Перейти к содержанию
Правила раздела

Взломали почту.

elvin-04

От elvin-04
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

elvin-04 Новичок

elvin-04

Опубликовано
Опубликовано (изменено)

Добрый день. Обычно не бывает вирусов, продвинутый пользователь. Доступ к почте получили из Кореии, но подозрительная аутентификация из непривычного места заблокировала доступ.
Пароли длинные, компьютер был выключен. Использую различные пароли на разных площадках. Сменил пароль. На подозрительные сайты не захожу.

 

Сам до проверки обнаружил пару файлов (Были в папке Вин), отправил в ЛК:[KLAN-5489611876]
Riskware application which may harm your computer was detected in files:
SECOH-QAD.dll - not-a-virus:NetTool.Win64.RPCHook.a
SECOH-QAD.exe - not-a-virus:RiskTool.Win64.ProcPatcher.a

 

Из подозрительной активности, сам открывается лоток DVD привода... (Возможно устройство не исправно)
 

Но я думаю это файлы KMSPico (Кряк для Windows) Не знаю откуда. :)
Хотя у самого Windows 10 Single Language (OEM Licence), активаторы не нужны B)

P.S. Хост файл сам изменил. Чтоб трехбуквенные конторы не лезли :-D

 

Заранее спасибо.

 

 

:n3b5yt2t:

CollectionLog-2016.12.13-19.34.zip

Изменено пользователем elvin-04
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
elvin-04 Новичок

elvin-04

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнился успешно.
Также сегодня пытались получить доступ к ВКонтакте, хотя ПК был выключен.

post-42925-0-90813300-1481943299_thumb.jpg
После взлома баз данных ВК, все пароли были сменены.
Файл Shortcut.txt не был создан.

P.S. Форум обновился? Я давно был на этом форуме, с помощью старого аккаунта залогинится не удалось, нету такого юзера. Прошлось создать нового с таким именем. Вы удалили базу юзеров?

FRST.txt

Addition.txt

Изменено пользователем elvin-04
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


Вы удалили базу юзеров?

никто ничего не удалял.
напишите старый логин

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

AppInit_DLLs:  c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192]

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
 
вообще в системе ничего такого не видно. косметическая подчистка.
можно ещё хвосты от адваре погонять.
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Ссылка на комментарий
Поделиться на другие сайты
elvin-04 Новичок

elvin-04

Опубликовано
  • Автор
Опубликовано (изменено)

 

Вы удалили базу юзеров?

напишите старый логин

Как и новый elvin-04

 

 

 

 

вообще в системе ничего такого не видно. косметическая подчистка.

можно ещё хвосты от адваре погонять.

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

 

Спасибо. Сделал. Не могу прикрепить файлы, пишет: Загрузка пропущена (Ошибка IO)

 

Вот результат:

fixlog.txt:

Fix result of Farbar Recovery Scan Tool (x64) Version: 17-12-2016

Ran by Elvin (20-12-2016 14:14:11) Run:1

Running from C:\Users\\Desktop

Loaded Profiles:  (Available Profiles: & Гость)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

CreateRestorePoint:

 

AppInit_DLLs: c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File

GroupPolicy: Restriction <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

GroupPolicyScripts\User: Restriction <======= ATTENTION

BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File

BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File

Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192]

AlternateDataStreams: C:\Users\Public\DRM:?????? [98]

AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192]

 

Reboot:

*****************

 

Restore point was successfully created.

" c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll" => Value data removed successfully.

C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully

C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully

C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully

"C:\WINDOWS\system32\GroupPolicy\Machine" => not found.

C:\WINDOWS\system32\GroupPolicy\User => moved successfully

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully

HKCR\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found.

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully

HKCR\Wow6432Node\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask" => key removed successfully

C:\ProgramData\Temp => ":1677AB3F" ADS removed successfully.

C:\Users\Public\DRM => ":??????" ADS could not remove.

"C:\Users\Все пользователи\Temp" => ":1677AB3F" ADS not found.

