Перейти к содержанию

Подозрительное письмо от Сбербанка


Рекомендуемые сообщения

Образец письма

Тема: повторное уведомление ОтСбербанк России (ПАО) <isaev.s@sberbank.ru>Кому<----------------->Дата2017-05-30 17:15

 

Здравствуйте!

 

Ознакомиться с новым счетом Вы можете по ссылке 

[ссылка]

Если данный вопрос находится вне зоны Вашей ответственности, прошу переслать причастным лицам.

Заранее благодарен!

 

 

 

 

менеджер по работе с клиентами

Сбербанк России (ПАО)

Исаев Александр Данилович

 

 

 

По факту ссылка выглядит так --->>> [ссылка]

Файл который скачивается по ссылке прилагаю счет_сбер_doc.js

Изменено пользователем Sandor
Убрал ссылки
Ссылка на комментарий
Поделиться на другие сайты

1)Выполнена проверка 

Kaspersky Virus Removal Tool

2) Собраны логи 

AutoLogger

Архив с логами прилагается

 

Вирус все зашифровал...

CollectionLog-2017.05.31-13.41.zip

Изменено пользователем ded2472
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2017-05-31 09:36 - 2017-05-31 12:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2017-05-31 09:36 - 2017-05-31 12:23 - 00000000 __SHD C:\ProgramData\Windows
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README9.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README8.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README7.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README6.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README5.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README4.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README3.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README2.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README10.txt
    2017-05-31 09:36 - 2017-05-31 09:36 - 00004162 _____ C:\README1.txt
    2017-05-24 17:17 - 2017-05-24 17:17 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign989bb4973c12896f
    2017-05-24 17:09 - 2017-05-24 17:09 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign4204b261d081ab79
    2017-05-24 15:50 - 2017-05-24 15:50 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign20cfc507e40b3a1d
    2017-05-23 11:11 - 2017-05-23 11:11 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna44629a4cbd5bc49
    2017-05-23 10:11 - 2017-05-23 10:11 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign69656312b4e77157
    2017-05-23 09:37 - 2017-05-23 09:37 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign83c849e57db36e97
    2017-05-18 18:29 - 2017-05-18 18:29 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign19e39d3f3e67e96c
    2017-05-18 17:00 - 2017-05-18 17:00 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignc6494d6e3c301987
    2017-05-18 15:39 - 2017-05-18 15:39 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign0908313d72640127
    2017-05-18 15:38 - 2017-05-18 15:38 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna97d0d0c0d58c0fc
    2017-05-18 15:26 - 2017-05-18 15:26 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign937de53a0f77fe05
    2017-05-18 15:08 - 2017-05-18 15:08 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna4c2937b7502c4d9
    2017-05-18 15:06 - 2017-05-18 15:06 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigna244b7cbd85ac6af
    2017-05-18 15:01 - 2017-05-18 15:01 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignd5e581aae2fcca6c
    2017-05-18 14:45 - 2017-05-18 14:45 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign2d965f75dde7883c
    2017-05-18 10:47 - 2017-05-18 10:47 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign2a7028d10977c935
    2017-05-18 10:35 - 2017-05-18 10:35 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3515b8ec73a13d50
    2017-05-18 10:06 - 2017-05-18 10:06 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign1b57e5174b3ab2b2
    2017-05-17 16:11 - 2017-05-17 16:11 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignced6177e03b810bd
    2017-05-17 15:10 - 2017-05-17 15:10 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignd6ac4b84326aeb5a
    2017-05-17 14:59 - 2017-05-17 14:59 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign2d410a882abfb034
    2017-05-17 13:14 - 2017-05-17 13:14 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign35e3e0749e02b6ad
    2017-05-17 11:58 - 2017-05-17 11:58 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign70abe0aaf826a7fd
    2017-05-17 10:44 - 2017-05-17 10:44 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign16a67109c80bdb13
    2017-05-17 10:19 - 2017-05-17 10:19 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign2b4770fe44e952ea
    2017-05-16 17:30 - 2017-05-16 17:30 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign075b4a2e3f9ed4a6
    2017-05-16 16:57 - 2017-05-16 16:57 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign5676a0c25262cbc2
    2017-05-16 16:55 - 2017-05-16 16:55 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign5248053d6ddf4642
