У меня взломали аккаунт в перфект - Страница 29

[silenceinmysoul]

Думаю, тут будет сложно разбираться. Если письмо действительно сохранено, то найдите третьего человека, который просмотрит данный скрипт.

с того сайта

Что за сайт то?

Juliabest просмотрите файл c:\Windows\System32\drivers\etc\hosts, возможно там Вам ip адрес подменили.

 

[bond777]

Что за сайт то?

freebitco.in

 

[damirkzn]

Детский сад. Скрипты какие-то устанавливаем, а потом удивляемся куда деньги исчезли

 

[pilot10]

Детский сад. Скрипты какие-то устанавливаем, а потом удивляемся куда деньги исчезли

Здесь не в скрипте дело, он у меня уже третий месяц работает и претензий нет.
А вот где и какие сайты посещала уважаемая Юля неизвестно.

 

[kamol_mix]

Надо предупредить всем об этом

freebitco.in

добавлено через 1 минуту

Здесь не в скрипте дело

Если так, почему поменяли почтана @freebitco.in

 

[pilot10]

Если так, почему поменяли почтана @freebitco.in

В инструкции я этого не нашел.

 

[silenceinmysoul]

Странно, что антивирус поругался на директорию, а не на сам скипт в почте. Что, разве при получения письма и сохранении на жесткий диск, антивирус не проверяет?

 

[Kirksan]

просмотрите файл c:\Windows\System32\drivers\etc\hosts, возможно там Вам ip адрес подменили.

жесть вобще кошмар
проверил у себя
хоть и не юзал тот скрипт
но с сайтом работал
а что должно быть в той папке? у меня там 5 файлов есть.
файл с хостами, что там должно быть прописано?
если подставной, какой айпи,хост?
там нет вобще айпи в нем
как понять подменен айпи или нет?
на всякий случай сменил пароли к кошельку и почте

сайт freebitco.in тут виноват
а скрипт лишь передает данные,
он настроен на копирование с экрана и ввод капчей
читал инструкрцию, в которой указывается еще один подозрительный сайт, где надо было зарегиться
специальный ресурс для распознавания текстов с экрана.
без него не будет работать скрипт
и надо было в настройках браузера сделать запоминание страниц, так чтобы куда ни заходишь, все само загружалось
конечно не трудно догадатся если она заходила этим же браузером в кошелек и паралельно работал сайт с серфом и скриптом.
тут даже вопросов не возникает как получены данные, они пропросту с экрана копировались при входе в кошелек
или может еще через открытые порты троян передавал, это вероятнее

однозначно, что данные таки передавались с открытого браузера на центральный сайт
freebitco.in
и в кошельке мыло от сайта не случайно @freebitco.in
надо искать хозяина сайта
если утверждают, что монитор дал, надо у него поинтересоваться.
тему в мошенниках однозначно по проекту делать, не рекламить его.

как это я не успел попасться, повезло, просто не успел
мои соболезнования Юле((
знаю,что она эти деньги тяжело зарабатывала и выигрывала в конкурсах.
а здесь надо разбираться кому принадлежит сайт и почему именно тот монитор его продвигает и скрипты с троянами раздает.

добавлено через 20 минут
нашел тему Olkibmonitor https://mmgp.com/showthread.php?t=82185
в ней только этот монитор и пилот,но другой.
понятно что это клон
еще за мульт привлечь
Pilot-80
pilot10
три друга-сотоварища?
где деньги, ребята?

 

[pilot10]

Kirksan, Вы немного голову включите. У меня эта прога работает и комп чист.
А где Юля ходила и что цепляла, к сожалению, я не знаю.

 

[Juliabest]

А где Юля ходила и что цепляла, к сожалению, я не знаю.

В браузере по умолчанию были сделаны настройки, как в мануале к скрипту, чтобы открывались последние входы, в мозиллу был вставлен скрипт и автоматом начинался серфинг с того сайта, с этого же браузера я входила в свой пм.

Мозиллу уже почистила и переустановила, сайт тот отовсюду вычистила, но может еще где прописался. На скрине его уже нет, я забыла и удалила настройки, но Имакрос и сам скрипт там видно, заскринила как было установлено. Скрипт ваш.

Взлома пм не было, все входы в истории по айпи в пм только мои и только в то время, когда я туда заходила.
Ваучер был куплен с моего счета как раз во время, когда я на сайте пм запросил пин и получила его на почту, ввела на сайте входа в пм, вошла, и денег нету, все буквально в две секунды произошло. В этот самый момент Др. Веб выдал отчет от трояне Trojan.LoadMoney.336

У меня в пм е-меил с того сайта по покупке ваучера. Какие еще нужны док-ва? Ищите кто вам скрипт, иначе монитор, который вам его прислал, будет в мошенниках вместе с вами. У вас тут еще и клоны, оказывается есть? Ну вот и еще повод.
Здесь уже не о чем говорить. Скрипт ваш, вы его от мона получили (по вашим пока только утверждением), деньги увели на сайт, для которого был этот скрипт и мануал. Все ваше.

