Опять вирус

Цитата ("LSD-Team"):

Уважаемый, Вы ведь не думаете, что вирмейкеры придурки?

Отнюдь, есть такие мысли про их жертв, но никак не про вирмейкеров. А по поводу ADS, могу со 100% уверенностью заявить, что вы не способны создать такой архив, распаковав который я заражусь вирусом. И с 200% уверенностью не сможете вложить в него .txt, кликнув на который я опять же заражусь вирусом.

Это нормально???

Мне тоже такие письма приходили, и я открывал все, что там находится. Подскажите а если у меня Keeper Light мне что-нибудь грозит?

Цитата ("AlexsimA"):

shapod, Видела и поболее.

Да-да.

Цитата ("AlexsimA"):

Мне не надо 20 страниц для оценки.

А мне надо. И чем полнее составлено ТЗ, тем точнее оценка. Я в упор не понимаю как можно оценить проект по созданию сайта под ключ, не зная, сколько будет таблиц БД, какая карта сайта, какие фронт и бек?

Цитата ("AlexsimA"):

Надо писать суть

Это тогда не ТЗ. И по краткому изложении сути не оценить трудозатрат на реализацию.

Цитата ("AlexsimA"):

а 20 страниц уже на почту.

)) Ой смешно. И что тогда изменится? Откуда у вас будет уверенность в том, что вложение чистое? Ну не пишите ерунды.

Мне тоже приходило, но под линуксом работать сей троян не захотел

Цитата ("owlteam"):

CureIt лучше ищет вирусы, когда Windows запущена в безопасном режиме.

Я специально написал: "для чайников". Это руководство - с минимумом сложных действий, чтобы любой мог их выполнить.

В данном случае сложности с безопасным режимом абсолютно лишние. Безопасник помогает, когда зверь висит в памяти и препятствует работе антивиря. Этот зверь после холодной перезагрузки в памяти уже не висит - проверено. На случай, если зловред успел прописаться в автозагрузке, есть шаг 2.

Цитата ("Lisio"):

А ведь так просто, не открывать все что попало... Exe может понадобиться только в одном единственном случае - вы взялись за доработку какой-то программы.

Так нет там exe, в том-то и дело. Там есть txt и файлы, которые в стандартно настроенном Проводнике выглядят как txt.

Цитата ("Andy-world"):

Рекомендую нод-32, перехватил эту ерунду, как только началась загрузка, и сам сразу же ее вырубил в опере, я только наблюдал :-)

Ещё один пропагандист... А то, что НОД начал ловить эту заразу, когда первая волна уже прошла и куча народу уже потеряли деньги кагбэ не считается, ага.
На момент рассылки этот зловред не детектился ни одним антивирусом. Потом начал детектиться Касперским и Вебом. Потом подтянулись и остальные - в том числе и НОД. Так что Вы поосторожнее с рекомендациями.

Цитата ("mao-11"):

...
а потом вылезло предупреждение об ошибке - мол, Webmoney Runner Module не может запуститься и все такое.
...
В общем, пока ничего не произощло, в Диспетчере задач этого процесса нет, антивирус молчит.

Я бы не был так уверен... На всякий случай проверьте систему по предложенной мною парой страниц ранее методике.

Цитата ("markinyan"):

Цитата ("voron_76"):

Нет, там именно lsass (первая буква - L). Но вот третья буква - русская "а". Поэтому при поиске на жёстком диске нужно имя вводить именно с русской "а".

Ну уж даже не знаю
У меня брат жены свой сервис-центр компьютерный держит, он мне вроде так говорил, что l на I меняют.

Я тоже свой "сервис-центр компьютерный держу". Только я не брат жены. И этого зверя я ковырял лично. И то, что первая буква там L, а не I, знаю точно.

Цитата ("mao-11"):

Такой вопрос:
В диспетчере задач работают два процесса с именем lsass, один помечен как процесс локального администратора безопасности, и пользуется им система, второй пользуется пользователем и там что-то про веб-мани. При завершении процесса пользователя все работает, а при завершении системного lsass комп перезагрузился, но оба процесса были запущены. Что это?

Это вот то самое "у меня ничего не произошло". Второй lsаss, который запущен от имени пользователя, - это и есть обсуждаемый здесь зловред. Читайте рекомендации по удалению.

Цитата ("nati_anti"):

Я повелась по наивности, всё скачала, просмотрела и даже не заметила, что у меня веб-мани кошелёк пропал, пока не нашла эту тему. Теперь в срочном порядке пытаюсь решить проблему...
Следуя всем рекомендациям из диспетчера задач удалила lsas, который второй, не системный. Но самое ужасное, что после перезагрузки компьютера этот lsas опять появился. Что делать?!

Шаг 2 описанной ранее методики. Или, раз Вы знаете, как снимать процессы, можно прогнать диск С: CureItом после снятия процесса - он сработает.

Цитата:

Ещё сделала выборку по последним документам, где были внесены изменения - нашла wmagent.exe. Его тоже удалять?

