[Fireball]

Цитата:

Сообщение от slAz писал пт, 25 января 2008 21:04

Я так понимаю что троян подсаживали напрямую, узнав IP.

Вот по поводу IP у меня тоже были подозрения.
Может стоит собрать инфу о том, у кого был внешний, а у кого внутренний IP?

Народ, новый webmoney keeper classic видели? Там авторизацию через мерчант тоже с вводом кода сделали, так что взломщикам будет сложнее.

[Mirkul]

Даже странно, ток прочитал всю ветку на мобиле и тут такое...
Сижу значит читаю про все взломы уже дочитал практически в это время отец играет в игру онлайн и у него из за чего то начало жутко лагать, у меня ток что прочитавшего всю ветку и переведшего на ВМ деньги (сам щас болею вывести нету возможности) естественно началась паранойа. Отец вышел из игры, я сразу включаю ВМ и... не заходит... Раз 5 вводил пароль не подходит. Так как прочитал ветку сразу начал ставить все что можно. AVz сразу начал сканить. Когда сканировалось терпения не хватило и я всеже вставил идентефикатор... зашло... Щас не подтверждаю активацию так как без подтверждения нельзя перевести средства. Когда начал заходить заново зашло с тем же паролем что и был. щас сканирую все симантеком. досканируется поставлю фаерволл.

ПС все досканировалось нашел 2 вируса симантеком, ток не которые были указаны в ветке. Нашел эти: VBS.Gaggle.E@mm, Trojan Horse.

Еще хотелось бы узнать keylogger ищится AVz или еще какая- нибудь программа нужна?
Извините конечно за паранойу, но когда вводил сайт яндекса нечаянно начал по русски и толи клава запала толи хакеры, но сторка за секунду превратилась в что то похожее на "фндешиешиешиешиешиешиеши� �шиешиешиешиешиеши" и так до конца строки и дальше...

[RusVodka]

[Зарегистрироваться?]

так на досуге прочитайте

Удивительно ....
2 уязвимости низкой степени опасности в Windows Vista, 3 уязвимости низкой степени опасности в Windows Server 2003, 1 уязвимость средней и 5 уязвимостей низкой степени опасности в Windows XP и 2 уязвимости низкой степени опасности в Windows 2000,.....

Работая на дырявых, даже 100 крат лицензионных продуктах нельзя быть уверенным ни в чем.

[BARIKADA]

Цитата:

Сообщение от BARIKADA писал ср, 07 ноября 2007 23:53

Нормальное решение от модератора форума !!! У человека появилась возможность разместить прЯмые адреса для заражения -)))) Чуть-чуть рабочих текстов -)))
Или поэтому и МОДЕРИРУЕМ этот форум???

Цитата:

Сообщение от BARIKADA писал вт, 25 декабря 2007 09:47

. Так что очень вероятны такие действия мошенников продажа в русской зоне действующего троянца по сниженным ценам -))) Надо дать в обяЪву что исходники можно приобрести у Директора ??.... Вы что, Господа??? что здесь происходит??

Приношу свои извинения, тем кого это касается... просьба не осуждать меня, запах гнильцы не всегда точно указывает на источник вони, но комнатку откуда несет ...

PS Есть ноут конкретно зараженный, есть образ этого ноута... могу прислать для формирования доказательной базы...
PS Есть ноут конктретно зараженный, есть образ этого ноута... могу прислать для формирования доказательной базы...

[Игрок-Любитель]

