Добрый день!
Данная история получила неожиданное продолжение со счастливым (удивительное дело) концом.
Не доверяя больше киперу, я его не запускал, а пользовался кипером в мобильнике. Однако, спустя почти месяц (а именно столько идет по времени рассмотрение дел в арбитраже вебмани), я заглянул в кипер и обнаружил там письмо... от кого бы вы думали? От этого человечка на чей собственно счет и перевелись деньги. Он там как-то путанно извиняясь объяснял, что на его компьютере был троян, который видимо "случайно" перевел деньги с моего счета на его (надо же, бывают такие случайности!). И дальше он пишет, чтО же это, мол, такое, заблокировали мне кошелек (оказывается я это сделал вовремя) и теперь не могу ни вам вернуть ни вывести, ничего не могу. Напишите, говорит, пожалуйста, в арбитраж, я вам тогда верну деньги, а меня пусть разблокируют, вернее, говорит, наоборот. :)
Я написал в арбитраж, параллельно выражая недоумение тем фактом, что кошелек мошенника был мною заблокирован вовремя, и арбитраж был в курсе, что деньги не ушли, но арбитраж мне ничего не вернул. На что мне ответили, что они, оказывается, ничего сами вернуть не могут (а смысл их работы тогда в чем?!), вернуть может только тот человек куда перевелись деньги. Мы, говорит, можем его разблокировать на вывод только на ваш WMID а вы ему напишите, чтоб он вернул. В общем так и сделали. Причем при этом они меня не предупредили, что эта процедура почему-то предусматривает также блокировку моего WMID на вывод. (я так чисто по-программистки представляю, видимо они переключили нас обоих на какую-то временную БД где нет других корреспондентов, т.е. при попытке оплатить счет или сделать прямой платеж отображается "корреспондент не найден".) Но могли бы хотя бы предупредить о такой "фиче".
Ну и вот. В общем я ждал три дня пока этот друг переведет деньги. Потом он их перевел. Я отписал в арбитраж, после чего меня (и его видимо тоже) разблокировали.
Я знаю, о webmoney в сети много нелестных отзывов. Но вцелом меня система эта устраивает. И она к тому же является очень популярной, все партнерки с ней работают. Но я думаю, сотрудники webmoney могли бы быть подружелюбнее и не отписываться односложно как они это делают. И блокировку WMID можно было бы предусмотреть по телефону, (например с указанием кодового слова как с банковскими картами) потому что не всегда в таких ситуациях возможно оперативно попасть за компьютер.
С уважением,
- Дмитрий
p.s. Кстати, я понял чтО произошло с капчей. Троян ее отключил. Причем по-хитрому (ведь для ее отключения тоже нужно ввести капчу, он обошел это дело). И в настройках было отображено, что она включена, а на самом деле была выключена. Она заработала когда я ее выключил и снова включил.
В общем после восстановления компьютера решил я опять запустить кипер, только держа руку на кабеле модема. Запустил, опять активация, сразу после активации опять та же ерунда, окна "Передать деньги", только тут я выдернул кабель из модема. Все остановилось. Не успели. :)
Полез смотреть логи фаервола. И что? Webmoney.exe связывается с явно левыми хостами, один вообще какой-то сайт полностью на арабском языке. Я взял и прописал в hosts для этих хостов ip 127.0.0.1. Тогда кипер стал вылетать в тот момент, когда он собирался украсть деньги. Переустановил кипер. Не помогло. Полностью снес и установил заново. После этого попытки воровства прекратились. Тем не менее, кипер иногда продолжает лезть на какой-то левый арабский сайт на 80 порту. Видимо, это у меня в системе еще что-то "живет".
В общем, теперь становится понятно как жулики обошли капчу. При помощи вируса был взломан сам кипер (непонятно, он свою целостность не проверяет что ли, цифровой подписи у него нет?). Капчу кипер передавал, видимо, злоумышленникам, которые, наверное, сидят на КПК и ждут когда она придет и тут же ее вводят и отправляют). Я так надеюсь, что капча у WM реализована на стороне сервера, а не в кипере, ну а если в кипере, то тем более все понятно. Видимо, все-таки в кипере, слишком уж он быстро деньги переводить начинал.