О как... Про это - не знаю. Вроде этот зверь файлы не заражает... Можете перенести его в какую-нибудь папку, чтобы он не запускался. Вообще, ВМ-агент - штука скорее вредная, чем полезная.

Цитата ("451F"):

Мне тоже приходило, но под линуксом работать сей троян не захотел

Вы всё равно поаккуратнее. На Баше пролетала грустная история, как у такого же "экспериментатора" троян увёл пароль из запущенного под wine'ом Квипа.

Поздно я это читаю Пришло письмо о переводе сайта, скачала архив, еще удивилась почему абракадабра в файле .txt.
Хорошо что месяц назад не могла вспомнить пароль к ключам для webmoney чтобы с ноута на комп перенести Иначе была бы трагедия

Руководство "для чайников" по удалению зловреда. Версия вторая, с непринципиальными дополнениями и исправлениями.

Если Вы всё-таки запустили файл трояна, то избавиться от него достаточно просто.
1. Перезагружаете компьютер кнопкой Reset (обязательно. В противном случае зловред сядет в автозагрузку). Вообще, возьмите за правило: при любом подозрении на вторжение сразу жать Reset. Это не очень полезно для системы, но во многих случаях помогает избежать заражения или ещё более тяжёлых последствий.
2. После перезагрузки проверьте автозагрузку: Пуск - Программы - Автозагрузка. Если там есть запись "wmagent" - удаляйте её (правая кнопка мыши - Удалить) и снова перегружайтесь кнопкой Reset. Но её там быть не должно - похоже, зловред садится туда при нормальном завершении работы системы.
3. Если после перезагрузки автозагрузка чистая, качайте бесплатную лечащую утилиту от Доктора Веба: ссылка, запускайте и ставьте полное тестирование диска С:. Нынешняя версия обнаруживает и вычищает все копии зловреда.
4. После окончания работы утилиты вручную почистите временную папку Windows (обычно она находится по адресу C:\Document and Settings\<ваш профиль>\Local Settings\Temp. Для этого необходимо включить отображение скрытых файлов). Файлы, остающиеся там, скорее всего, безвредны, но на всякий случай...

Замечание. Перезагрузка обязательна: активного зловреда CureIt из памяти не вычищает.

Weblancer, может, разослать это руководство новостью?

voron_76, вот читаю Вас последние надцать страниц и не могу не восхититься.
Спасибо, что не устаёте всем отвечать и пытаетесь помочь.

Цитата ("grf"):

С подобным трояном я сталкивался года полтора назад, "ушел" кошелек WebMoney с примерно 5 килорублями. Кто уже открывал - посмотрите в папке Пользователя (в XP это Documents and Settings\Имя пользователя) в папке Application Data создается папка Export в которой сидит эта зараза, она же увела у меня пароли к аккаунту на Weblancer-e и Яндексе, так что советую поменять.

Поискала на диске С папку export,есть такая в C:\WINDOWS\system32\ - это тоже та самая зараза? :?: :!:

Доброго времени суток всем!

Тоже вчера пришло такое же письмо, касперский не обнаружил вирусов сначала,файлы открыла,потом написал,что подозрительная программа,заблокировала.
В папке темп нашла файлы,указанные здесь:

также файлы после заражения:
c:\Documents and Settings\User\Local Settings\temp\статья 1.txt (статья про недосыпания какие-то)
c:\Documents and Settings\User\Local Settings\temp\Project1.exe (судя по названию - писалось возможно на Delphi, это резервная копия фальшивого lsass.exe)
c:\Documents and Settings\User\Local Settings\temp\do.tt (там две строчки с именами предыдущих файлов)

Файлы удалила,проверила всё на вирусы,каспер нашел пару троянов, сейчас вроде всё в порядке.

В диспетчере задач файлов с название "lsass.exe" только один системный.

Программа webmoney у меня не установлена,только собираюсь установить её.

Подскажите,пожалуйста,стоит ли переустановить Windows XP?

Цитата ("voron_76"):

3. Если после перезагрузки автозагрузка чистая, качайте бесплатную лечащую утилиту от Доктора Веба: ссылка, запускайте и ставьте полное тестирование диска С:. Нынешняя версия обнаруживает и вычищает все копии зловреда.

не могу скачать, пожалуйста, бросьте кто-нибудь по скайпу (natalia_lukaniuk). Огромнейшее спасибо!!

Цитата ("anna-lizunova"):

Подскажите,пожалуйста,стоит ли переустановить Windows XP?

Если из-за каждого трояна переустанавливать винду - проще её каждый день из чистого образа восстанавливать (хотя это не самая плохая мысль).
В данном случае бояться нечего. Процессу самого трояна антивирус запуститься не дал, так что всё должно быть в порядке.

Кстати, сейчас обнаружил у этого зверя забавный глюк. Вчера удалил всю папку temp - и сегодня при запуске он вылетел с ошибкой при попытке записать туда файлы.