Здравствуйте уважаемые форумчане!
Наконец-то и я смог осилить эту ветку... тяжко. Модераторы, Вы бы подчистили всю ненужную инфу в начале ветки, подозрения которые уже давно опровергнуты и т.д., а то 35 страниц осилить очень тяжело, а постить не прочитав тоже как-то несерьезно... Меня тоже ломанули в середине месяца, только я не знал об этом, думал я накосячил чего. А потом наткнулся на эту ветку и понял, что прежде чем постить, надо читать, а времени мало... Вобщем 5 дней потратил почти на чтиво (читал сначала как наблюдатель, зарегился потом), жесть!
Щас все прочитал, понял что к чему на сей момент, вопросы конечно есть, но здесь постить не буду, щас отпишу в лички кому надо, хакерам это читать не к чему
А здесь вот что спросить хочу, это можно Я обыкновенный юзер и много о безопасности не знаю. Из того, что я прочитал я понял все, кроме одного. Кто разбирается, объясните, пожалуйста (на доступном пользователю языке) что такое руткиты и почему антивирусы их не видят? Я понял что это какой-то вид хакерской атаки с проникновением на комп жертвы, но что это из себя представляет, как можно подцепить, какую угрозу несет и т.д. я не понял. Мне кажется не все, кто читает ветку сильно продвинутые и наверняка многих этот вопрос интересует. Спасибо.
Идем дальше. Где я подцепил вирус, не знаю, но точно не на форуме, т.к. я зарегистрировался здесь только на днях, а доступ к кошельку и деньгам потерял ранее. Есть предположение, что все это как-то связано с патипокером, но это не факт. Предположение не "от балды", но к сожалению аргументировать не смогу (не могу разглашать эту инфу), так что кто желает верьте на слово и проверяйте, но повторяю, только предположение.
Далее. Не знаю, стоит ли это писать на всеобщий обзор, но думаю что это хакерам никак не поможет, а вот уже Ваши догадки в ответ на это писать здесь не рекомендовал бы. Суть такая: у меня есть несколько кошельков и примерно с ноября-декабря я стал там периодически обнаруживать счета, выставленные на обмен вебмани на е-голд (уже знакомая всем Вам схема, но мне тогда это ни чем не говорило и опасности я не чувствовал!). А вот что интересно - счета были, но деньги никто не воровал! Я просто замечал эти счета тогда, когда деньги с кошелька я уже вывел и просто отказывался от счетов. Тут много вариантов, почему так происходило, думайте самостоятельно, но факт в том, что в итоге ломанули только один кошелек, остальные так и не тронуты! А к чему я собственно веду - в кипере классике нифига эти ублюдки без файла ключей сделать не могут!!! Так что все те, кого обокрали во время отсутствия в сети знайте, Вы каким-то образом до этого уже предоставили файл ключей взломщикам! Иначе я не могу обяснить того, что деньги у меня пропали лишь с того кошелька, где я сам дал пароль, потом подгрузил файл ключей, который был на не защищенной от записи дискете и потерял доступ к кошельку! Все остальные кошельки не взломаны и работают нормально.
Еще момент, который может быть еще под сомнением. Вирус работает явно не автоматически, а с участием удаленного доступа хакера, т.к. с зараженной машины я выходил и на другие кошельки, но ни проблем с паролем, ни запроса файла ключей там не было, хотя вирус в системе был. Когда я узнал о том, что эти кражи происходят, прошла уже неделя, не меньше с той поры, как мой кошель был взломан, и я только тогда решил вывести деньги с другого кошелька - зашел и вывел без проблем! Если бы у них был доступ, они явно забрали бы за неделю, но доступа у них не было, т.к. файлом ключей они не завладели! Без него никуда - без "помощи" пользователя вебмани не сломать!
В данный момент в голову ничего не приходит больше, что написать, как вспомню че-нить полезное, отпишу в следующих постах.

[Fireball]

Цитата:

Сообщение от Игрок-Любитель писал сб, 02 февраля 2008 04:34

Кто разбирается, объясните, пожалуйста (на доступном пользователю языке) что такое руткиты и почему антивирусы их не видят?

На комп проникает вирус, который устанавливает руткит. Руткит - программа, которая залезает глубоко в систему и скрывает себя от любых процессов для того, чтобы они не могли ее обнаружить. Обычно они позволяют взломщику подсоединяться к компьютеру, где были установлены и выполнять действия по желанию взломщика. Также руткит может управляться автоматизировано с серверов.
Пробовал по быстрому поискать поподробней описание в гугле, не нашел. Так что попробуй сам, вдруг больше повезет.
Антивирусы обнаруживают их, но не всегда. Чтобы поискать его у себя, можно посмотреть выше в данной ветке ссылки на форум касперского, прочитать там инструкцию и выполнить обозначенные действия.

[Ivan22]

Странно но когда я пытаюсь запустить ПатиПокер у меня антивирус категорически запрещает выполнять это действие, посколько в компах не силен даже и не знаю что это означает.

[WBR]

Цитата:

Сообщение от Ivan22 писал сб, 02 февраля 2008 10:20

Странно но когда я пытаюсь запустить ПатиПокер у меня антивирус категорически запрещает выполнять это действие, посколько в компах не силен даже и не знаю что это означает.

Некоторые антивирусы определяют клиента Пати как троян и блокируют его. Это давно уже известно, на форуме обсуждалось.
Но к теме WM-трояна это отношения не имеет ИМХО, так что если интересует этот вопрос - поищи посты на эту тему или создай новую тему.

[Игрок-Любитель]

2 Fireball: Спасибо большое, более подробно мне и не нужно. Я как раз просил на доступном языке (что вряд ли выдаст google), а Вы объяснили весьма доступно. Насколько я понял главное отличие руткита от вируса - скрытность.

2 Ivan22: А Вы что только на днях в патипокере зарегистрировались или новый антивирь поставили? Спрашиваю потому, что раньше же антивирус должен был говорить то же самое, не обращали внимания?! Не волнуйтесь, это нормально, просто нужно вручную разрешить запуск патипокера всем программам, которые его блокируют (антивирусы, бредмауэры, фаирволлы...) Вирусов там нет... пока

2 all: вот еще меня какой вопрос интересует. Тут очень много говорится про форум касперского - а работать с ним имеет право абсолютно любой пользователь или только пользователь антивируса Касперского? Просто я использую NOD32 и не уверен, могу ли я обращаться на форум Касперского.