В общем, моя ошибка была в том, что я прописал в фаерволе Webmoney.exe в trusted applications. А этого ни в коем случае делать нельзя! Теперь я создал правила для webmoney.exe по одному и разрешил ему связь только с серверами webmoney, которые очень легко узнать по именам.
И что хочу сказать: попытка взлома (удавшаяся) оказалась очень изощренной. Я бы и не додумался до такого... И никто ничего не "заметил", ни антивирус, ни фаервол, ни кипер. Невероятная просто история...
Так что берегитесь, друзья!
Целых два дня промучался выясняя что с компьютером после этой атаки. И выяснил, что хакеры удалили данные из ключа реестра HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit. А должно там содержаться C:\Windows\system32\userinit.exe (это при условии, что у Вас Windows установлен в папку C:\Windows).
За неимением шелла компьютер при логоне тут же вылетал снова в окно логона и так до бесконечности.
Единственно, поправить это трудно на самом компьютере, т.к. в Windows зайти не получается. Поэтому снял винт, подключил к другому компьютеру и сделал там. Импортировал ветку реестра туда (она находится в папке C:\Windows\system32\config, имя файла Software (без расширения). Вызываем regedt32.exe и делаем Load Hive (или импорт куста, что-то вроде этого там). При этом курсор нужно держать на ветке HKEY_USERS, иначе Load Hive заштриховано. Исправляем нужные данные и все, сохранять не нужно, само сохраняется автоматически.
Вот, решил этим постом съэкономить время товарщам по несчастью...
Удачи.
Здравствуйте, уважаемые!
Рассказываю свежую историю, происшедшую только что.
Включил я компьютер, запустил WM кипер. Версия свежая, все ok.
Вылетает запрос на активацию, у меня используется флэшка и я хожу по разным компьютерам, думаю, ладно, щас введу. Открыл почту, вставил код активации в кипер.
Как только я это сделал пролетело несколько окон "Передача денег..." после чего комп сам сделал завершение работы. Окон было несколько и мне показалось, что они были пустые, без данных. И я подумал, что сам что-то несколько раз потыкал, кипер подвис, а потом окна открылись: ну это я так подумал.
После этого комп запускаться перестал. Загружается и крутится на уровне Log Off Log On. Теперь еще его чинить надо.
Еще не поняв что произошло, я открыл кипер в мобильнике и увидел, что вместо 120 долл у меня теперь 10 центов. Невероятно. Написал в суппор wm. Потом позвонил, сказали пишите в арбитраж. В арбитраже предложили залочить аккаунт подозреваемого, что я и сделал за 5 wmz которые пришлось менять с рублей (WMR жулики не взяли).
Обратите внимание. Капча была ВКЛЮЧЕНА! И я это точно помню. У меня все опции включены секьюрити. Получается, есть дыра в самом кипере, которая позволяет жуликам обходить капчу. Мало того, у меня стоит Agnitum Firewall и только вчера я прогонял комп через CureIt. Потому что заметил какой-то странный вирус, который при запуске любого exe пытался руками этого exe изменить в реестре ключ appinit_dlls. Антивирусники его не видели и я его снес через какую-то утилиту, которая вирус и exe удалила при запуске, после чего все фокусы прекратились.
Вот такая история.
Сумма-то, конечно, небольшая, но обломно теперь придется на оплату доменов и хостинга вводить деньги через обменники.
И самое обидное что развели тебя... Как, не побоюсь этого слова, "лоха".
Только деньги из GCL прислали и на тебе... :(
Сейчас в истории операций посмотрел, там в комментариях написано что-то вроде Great deal, great deal, thanx partner # и номер какой-то...
Я вот думаю, что делать-то теперь? Сижу за компом отца. Ноутбук сгорел у меня пару недель назад. Вот и подумай тут о смысле жизни...
В общем, вспомнил я слова такие:
Не собирайте себе сокровищ на земле, где моль и ржа истребляют и где воры подкапывают и крадут, но собирайте себе сокровища на небе, где ни моль, ни ржа не истребляют и где воры не подкапывают и не крадут, ибо где сокровище ваше, там будет и сердце ваше.