    2017-05-16 16:28 - 2017-05-16 16:28 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignf67fb4fa0cc3fa74
    2017-05-16 13:39 - 2017-05-16 13:39 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3f39944af17b8dec
    2017-05-16 13:37 - 2017-05-16 13:37 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign36301109e4ef6f40
    2017-05-15 17:28 - 2017-05-15 17:28 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign084041088bf06ccb
    2017-05-12 17:24 - 2017-05-12 17:24 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignec0f5bd914d4a3a7
    2017-05-12 17:24 - 2017-05-12 17:24 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignc94908b48fb5860c
    2017-05-12 10:30 - 2017-05-12 10:30 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign4234b4ef8a96acdf
    2017-05-12 09:57 - 2017-05-12 09:57 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignaef5f59850e268b6
    2017-05-11 17:44 - 2017-05-11 17:44 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigncecc7dba3e335bc5
    2017-05-11 09:38 - 2017-05-11 09:38 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign746f4abe80d273be
    2017-05-10 16:01 - 2017-05-10 16:01 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignda0baba6761aeb79
    2017-05-10 15:58 - 2017-05-10 15:58 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignd422e6bbc7296fca
    2017-05-10 12:11 - 2017-05-10 12:11 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3faac9eb8960584e
    2017-05-10 11:29 - 2017-05-10 11:29 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign2b5faa1547bcbf67
    2017-05-10 11:00 - 2017-05-10 11:00 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign8326768cac8e7448
    2017-05-10 10:42 - 2017-05-10 10:42 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign863267e1d14b0f06
    2017-05-05 16:32 - 2017-05-05 16:32 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign63afa0a616184980
    2017-05-05 15:33 - 2017-05-05 15:33 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign962d1bed6ae152b1
    2017-05-05 10:03 - 2017-05-05 10:03 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigncccf6afefed4c76a
    2017-05-05 09:56 - 2017-05-05 09:56 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign5f2485567642227d
    2017-05-04 17:50 - 2017-05-04 17:50 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign7dab54426a69fe11
    2017-05-04 17:04 - 2017-05-04 17:04 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignff65eb1930db2587
    2017-05-04 16:57 - 2017-05-04 16:57 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsigne7f1084f6e50648f
    2017-05-04 16:15 - 2017-05-04 16:15 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign5bdb620bcb923e9c
    2017-05-04 15:06 - 2017-05-04 15:06 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign3ea223c2e3f63b08
    2017-05-04 14:35 - 2017-05-04 14:35 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign599022cb00269be6
    2017-05-04 14:19 - 2017-05-04 14:19 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignb4959600520b566b
    2017-05-04 14:08 - 2017-05-04 14:08 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign6094050d7d014a5b
    2017-05-04 10:59 - 2017-05-04 10:59 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignc3e85379ade8e2a4
    2017-05-04 09:24 - 2017-05-04 09:24 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign508f40b678f79fc0
    2017-05-03 12:24 - 2017-05-03 12:24 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign933d374bf7d3aa6a
    2017-05-03 12:18 - 2017-05-03 12:18 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign43266fd6379f4228
    2017-05-03 12:17 - 2017-05-03 12:17 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign28ab8fe9bb25d301
    2017-05-03 12:15 - 2017-05-03 12:15 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign56d30a0e4f86a77c
    2017-05-03 12:15 - 2017-05-03 12:15 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign28adec04524acda3
    2017-05-03 11:47 - 2017-05-03 11:47 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignabe768d828c795e2
    2017-05-03 09:47 - 2017-05-03 09:47 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign46a9f023b4f8fa16
    2017-05-02 14:27 - 2017-05-02 14:27 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign82ab5381278623d3
    2017-05-02 14:17 - 2017-05-02 14:17 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign0403de4f515fac48
    2017-05-02 11:40 - 2017-05-02 11:40 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignbea3fa0ce95af27a
    2017-05-02 11:29 - 2017-05-02 11:29 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign0c0b5356b9e19092
    2017-05-02 11:04 - 2017-05-02 11:04 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsignb9419d1106247e85
    2017-05-02 09:42 - 2017-05-02 09:42 - 00000000 ____D C:\Users\user\AppData\Local\Tempzxpsign70e3e41c381d2702
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

вставить не нашел куда

Все правильно.

 

С расшифровкой помочь не сможем.

 

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18449 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Дата установки обновлений: 2016-09-29 17:37:38

--------------------------------- [ P2P ] ---------------------------------

BitTorrent v.7.9.9.43389 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
      Как устроены фишинговые атаки с письмами якобы от Docusign
      Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
      В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
      Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
       
      View the full article
    • Gennadiy
      От Gennadiy
      Здравствуйте!
       
      Вчера устанавливал приложения для прокси Cloudflare Warp и WireGuard (потом их удалил) и смотрел в YouTube инструкцию как всё это сделать. И при открытом YouTube (больше я ничего не делал и никуда не заходил) выскочило вдруг окно Касперского со следующей информацией:
      Событие: Остановлен переход на сайт
      Пользователь: NEOS\Пользовательдва
      Тип пользователя: Инициатор
      Имя приложения: firefox.exe
      Путь к приложению: C:\Program Files\Mozilla Firefox
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: bro.kosmohubeq.space/code/mizweojtg45ha3ddf42dsnbx
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: mizweojtg45ha3ddf42dsnbx
      Путь к объекту: bro.kosmohubeq.space/code
      Причина: Облачная защита
       
      Посмотрите, пожалуйста, нет ли никакого вируса.
      CollectionLog-2024.07.29-18.33.zip
    • KL FC Bot
      От KL FC Bot
      Слово sextortion, образованное из слов sex и extortion (вымогательство), изначально означало шантаж при помощи компрометирующих фото и видео, которые злоумышленник получал, либо взломав устройство жертвы, либо добровольно от нее самой. Хотя эта форма преступления до сих пор существует, сегодня гораздо чаще встречаются ситуации, в которых никаких пикантных документов у шантажиста нет. Некоторые разновидности sextortion «работают» даже на тех людях, которые доподлинно знают, что компромата с их участием быть физически не может. Разберем все современные разновидности секс-шантажа и способы противодействия ему.
      «Ваша жена вам изменяет»
      Свежая разновидность вымогательства вместо стыда давит на ревность. Одному из супругов приходит e-mail о том, что некая «компания по безопасности» получила доступ (читай, взломала) ко всем данным на личных устройствах второго супруга и в этих данных есть подробные доказательства супружеской неверности. Для получения более подробной информации и архива со скачанными данными предлагается пройти по ссылке. Разумеется, на самом деле у злоумышленников нет никаких данных, кроме имен и адресов e-mail двух супругов, а по ссылке можно только расстаться со своими деньгами.
       
      View the full article
    • singularpurplecloud
      От singularpurplecloud
      Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
      Пользователь: RATINDISGUISE\user
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Уязвимость
      Название: 68203
      Точность: Точно
      Степень угрозы: Низкая
      Тип объекта: Файл
      Имя объекта: $RU8ZV5V.exe
      Путь к объекту: C:\$Recycle.Bin\S-1-5-21-2739154480-802394143-3964783320-1001
      MD5 объекта: B2325881235719EC1F79F87AB9E63C09
      Причина: Базы
      Дата выпуска баз: Сегодня, 01/06/2024
    • Марина Зюляева
      От Марина Зюляева
      Мне пришло вот такое письмо.
      Я тут же сменила пароль. А мне опять пришло такое же письмо, даже два подряд ???
×
×
  • Создать...