[Игрок-Любитель]

Господа, подскажите, кто в теме. Раз денюжки постепенно возвращаются их законным владельцам, есть ли шансы вернуть украденное, не подавая заявления в милицию? Спасибо.

[Fireball]

Цитата:

Сообщение от Игрок-Любитель писал сб, 02 февраля 2008 19:54

2 Fireball: Спасибо большое, более подробно мне и не нужно. Я как раз просил на доступном языке (что вряд ли выдаст google), а Вы объяснили весьма доступно. Насколько я понял главное отличие руткита от вируса - скрытность.

Обычно вирусом считается то, что заражает компьютер и выполняет заранее определенные действия. Руткитом обычно считается то, что глубоко и скрытно проникает в систему и может управляться злоумышленником. Вообщем, не совсем правильно понял меня

Цитата:

Сообщение от Игрок-Любитель писал сб, 02 февраля 2008 19:54

2 all: вот еще меня какой вопрос интересует. Тут очень много говорится про форум касперского - а работать с ним имеет право абсолютно любой пользователь или только пользователь антивируса Касперского? Просто я использую NOD32 и не уверен, могу ли я обращаться на форум Касперского.

Любой может, просто зарегистрироваться нужно.

Цитата:

Сообщение от Игрок-Любитель писал вс, 03 февраля 2008 02:29

Господа, подскажите, кто в теме. Раз денюжки постепенно возвращаются их законным владельцам, есть ли шансы вернуть украденное, не подавая заявления в милицию? Спасибо.

Сейчас уже поздно. Как я понял, все деньги, которые была возможность вернуть, раздали. Если только не поймают еще кого-нить, у кого остались деньги и не начнется еще одна стадия выплат.

[Игрок-Любитель]

Цитата:

Сообщение от Fireball писал вс, 03 февраля 2008 11:34

Обычно вирусом считается то, что заражает компьютер и выполняет заранее определенные действия. Руткитом обычно считается то, что глубоко и скрытно проникает в систему и может управляться злоумышленником. Вообщем, не совсем правильно понял меня

Троян ведь тоже на комп проникает и может управляться злоумышленником, но считается вирусом, а не руткитом... Или трой это и есть пример руткита? 8O

Цитата:

Сообщение от Fireball писал вс, 03 февраля 2008 11:34

Сейчас уже поздно. Как я понял, все деньги, которые была возможность вернуть, раздали. Если только не поймают еще кого-нить, у кого остались деньги и не начнется еще одна стадия выплат.

Ну... впрочем... я примерно это и имел ввиду, что если отловят "всю шайку", то каковы шансы попасть в очередь на выплаты?

[indenok]

Я очень плохо разбираюсь во всех этих тонкостях, но меня забеспокоил вот какой факт: Касперский стал обнаруживать что-то при запуске вебманей и дает выбор Карантин/Разрешить/Запретить:

обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\Documents and Settings\Рабочий стол\WebMoney.exe


Это Троян Трояныч или у меня паранойа?

[Yura]

Попробуй пошли файл Касперскому, они тебе подроднее раскажут, может быть.

[TemaRussia]

Такая же штука стала выскакивать,но по-моему это не троян,ибо немного денежек у меня на кошельке лежит и до сих пор не сперли.

[Rattly]

не, эт точно не троян, просто особенность работы некоторых программ.

[indenok]

Цитата:

Сообщение от Rattly писал пн, 04 февраля 2008 19:07

не, эт точно не троян, просто особенность работы некоторых программ.

Я касперского и вебмани юзаю уже несколько лет, небыло такого... может какое-то обновление новое стало эту хрень находить?

[TemaRussia]

Если не ошибаюсь,такое стало выскакивать у меня после того,как я установил последнюю версию кипера. Думаю,что дело в нем.

[droopy]

Цитата:

Сообщение от TemaRussia писал вт, 05 февраля 2008 01:48

Если не ошибаюсь,такое стало выскакивать у меня после того,как я установил последнюю версию кипера. Думаю,что дело в нем.

Часто при защите программ используются "вирусные технологии", вполне вероятно ложное срабатываение. Эти вопросы надо просто сразу же задавать разработчикам антивируса, отвечают они обычно очень оперативно. Хотя все кто об этом писал, наверняка имеют нелицензинную версию и не имеют опыта общения с сапортом.
Можно подозрительные файлы проверять не только каспером, но и drweb: [Зарегистрироваться?]

[diggi]

Цитата:

Сообщение от indenok писал вс, 03 февраля 2008 21:34

Я очень плохо разбираюсь во всех этих тонкостях, но меня забеспокоил вот какой факт: Касперский стал обнаруживать что-то при запуске вебманей и дает выбор Карантин/Разрешить/Запретить:

обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\Documents and Settings\Рабочий стол\WebMoney.exe


Это Троян Трояныч или у меня паранойа?

Вообще-то WebMoney.exe по умолчанию ставится в директорию C:\ProgramFiles\Webmoney, а тут на рабочем столе... Если ты сразу туда ставил, то понятно, а так... очень подозрительно.