 

 

The system needed a reboot.

 

==== End of Fixlog 14:15:11 ====

 

 

P.S. А как тогда получили доступ к outlook.com (Skype) и ВК?

Изменено пользователем elvin-04
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • Stillegoth
      Новый Blackbit, на почту и ТГ не отвечают. Очень прошу помощи!
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • Ser_S
      Блокировка почты
      От Ser_S
      Здравствуйте, надо заблокировать адрес электронной почты(например adress@primer.com), если я внесу в политике KSC Security Control -> Web Control в правило запрет на весь домен (primer.com), и стану принимать почту, заблокирует она этот адрес или надо настраивать правила в почтовом клиенте у каждого?
    • KL FC Bot
      Как можно взломать переключатель передач велосипеда | Блог Касперского
      От KL FC Bot
      Когда долго работаешь в индустрии кибербезопасности, то начинает казаться, что тебя уже сложно удивить каким-нибудь очередным взломом. Видеоняня? Взламывали. Автомобиль? Взламывали и неоднократно — самые разные модели. Да что там автомобили, уже и до автомоек добирались. Игрушечные роботы, кормушки для животных, пульты ДУ… А как насчет аквариума для рыбок? И такое было.
      Но что с велосипедами? А вот их еще не ломали — до недавнего момента. В середине августа 2024 года исследователи опубликовали научную работу, в которой они описывают успешную кибератаку на велосипед. Если точнее, то на беспроводную систему переключения скоростей велосипеда с технологией Shimano Di2.
      Электронные переключатели скоростей: Shimano Di2 и не только
      Стоит сделать несколько пояснений для тех, кто не очень разбирается в велосипедах и новейших трендах в велотехнологиях. Начнем с того, что японская компания Shimano — это крупнейший в мире производитель ключевых компонентов для велосипедов, таких как трансмиссии, тормозные системы и так далее. В первую очередь Shimano специализируется на традиционном механическом оборудовании, однако уже достаточно давно — еще с 2001 года — компания экспериментирует с переходом на электронику.
      Классические системы переключения скоростей в велосипедах полагались на тросики, которые физически соединяют переключатели с ручками переключения (манетками) на руле. В электронных системах такой физической связи нет: манетка отправляет переключателю команду, а тот меняет передачу с помощью небольшого электромоторчика.
      Электронные системы переключения передач в велосипедах бывают и проводными — в этом случае между манеткой и переключателем вместо тросика протянут провод, по которому передаются команды. Но в последнее время стало модным использование беспроводных систем, в которых манетка отправляет команды переключателю в виде радиосигнала.
      На данный момент электронные системы переключения скоростей Shimano Di2 доминируют в более дорогой и профессиональной части продуктовой линейки японской компании. То же происходит и в модельных рядах главных конкурентов производителя — американской SRAM (которая представила беспроводные переключатели передач первой) и итальянской Campagnolo.
      Иными словами, значительную часть дорожных, гравийных и горных велосипедов верхнего ценового диапазона уже некоторое время оснащают электронными переключателями передач — и все чаще это именно беспроводные системы.
      В случае Shimano Di2 беспроводная система на самом деле не такая уж беспроводная: проводов внутри рамы велосипеда все равно остается немало: A и B — провода от аккумулятора к переднему и заднему переключателям скоростей, соответственно. Источник
       
      View the full article
    • Gennadiy89
      Зашифрованы файлы расширение "MZEM8GTPE" почта help@room155.online или room155@tuta.io
      От Gennadiy89
      Всем привет недавно зашифровали файлы на компе расширение "MZEM8GTPE" . Электронную почту в файле readme оставили почта help@room155.online или room155@tuta.io. Требуют 20-30 тысяч за восстановление файлов. Хорошо многие файлы дома на другом компе сохранены, за последние пару недель файлы остались зашифрованными только. Подскажите добрые люди можно ли как то расшифровать?
      выписка.docx
×
×
  • Создать...