Недавно получил вирус и до сих пор не могу от него избавиться. Когда копируешь R+12цифр в буфер обмена он заменяет его на кошелёк злоумышленника. Т.е. допустим я копирую R123456789012 в буфер обмена, когда его вставляю получается: R019376073850. - Это реальный кошелёк злоумышленника. В инете читал статьи по этому поводу, но так и не нашол как избавится от этого вируса. :cry: Дайте пожалуйста совет, или куда можно обратиться.
Помогите избавится от вируса, который заменяет кошельки на кошелёк мошенника
Автор AngeL, мая 04 2007 23:28
2 ответов в данной теме
#1 Новичок
Отправлено 04 мая 2007 - 23:28
#2 Знаток
Отправлено 05 мая 2007 - 00:16
Недавно получил вирус и до сих пор не могу от него избавиться. Когда копируешь R+12цифр в буфер обмена он заменяет его на кошелёк злоумышленника. Т.е. допустим я копирую R123456789012 в буфер обмена, когда его вставляю получается: R019376073850. - Это реальный кошелёк злоумышленника. В инете читал статьи по этому поводу, но так и не нашол как избавится от этого вируса. Дайте пожалуйста совет, или куда можно обратиться.
Думаю, что это какая-то очень простенькая программка (всё гениальное просто), если антивирусы не ловят её по базам и даже эвристическими анализаторами «не подозревают» о её вредоносности. Лежит где-то маленький безобидный EXEшник, который запускается при старте системы или его запуск инициируется каким-то другим системным событием; просматривает буфер обмена на наличие данных, соответствующих определённому шаблону, и производит автозамену при совпадении. ИМХО всё именно так, ибо вряд ли создатель сей программки извратился на столько, чтобы интегрировать такую дрянь в одну из системных библиотек операционки, или ещё чего-нибудь посложнее, т.к. (из практики) чем сложнее «извращение» задумано - тем легче его найти и обезвредить.
Соответственно - посмотрите резидентные процессы и осторожно убейте всё лишнее. Проверьте системный реестр на предмет автозагрузки лишних (неизвестных) приложений...
Если сами не знаете, как это сделать - вызывайте специалиста, но экспериментировать самостоятельно не рекомендую.
#3 Новичок
Отправлено 05 мая 2007 - 16:08
Trojan.PWS.Webmonier
alt+contrl+del выключаем процесс 19485.exe
пишем выполнить msconfig там в автозагрузке снять флажок с файла 19485.exe
перезагружаемся удаляем антивирем или shift + del...
alt+contrl+del выключаем процесс 19485.exe
пишем выполнить msconfig там в автозагрузке снять флажок с файла 19485.exe
перезагружаемся удаляем антивирем или shift + del...