Перейти к содержанию
Правила раздела

Взломали почту.

elvin-04

От elvin-04
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

elvin-04 Новичок

elvin-04

Опубликовано
Опубликовано (изменено)

Добрый день. Обычно не бывает вирусов, продвинутый пользователь. Доступ к почте получили из Кореии, но подозрительная аутентификация из непривычного места заблокировала доступ.
Пароли длинные, компьютер был выключен. Использую различные пароли на разных площадках. Сменил пароль. На подозрительные сайты не захожу.

 

Сам до проверки обнаружил пару файлов (Были в папке Вин), отправил в ЛК:[KLAN-5489611876]
Riskware application which may harm your computer was detected in files:
SECOH-QAD.dll - not-a-virus:NetTool.Win64.RPCHook.a
SECOH-QAD.exe - not-a-virus:RiskTool.Win64.ProcPatcher.a

 

Из подозрительной активности, сам открывается лоток DVD привода... (Возможно устройство не исправно)
 

Но я думаю это файлы KMSPico (Кряк для Windows) Не знаю откуда. :)
Хотя у самого Windows 10 Single Language (OEM Licence), активаторы не нужны B)

P.S. Хост файл сам изменил. Чтоб трехбуквенные конторы не лезли :-D

 

Заранее спасибо.

 

 

:n3b5yt2t:

CollectionLog-2016.12.13-19.34.zip

Изменено пользователем elvin-04
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
elvin-04 Новичок

elvin-04

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнился успешно.
Также сегодня пытались получить доступ к ВКонтакте, хотя ПК был выключен.

post-42925-0-90813300-1481943299_thumb.jpg
После взлома баз данных ВК, все пароли были сменены.
Файл Shortcut.txt не был создан.

P.S. Форум обновился? Я давно был на этом форуме, с помощью старого аккаунта залогинится не удалось, нету такого юзера. Прошлось создать нового с таким именем. Вы удалили базу юзеров?

FRST.txt

Addition.txt

Изменено пользователем elvin-04
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


Вы удалили базу юзеров?

никто ничего не удалял.
напишите старый логин

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

AppInit_DLLs:  c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File
Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192]

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
 
вообще в системе ничего такого не видно. косметическая подчистка.
можно ещё хвосты от адваре погонять.
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

Ссылка на комментарий
Поделиться на другие сайты
elvin-04 Новичок

elvin-04

Опубликовано
  • Автор
Опубликовано (изменено)

 

Вы удалили базу юзеров?

напишите старый логин

Как и новый elvin-04

 

 

 

 

вообще в системе ничего такого не видно. косметическая подчистка.

можно ещё хвосты от адваре погонять.

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

 

Спасибо. Сделал. Не могу прикрепить файлы, пишет: Загрузка пропущена (Ошибка IO)

 

Вот результат:

fixlog.txt:

Fix result of Farbar Recovery Scan Tool (x64) Version: 17-12-2016

Ran by Elvin (20-12-2016 14:14:11) Run:1

Running from C:\Users\\Desktop

Loaded Profiles:  (Available Profiles: & Гость)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

CreateRestorePoint:

 

AppInit_DLLs: c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll => No File

GroupPolicy: Restriction <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

GroupPolicyScripts\User: Restriction <======= ATTENTION

BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File

BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File

Task: {6863AABA-E30F-4044-9419-B64D52DA7F28} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\Temp:1677AB3F [192]

AlternateDataStreams: C:\Users\Public\DRM:?????? [98]

AlternateDataStreams: C:\Users\Все пользователи\Temp:1677AB3F [192]

 

Reboot:

*****************

 

Restore point was successfully created.

" c:\progra~2\nvidia~1\3dvisi~1\nvstin~1.dll" => Value data removed successfully.

C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully

C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully

C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully

"C:\WINDOWS\system32\GroupPolicy\Machine" => not found.

C:\WINDOWS\system32\GroupPolicy\User => moved successfully

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully

HKCR\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found.

"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9}" => key removed successfully

HKCR\Wow6432Node\CLSID\{9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} => key not found.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6863AABA-E30F-4044-9419-B64D52DA7F28}" => key removed successfully

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OfficeSoftwareProtectionPlatform\SvcRestartTask" => key removed successfully

C:\ProgramData\Temp => ":1677AB3F" ADS removed successfully.

C:\Users\Public\DRM => ":??????" ADS could not remove.

"C:\Users\Все пользователи\Temp" => ":1677AB3F" ADS not found.

 

 

The system needed a reboot.

 

==== End of Fixlog 14:15:11 ====

 

 

P.S. А как тогда получили доступ к outlook.com (Skype) и ВК?

Изменено пользователем elvin-04
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • lslx
      Взломали Сервер server2012R2 шифровальщик ooo4ps
      От lslx
      Взломали Сервер server2012R2 шифровальщик ooo4ps
      часть файлов зашифровано ,но больше беспокоит что два диска зашифрованы битлокером
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • KL FC Bot
      Взломали аккаунт в Telegram: что делать | Блог Касперского
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
    • Bercolitt
      Проблема с почтой яндекса. Происходят попытки подключения к посторонним сайтам.
      От Bercolitt
      Проблема с почтой яндекса. Происходят попытки подключения к посторонним сайтам.


    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
×
×
  • Создать...