 

[bond777]

Взлома пм не было, все входы в истории по айпи в пм только мои и только в то время, когда я туда заходила.
Ваучер был куплен с моего счета как раз во время, когда я на сайте пм запросил пин и получила его на почту, ввела на сайте входа в пм, вошла, и денег нету, все буквально в две секунды произошло. В этот самый момент Др. Веб выдал отчет от трояне Trojan.LoadMoney.336
.

у вас был троян, который открывал удалённый доступ к вашему компу. и, именно, на работу с ПерфектМани, явно.
как только вы заходили на ПМ, тут же включался троян в работу, настроенный на создание ваучера.
прога трояна в считанные секунды всё делает.

добавлено через 10 минут
Juliabest, да подождите вы так гнать лошадей.
то, что тут данный сайт замешан в распространении трояна по уводу денег ПМ, это уже понятно, судя по их емайлу при создании вайучера.
но вот это дополнительный скрипт тут, скорее всего, не причём.
у других же всё нормально с этим скриптом.

вероятно, вы трояна подхватили, когда немного поюзали тот сайт тогда, этот троян у вас и засел в браузере, не проявлял себя какое-то время.

 

[silenceinmysoul]

поюзали тот сайт

Я тоже юзаю тот сайт, но вчера специально скачал CureIT последнюю версию и прогнал весь комп - ничего не нашел.

 

[Crowds]

Если трой хорошо криптован был, то он мог и не палиться антивирусами до определенного момента.

ЗЫ. Из всей этой ситуации, можно только одно сказать - хотелось кнопки бабло, но получилось как всегда.

 

[pilot10]

Ищите кто вам скрипт, иначе монитор, который вам его прислал, будет в мошенниках вместе с вами. У вас тут еще и клоны, оказывается есть? Ну вот и еще повод.
Здесь уже не о чем говорить. Скрипт ваш, вы его от мона получили (по вашим пока только утверждением), деньги увели на сайт, для которого был этот скрипт и мануал. Все ваше.

Я еще раз поясняю, что у меня комп чист и на данный момент работает с этим скриптом.
Про каких клонов Вы здесь завели речь? Поясните.

 

[Smirnov Nikolay]

Пора уже понять, что бесплатный сыр только в мышеловке. Ставьте программы на свой страх и риск, а лучше обходите их стороной, целее нервы и ваши деньги будут. Не жмакайте по ссылкам в письмах на почте, не стоит ставить скрипты, даже от проверенных форумчан, не известно что и какие цели они приследуют. И не пренебрегайте элементарными средствами защиты, тут на лицо нарушение всех этих правил личной безопасности, по этому что имеет то имеем.

 

[Olkibmonitor]

Выкладываю скрипт для биктоинта кторый дал pilot10

while(true) {

var macros;
var regcode;
var ru = "\n";

var macro1;
macro1 = "CODE:";
macro1 += "SET !ERRORIGNORE YES"+ru;
macro1 += "SET !ERRORCONTINUE YES"+ru;
macro1 += "SET !EXTRACT_TEST_POPUP NO"+ru;
macro1 += "WAIT SECONDS=#DOWNLOADCOMPLETE#"+ru;
macro1 += "SET !REPLAYSPEED FAST"+ru;
macro1 += "SET !TIMEOUT_PAGE 60"+ru;
macro1 += "URL GOTO=https://freebitco.in"+ru;
macro1 += "WAit Seconds=1"+ru;
macro1 += "ONDOWNLOAD FOLDER=C:\\CAPTCHa\\ FILE=KaPcHa.jpg"+ru;
macro1 += "Wait Seconds=1"+ru;
macro1 += "TAG POS=1 TYPE=IMG ATTR=SRC:http*://www.google.com/recaptcha/api/image?c=* CONTENT=EVENT:SAVE_ELEMENT_SCREENSHOT"+ru;
macro1 += "TAB OPEN"+ru;
macro1 += "TAB T=2"+ru;
macro1 += "WAIT SECONDS=1"+ru;
macro1 += "URL GOTO=http://antigate.com/imacros.html"+ru;
macro1 += "TAG POS=1 TYPE=INPUT:TEXT FORM=ACTION:http://antigate.com/in.php ATTR=NAME:key CONTENT=ключь вставить тут до ковычек"+ru; // КЛЮЧ заменить на ключ из antigate
macro1 += "TAG POS=1 TYPE=INPUT:FILE FORM=ACTION:http://antigate.com/in.php ATTR=NAME:file CONTENT=C:\\CAPTCHa\\KaPcHa.jpg"+ru;
macro1 += "TAG POS=1 TYPE=INPUT:SUBMIT FORM=ACTION:http://antigate.com/in.php ATTR=*"+ru;
macro1 += "WAIT SECONDS=2"+ru;
macro1 += "TAG POS=1 TYPE=SPAN ATTR=TXT:* EXTRACT=TXT"+ru;
macro1 += "TAB T=1"+ru;
macro1 += "TAB CLOSEALLOTHERS"+ru;
macro1 += "TAG POS=1 TYPE=INPUT:TEXT ATTR=NAME:recaptcha_response_field CONTENT={{!EXTRACT}}"+ru;
macro1 += "WAIT SECONDS=2"+ru;
macro1 += "TAG POS=1 TYPE=INPUT:SUBMIT FORM=ID:free_play_form ATTR=ID:free_play_form_button"+ru;
macro1 += "TAG POS=1 TYPE=INPUT:SUBMIT FORM=ACTION:/ ATTR=*"+ru;
/* Если бот перестал работать, для активных рефералов вышлю новый */
macro1 += "WAIT SECONDS=2"+ru;


