER-Telecom" Orenburg route object
origin: AS42683
mnt-by: RAID-MNT
source: RIPE # Filtered

% Information related to '95.78.192.0/22AS42683'

route: 95.78.192.0/22
descr: "Company "ER-Telecom" Orenburg route object
origin: AS42683
mnt-by: RAID-MNT
source: RIPE # Filtered

% Information related to '95.78.192.0/18AS42683'

route: 95.78.192.0/18
descr: CJSC "Company "ER-Telecom" Orenburg
descr: Orenburg, Russia
origin: AS42683
mnt-by: RAID-MNT
source: RIPE # Filtered

Пишите им на почту-может накажут негодяя

Цитата ("AlexsimA"):

Цитата:

И еще было бы просто чудесно, если б можно было снимать деньги прямо с Веблансера переводами, системами , на карточки. Это и сервису+ и прибыль и не надо кучу посредников в лице Вебманей и обменников. Понимаю сложно, но нужно....

Ну, тогда карточку заводить надо, налоги платить. Тем, кто серьезно фрилансит это выгодно, а вот тем, кто только хочет попробовать себя, не очень.

inewsneg, Если пароли украли, то это не поможет,ИМХО.

Цитата ("textolite"):

Через установку/удаление программ предлагается удалить только webmoney keeper classic целиком (отдельно агент удалить не предлагается).

Удаление агента Вебмани идет отдельной строчкой в Панели Управления. Посмотрите внимательней.

Цитата ("Marykold"):

Ну, тогда карточку заводить надо, налоги платить. Тем, кто серьезно фрилансит это выгодно, а вот тем, кто только хочет попробовать себя, не очень.

какие налоги с карточки в Украине? не смешите

другое дело, что карточка для меня не вариант, так как мне нафиг не нужна гривна. Я плачу 3% за обнал, но зато в настоящие деньги вывожу.

Цитата ("AlexsimA"):

Я бы предложила не принимать проекты, которые содержат ссылки на загрузку Тз и прочего.Надо все писать в теле предложения.

Я конечно совсем новенький

Но на мой взгляд можно было бы додуматься до какой-то анкеты. Которую можно заполнять качестве ТЗ по желанию.
Ну и вложения с картинками или приложения допустим, что-б была возможность добавлять.

Еще интересно это сколько труда надо приложить, что-б от бандитов совсем не отличаться.
Это я о создателях.

Кроме weblancer недавняя атака программы-вымагателя 10 рублей наводит на ту же мысль.
Счет авторов уже давно заблокирован так что слать десять р. бесполезно

Один простой совет всем без исключения:

Скачайте с сервера Webmoney дистрибутив оригинального Кипера и установите его поверх предыдущего.
Это - гарантия того, что у вас не украдут деньги. И больше не жмите на ссылки в письмах, которые вам присылают незнакомые люди.

Еще неплохо, чтобы вы запустили поиск по маске "*ss.exe" (без кавычек) и удалили все найденные в процессе поиска файлы с названием "lsass.exe" (все, кроме одного, который лежит в папке c:\WINDOWS\System32)

Нашла уже и wmagent и 234.exe и lsal - провела очистку, проверку доктором веб.
Даже значок вебмани появился и никуда теперь не пропадает. Теперь его можно открывать или лучше пробовать с другого компьютера?

Цитата ("DashaSh"):

А если я не скачивала? я просто открыла ссылку а там было написано файл удален (или как-то так) и все, я и забыла про это письмо

Если не скачивала, то все нормально.

Помните, что данный вирус - кейлогер (вирус, который перехватывает нажатие клавиш с клавиатуры). Пока Вы не введете свои пароли с клавиатуры, ничего он украсть не сможет. Так же он не сможет ничего украсть, если обрубить доступ в интернет. Однако если по какой-то причине вы не можете удалить вирус, но Вам нужно ввести пароль куда-либо, то сделать можно так: наберите все символы клавиатуры (все буквы русские и английские и все цифры хотя бы) в блокнот, а потом нужные оттуда скопируйте в поле пароля. Не пользуйтесь экранной клавиатурой, она заменяет обычную клавиатуры, и ее нажатия клавиш тоже перехватываются.

Цитата ("Lisio"):

Цитата ("Wildcat"):

Цитата ("Lisio"):

А ведь так просто, не открывать все что попало... Exe может понадобиться только в одном единственном случае - вы взялись за доработку какой-то программы.

в том-то и дело, что визуально там не ехе-файл. А вполне себе вордовский документ, к примеру.

И каким образом вы умудряетесь запустить вордовский документ как приложение? Это как же настойчиво надо пытаться запустить троян, чтобы переименовать вордовский документ в .exe, да еще и запустить его!

Уважаемый, Вы ведь не думаете, что вирмейкеры придурки? Они рядышком с файликом положили шелл, который запускает текстовый ехе-файл. А Вы про Alternative Data Streams слышали? WinRar его полностью поддерживает, и я могу написать руткит, который будет в виде текстового файлика (внутри действительно будет текст), но после распаковки этого единственного файлика WinRar'ом, Вы заразитесь ехе-файлом, который лежал в потоке текстового файла. Но данный случай демонстрирует дилетантство хакера, и я рекомендую еще поглубже почитать ядро виндовс и про нативные функции.