Взломали почту.

15 декабря, 2016

Добрый день. Обычно не бывает вирусов, продвинутый пользователь. Доступ к почте получили из Кореии, но подозрительная аутентификация из непривычного места заблокировала доступ.
Пароли длинные, компьютер был выключен. Использую различные пароли на разных площадках. Сменил пароль. На подозрительные сайты не захожу.

Сам до проверки обнаружил пару файлов (Были в папке Вин), отправил в ЛК:[KLAN-5489611876]
Riskware application which may harm your computer was detected in files:
SECOH-QAD.dll - not-a-virus:NetTool.Win64.RPCHook.a
SECOH-QAD.exe - not-a-virus:RiskTool.Win64.ProcPatcher.a

Из подозрительной активности, сам открывается лоток DVD привода... (Возможно устройство не исправно)

Но я думаю это файлы KMSPico (Кряк для Windows) Не знаю откуда.
Хотя у самого Windows 10 Single Language (OEM Licence), активаторы не нужны

P.S. Хост файл сам изменил. Чтоб трехбуквенные конторы не лезли :-D

Заранее спасибо.

CollectionLog-2016.12.13-19.34.zip

Изменено 15 декабря, 2016 пользователем elvin-04

15 декабря, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

17 декабря, 2016

Скрипт выполнился успешно.
Также сегодня пытались получить доступ к ВКонтакте, хотя ПК был выключен.

После взлома баз данных ВК, все пароли были сменены.
Файл Shortcut.txt не был создан.

P.S. Форум обновился? Я давно был на этом форуме, с помощью старого аккаунта залогинится не удалось, нету такого юзера. Прошлось создать нового с таким именем. Вы удалили базу юзеров?

FRST.txt

Addition.txt

Изменено 17 декабря, 2016 пользователем elvin-04

17 декабря, 2016

Вы удалили базу юзеров?

никто ничего не удалял.
напишите старый логин

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

AppInit_DLLs:  c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192]

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

вообще в системе ничего такого не видно. косметическая подчистка.
можно ещё хвосты от адваре погонять.

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

21 декабря, 2016

Вы удалили базу юзеров?
напишите старый логин

Как и новый elvin-04

вообще в системе ничего такого не видно. косметическая подчистка.
можно ещё хвосты от адваре погонять.

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

Спасибо. Сделал. Не могу прикрепить файлы, пишет: Загрузка пропущена (Ошибка IO)

Вот результат:

fixlog.txt:

Fix result of Farbar Recovery Scan Tool (x64) Version: 17-12-2016

Ran by Elvin (20-12-2016 14:14:11) Run:1

Running from C:\Users\\Desktop

Loaded Profiles: (Available Profiles: & Гость)

Boot Mode: Normal

==============================================

fixlist content:

*****************

CreateRestorePoint:

AppInit_DLLs: c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File

GroupPolicy: Restriction <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

GroupPolicyScripts\User: Restriction <======= ATTENTION

BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File

BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File

Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192]

AlternateDataStreams: C:\Users\Public\DRM:?????? [98]

AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192]

Reboot:

*****************

Restore point was successfully created.

" c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll" => Value data removed successfully.

C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully

C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully

C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully

"C:\WINDOWS\system32\GroupPolicy\Machine" => not found.

C:\WINDOWS\system32\GroupPolicy\User => moved successfully

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully

HKCR\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found.

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully

HKCR\Wow6432Node\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask" => key removed successfully

C:\ProgramData\Temp => ":1677AB3F" ADS removed successfully.

C:\Users\Public\DRM => ":??????" ADS could not remove.

"C:\Users\Все пользователи\Temp" => ":1677AB3F" ADS not found.

The system needed a reboot.

==== End of Fixlog 14:15:11 ====

P.S. А как тогда получили доступ к outlook.com (Skype) и ВК?

Изменено 21 декабря, 2016 пользователем elvin-04

Взломали почту.

Рекомендуемые сообщения

elvin-04

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

elvin-04

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

elvin-04

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum