[sof]

Вообщем не так давно столкнулся с такой проблемой что при копировании кошельков Webmoney в буфер обмена у меня подставлялись вместо моего кошелька на кошельки афериста. Согласитесь интересно звучит? Дело в том что речь пойдет о неком вирусе (троянчике)
Как говорят все гениальное – просто. Простой вирус. Висит в памяти. Подменяет в буфере обмена ваш кошелек на свой. Webmoney и Яндекс-деньги

Долго искал решение как избавится от этого вируса и вот решил поделится с вами. А вдруг кому то и пригодится.

Так вот - это троянская программа написана на Basic (не сжата не зашифрована) но при этом косит по системный файл. При запуске может выполнять такие действия.
- Создает копию своего файла в папке Windows имя исполняемого файла соответствует имени под которым был запущен троян на компьютере юзера.
- Регистрируется в автозапуске, ключ CurrentVersionRun, параметр System
- после запуска скрытно остается в памяти и мониторит буфер обмена на наличие кошельков Webmoney или Яндекс деньги.
Таким образом принцип действия троянской программы что при совершении платежа часто номера кошельков копируются в буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет ваши кошелек на кошелек создателя троянской программы. В итоге получаете деньги не вы а мошенник.

А теперь самое интересное. Как этот вирус попал если вы пользуетесь самым современным антивирусом (хоть это Касперский, хоть др. Веб, Аvira и.т.д) почему он не обнаружил его?
Дело в том что этот вирус не несет какого то вреда вашему компьютеру (он не размножается и т.д) он просто весит в автозапуске и мониторит буфер обмена на наличие кошельков. Он не так распостранен в сети поэтому его так сложно обнаружить. Поэтому его и нет в вирусных базах антивирусов и попасть он может без труда на ваш компьютер

И так теперь ближе к сути я уже говорил что я стал жертвой такой вот вредоносной программы и я решил довести дело до конца и избавится от него. Вообщем все мои кошельки (гривневые, доларовые, евро, росские) при копировании в буфер заменялись на аналогичные вот этого владельца https://passport.web....d=172430765886 я как и любой другой написал на него абузу.
Далее шла речь о том как найти этот вирус. Вобщем погуглив день второй я наткнулся на такую вот программу http://www.neuber.co....f=filecheck.ru
Описание писать не буду зайдете и почитаете. Кратко скажу что программ ищет программы и файлы которые могут нанести вред вашему компьютеру.



Скачиваете программу и запускаете ее.
Программа автоматически найдет программы и поставит им приоритет по опасности (смотреть на меню оценка)
Как видим у нас есть подозрительный файл с названием services.exe который расположен в директории c:\Windows - это не правильное размещение этого системного файла (а настоящий файл должен находится \Windows\System32) проверьте обязательно чтобы он там был. (хотя он там и есть)

Что делаем дальше, нам нужно быть увереным что это именно тот файл который нам и подменяет кошельки берем файл который мы нашли в директории c:\Windows и в этой программе и нажимаем удалить (но не удаляем а перемещаем в карантин) Делается это для того чтобы убедится что это он.
После того как переместили файл в карантин, запускаем свой кипер копируем кошелек в буфер и пробуем вставить. И о чудо кошельки вставляются именно наши а не этого мошенника.

Теперь осталось нам удалить этот файл из карантина и радоваться жизни.

Вот в принципе и все (такой вот краткий мануал). Может кому то и пригодится случаи бывают разные.

P.S. проверяйте номер кошелька перед осуществлением финансовых операций.

[Гендальф Серый]

Спасибо за чёткое ТЗ :)

Нет, на самом деле инфа очень полезная. Спасибо.

[sof]

Гендальф Серый, да знаете иногда бывает что даже обратится не к кому а проблема неожиданно появляется вот и приходится набивать шишки и искать пути решения своих проблем:)

[Гендальф Серый]

sof, на самом деле могу сказать как сертифицированный системный администратор, что даже Касперский или платны аваст не даст вам 100% защиты. Если кому-то очень захочется, что вас крякнут/сломают/нюкнут. Это касается и рабочих машин, и серверов. И, конечно, как написал ТС нужно не то что мониторить каждый процесс, а знать его в лицо, иначе о безопасности говорить вообще не стоит.
Я, например, не пользуюсь антивирусом вообще, ибо досконально знаю, что я могу схватить, где я могу это схватить и как мне это убрать. В течении 2 минут.

[Avot]

Благодарю за информацию. А не пробовали в антивирусные компании написать на предмет внесения этой заразы в базы?

кстати, ссылка не работает - обрезалась/сократилась

наткнулся на такую вот программу http://www.neuber.co....f=filecheck.ru

P.S. обе ссылки не работают

[sof]

https://passport.webmoney.ru/asp/Cer...d=172430765886 атестат мошенника
http://www.neuber.com/taskmanager/ru...f=filecheck.ru ссылка на софт с помощью которого избавился от этой заразы

[Avot]

Не нравится мне эта история...

Во-первых, вот:

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

Во-вторых, у "мошенника" ни одной претензии на WMID

В третьих, реф-ссылка на платную прогу.

Смахивает на развод.

Я ошибаюсь?

[sof]

Ребята это не развод. Это ссылка с которой я качал эту прогу к тому же посмотрите прога же общего пользования (понятное дело что у платной и функционал побогаче но этой вполне достаточно чтобы решить проблемы). А WMID заблокирован у меня формальный атестат и написать претензию атестату с персом просто не было возможности точнее запрещено. На момент когда этот атестат мошенника был еще не заблокирован у него BL был 8

[votren]

Во-вторых, у "мошенника" ни одной претензии на WMID

В третьих, реф-ссылка на платную прогу.

Смахивает на развод.

Я ошибаюсь?

.. да BL =0 , что невозможно при перс аттестате, т.е бл обнулили, но дело не в этом, странно что лил сразу на перс человек, обычно с таких тем льют кэш через кошельки-прокладки, причем многократно гоняя деньги, и не рискуют персом.

[uBuster]

Автору спасибо за информацию. Давно уже такой вирус бегает, сам не пойму почему в лаюоратории Касперского не заносят в базу. А на счет кошельков. Надо бы посмотреть снифером на этот вирус в виртуальной машине и выяснить какой там алгоритм. То что нет притензий на кошельке вовсе не странно. Это может быть сеть кошельков и подменяется буфер рандомным.

Тоже иногда ставал жертвой вирусов. Наверно не стоит 100 процентов пологаться на антивирус, в некоторых случаях нужно действовать по интуиции. Есть подозрения на счет порядочности софта, автора, того или инного файла - лучше не запускать.