var r = window.find("before you can play for free again.");


var macro2;
macro2 = "CODE:";
macro2 += "WAIT SECONDS=3610"+ru;






if (r)
{
iimPlay(macro2);
}
else {
iimPlay(macro1);
}

}

так что тут не чего страшного нету, кто разбирается в джава сриптах могут подтвердить

добавлено через 13 минут

Веб выдал отчет от трояне Trojan.LoadMoney.336

вот вы и сами ответили на свой вопрос, ищите причину в себе и где вы там кликаете и что скачиваете на ком и скрипт тут не причем

Trojan.LoadMoney.336

Добавлен в вирусную базу Dr.Web: 2014-09-29
Описание добавлено: 2014-10-30
Техническая информация
Вредоносные функции:
Запускает на исполнение:

'<SYSTEM32>\wbem\wmiadap.exe' /R /T

Изменения в файловой системе:
Создает следующие файлы:

%APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1

Удаляет следующие файлы:

<SYSTEM32>\PerfStringBackup.TMP
<SYSTEM32>\wbem\Performance\WmiApRpl.ini

Сетевая активность:
Подключается к:

'fo####.lola-club.ru':80

TCP:
Запросы HTTP GET:

fo####.lola-club.ru/get_json?st###################################################

UDP:

DNS ASK fo####.lola-club.ru

Другое:
Ищет следующие окна:

ClassName: 'Shell_TrayWnd' WindowName: ''

Trojan.LoadMoney.336 является вирус обнаружен Microsoft и несколько вирусов или вредоносных программ производителей программного обеспечения. Это Trojan.LoadMoney.336 угроза классифицируется как ПНП потенциально нежелательная программа или PUA потенциально нежелательных программ, потому что это наносит и действует как злостное или угрозы вируса в компьютерной системе Windows.

Trojan.LoadMoney.336 является рекламой, которую комплекте с использованием пользовательских установщиков и упал на вашем компьютере во время процесса установки. Большинство пользователей не имеют ни малейшего представления о том, как устанавливается этот Trojan.LoadMoney.336 угроза на там компьютере и что она есть, пока их Antivirus или Anti-Malware программное обеспечение обнаруживает его как вредоносного или угрозы вируса. Следуйте нашей инструкции, чтобы удалить эту Trojan.LoadMoney.336 угрозы и защитить ваш компьютер от другого вируса или рекламного инфекции.

Тобишь вы его подхватили на баннерной рекламе с какого то сайта

 

[pilot10]

Olkibmonitor, спасибо за то, что все разжевали и разложили по полочкам.
Я думаю, что Juliabest следует извиниться и впредь не разбрасываться бездоказательными обвинениями.

 

[PayeerCOM]

Re: Взломали пефект

...никогда, никогда и никогда по рассылкам не переходить....очень обидно...

Если вы думаете что троян можно поймать только открыв какой-то файл из рассылки, то вы ошибаетесь.

Достаточно просто зайти на сайт, на котором висит exloit и он сам загрузит троян, автоматически, без вашего спроса и ведома.

добавлено через 4 минуты
Всем кто переживает за вирусы трояны - переходите на MAC OS, и НИКОГДА не используйте браузер со включенной по умолчанию JAVA (chrome, safari). Проверить подвержены вы риску или нет можно на сайте, например WHOER.NET.


Снизу у вас должно быть:

ActiveX - отключено
Javascript - enabled
Java - отключено

если ЯВА включена - у вас абсолютно дырявая система.

 

[bond777]

Re: Взломали пефект

PayeerCOM, а Java в хроме отключить где?
Javascript есть отключить/включить

 

[silenceinmysoul]

Re: Взломали пефект

PayeerCOM, а Java в хроме отключить где?

Chrome

Щелкните меню Chrome и выберите Настройки.
В нижней части окна настроек нажмите Показать дополнительные настройки
В разделе Личные данные нажмите Настройки контента.
В окне настроек содержания страницы перейдите к разделу Подключаемые модули.
В разделе подключаемых модулей щелкните Отключить отдельные модули.
В панели подключаемых модулей найдите раздел Java. Нажмите Отключить для отключения подключаемого модуля Java.
Чтобы изменения вступили в силу, закройте и снова откройте браузер.

добавлено через 2 минуты

macro1 += "ONDOWNLOAD FOLDER=C:\\CAPTCHa\\ FILE=KaPcHa.jpg"+ru;

Все-таки, лучше поменяйте это расположение на D или другой какой-то локальный НЕ системный диск или вообще, советуйте использовать своим реффералам песочницу - тогда уж точно будет гарантия, что не подхватят вирус.