Timofeev Oleg Vitalievich Тимофеев Олег Витальевич (timotv) wrote,
Timofeev Oleg Vitalievich Тимофеев Олег Витальевич
timotv

Саппорт Webmoney сказал, что у меня троян, который пытался получить управление моим WMID

Всё началось с того, что я не смог поменять WMR на WMZ -
Ошибка: Некорректный идентификатор корреспондента:



А также не работает wm.exchanger.ru:



Через час пришел ответ от саппорта:

Здравствуйте!

Зафиксированы попытки перехвата управления над Вашим WMID троянской программой, поэтому Ваш WM ID заблокирован и установлена блокировка пвходов по IP Роботом безопасности Системы WMT.

Список необходимых действий:

1. Проведите полное сканирование Вашего компьютера антивирусной программой? найдите и удалите все вирусы. Если это не получается сделать текущим антивирусом, то используйте другой антивирус. Также для того чтобы найти вирус-Троян, который не обнаруживают антивирусы, Вы можете поступить следующим образом, см. http://virusinfo.info/showthread.php?t=1235 и http://forum.searchengines.ru/showthread.php?t=445087

2. Cмените ключи доступа в Кипер (см. http://wiki.webmoney.ru/wiki/show/smena_klyuchey_WM_Keeper_Classic ) и пароль на вход в кипер (это делается в меню инструменты – параметры программы – вкладка безопасность – изменить пароль). Смените пароль на ваш почтовый ящик.
Скачайте заново! и установите последнюю версию кипера с сайта www.webmoney.ru

3. Обязательно поставьте блокировку по IP. Помните, что если у Вас динамический IP или же несколько точек входа, это не препятствие, см. http://www.webmoney.ru/rus/about/demo/help/classic/resp3_07_ipblock.shtml
Если у Вас возникают проблемы с установкой блокировки по IP ознакомтесь с инструкциями по ссылке http://wiki.webmoney.ru/wiki/show/Blokirovka_po_IP и http://www.owebmoney.ru/security5.shtml

4. Изучите журнал подключений к Вашему wmid с целью выявления подозрительных IP-адресов. Делать это следует по ссылке - https://security.webmoney.ru/asp/default.asp

5. Пересмотрите своё отношение к безопасности Вашей системы и внимательно изучите раздел, посвященный безопасному использованию кипера - https://security.webmoney.ru/asp/default.asp и http://www.owebmoney.ru/security.shtml


После выполнения этих пунктов для снятия блокировки, вам нужно обратиться в Арбитраж Системы по E-mail arbitrage@webmoney.ru с указанием выполненных действий.

================================================================

Я отправил им ответ:

Если вы обнаружили, что мой WMID перехвачен трояном, то сообщиете каким, т.к. я ничего не могу обнаружить.


У меня ОС Windows 7 Ultimate rus x64. На компе установлен Symantec (SEP).
Ручным поиском нашел файл inetmib1.dll в следующих директориях:

C:\Windows\System32
C:\Windows\winsxs\amd64_microsoft-windows-snmp-inetmib1-raw-file_31bf3856ad364e35_6.1.7600.16385_none_7e92014ef055a2c3
C:\Windows\SysWOW64
C:\Windows\winsxs\x86_microsoft-windows-snmp-inetmib1-raw-file_31bf3856ad364e35_6.1.7600.16385_none_227365cb37f8318d

Но дело в том, что ни один антивирус не считает эти файлы вирусом.
Проверял каждый из них здесь:
http://www.virustotal.com/ru/
http://virusscan.jotti.org/ru

Запускал проверку
http://www.freedrweb.com/download+cureit/
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
- всё чисто

Более того - все найденные файлы - с подписью Microsoft

На сколько я понимаю, на моём компьютере должна быть одна из модификаций Trojan-Spy.Win32.Wemon

Так или иначе, никакого вируса на компьютере я не нашел.
==============================================
03.07.2010 17:21:43   
Support Group
Вы не выполнили пункт 2,3,4
03.07.2010 17:28:56
timotv
спасибо за напоминание, но вы не ответили на вопрос - где вирус? Вы меня серьезно между прочим напугали и не знаю что теперь делать с этим вирусом. Или мне винду переустанавилвать или что ?
03.07.2010 20:33:33
timotv
Гребаный ключик я переустановлю. Вы мне скажите - как проверить чистая ли у меня система или нет? Не повторится ли еще раз такая ситуация?
03.07.2010 23:53:30
timotv
Как мне определить готова ли моя ОС для безопасного использования Кипера? У вас есть методика определяющая этот ВАЖНЫЙ МОМЕНТ?


молчат партизаны...
Tags: webmoney
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment