Что-то удаляет куки mail.ru с периодичностью примерно раз в три часа

[Винт]

Подробно история вопроса уже описана на этом форуме: https://forum.kasperskyclub.ru/index.php?showtopic=58477

 

Коротко повторил в названии темы. Т.е. браузер (проверял на Хроме и Эдже) помнит меня на платформах mail.ru примерно 3 часа, после чего натыкаюсь на внезапный запрос логин/пароль этих платформ (Почта, Мой Мир, Одноклассники и Игры @mail.ru). Один раз захожу в Игру с помощью Игрового центра mail.ru, после чего снова примерно 3 часа нет проблем с автоматическим входом на все mail.ru. Кстати, Gmail.com такой странной болезнью у меня не страдает.

 

P.S. Прикрепил файл сборщика логов, а здесь его не видно. Так и надо, наверно.

CollectionLog-2018.02.08-21.12.zip

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[Винт]

Получился не ZIP, a 7Z. Прикрепил.

 

Отослал карантин. Вот что мне ответили:

 

MD5 карантина: 4C0C403982F3967F30C05ACA476B975D
Размер файла: 112973052 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина

 

Тема: http://virusinfo.info/showthread.php?t=217631

 

Может еще что указать? Вкладки держу открытыми, чтобы всё было под рукой.

Report.7z

[regist]

Может еще что указать? Вкладки держу открытыми, чтобы всё было под рукой.

можете закрывать, оттуда больше ничего не надо.

Просьба переделайте логи этой версией Автологера, но скорее всего проблема не вирусная.

И проблема повторяется ровно через каждые три часа?

[Винт]

Логи переделал и ZIP прикрепил.
 

Проблема может проявиться раньше, чем через 3 часа, собственно это и произошло пару раз за последние полтора часа. Строгой периодичности нет.

 

Я бы написал в поддержку mail.ru, но они не публикуют контактов.

 

И самое главное, эта проблема с требованием авторизоваться появилась ровно тогда, когда был обнаружен вирус. Раньше ничего подобного у меня не было. И еще я спросил другого игрока, требуется ли ему вводить логин/пароль время от времени, ответ был НЕТ. Т.е. потеря куки происходит только у меня.

CollectionLog-2018.02.08-23.41.zip

[Винт]

Похоже, что кука сбрасывается на кратный раз ее потребления. Ночь не обновлял страницу игры, утром обновлял и страницу с Моего Мира, и страницу с Игры@mail.ru. Первая нормально получила куку, обновилась, а вторая, сразу за первой, эту куку уже потеряла, затребовала авторизацию.

[regist]

Проблема не вирусная. Про переодичность спрашивал, так как есть подозреваю, что с чем-то конфликтует, например с вашим активатором. Если есть достачно опыта, то можете попробовать отследить с помощью Process Monitor.

 

 

 

Я бы написал в поддержку mail.ru, но они не публикуют контактов.

Попробуйте обратиться через эту форму https://games.mail.ru/feedback/

 

Ещё здесь нашёл

 

Сотрудничество с Mail.Ru Games Ventures gamesventures@corp.mail.ru

[Винт]

Вы уверены, что не вирусная? AVZ пишет о каких-то Hijack. Может быть зараза прошила себя в BIOS? Не знаю, что и подумать.

 

С каким активатором конфликтует? Игровой центр Mail.ru? Так ведь проблема присутствует даже когда Игровой центр не запущен. Запрашивает авторизацию даже после загрузки системы, когда другие приложения не запущены. Снова тот же путь: Мой Мир загружает страницу, авторизация не требуется, обновляю страницу https://warlords.mail.ru/- требуется авторизация, если теперь обновить страницу Мой Мир, то и тут потребуется авторизация.

 

Разве Process Monitor умеет отслеживать, кто удалил куки?

 

Я обратился в поддержку Игры@mail.ru через другую форму, но это бесполезное занятие. Проблема в авторизации вообще на mail.ru, а не только конкретно в играх.

[regist]

AVZ пишет о каких-то Hijack.

это нормально.

Может быть зараза прошила себя в BIOS?

нет.

С каким активатором конфликтует?

От виндоус, C:\Windows\AAct.exe

Но это было просто предположение, скорее всего ошибочное.

 

 

Запрашивает авторизацию даже после загрузки системы, когда другие приложения не запущены.

на всякий случай проверьте в безопасном режиме с поддержкой сети.

[Винт]

Мне тут еще ответили:

 

помимо антивируса еще должно стоять это 

https://ru.malwarebytes.com/

 

Что скажете?

[regist]

 

 

помимо антивируса еще должно стоять это

нет, не должно. Нормального антивируса вполне хватает. Если только самостоятельно не отключать антивирус при установке разных  репаков и т.д., в общем просто надо стараться придерживаться рекомендации после лечения.
И в последних версиях вроде исправили (сам не проверял, чисто по списку изменений утилиты), а раньше она с антивирусами конфликтовала.
+ Имеет очень большее кол-во ложных срабатываний. Так что слепо удалять всё, что она нашла нельзя.

[Винт]

 

 

C:\Windows\AAct.exe

 

Я всё же удалил эту штуку. И из реестра 3 записи о нем тоже удалил.

 

Не помогло. Проблема осталась.

 

Вот какая мысль не дает мне покоя. Первое требование авторизоваться совпало с появлением вируса на моем компьютере. Раньше этого требования не было и у других игроков оно не появляется, эта проблема только на моем компьютере. Может быть, какой-то троян или что-то шпионское всё же есть у меня?

[Винт]

Доброго времени суток!

 

После обновления Windows проблема исчезла.

 

Насколько я понимаю, обновление Windows перезаписало какой-то системный файл, который был изменен  после вирусной атаки Back Door и работал как троян.

 

Который не смогли обнаружить ваши программы.

 

Успехов!

Изменено 21 апреля, 2018 пользователем Винт

[regist]

ИМХО, скорее просто совпало обновление виндоус с тех. работами на Mail.ru (на другом форума на днях как раз наоборот встретил жалобу, что сейчас появилась проблема с авторизацией на mail.ru).

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Винт]

сейчас появилась проблема с авторизацией на mail.ru

 

Какого рода проблема? Приведите ссылку на тот форум.

 

То, что я описывал, не было массовым багом мэйл.ру. Это проявлялось только у меня, у моих знакомых не было описанной мною проблемы с потерей куки мэйл.ру.

 

Ваши программы не могли обнаружить троян, когда он был в системном файле, как же они обнаружат его теперь, когда этот файл перезаписан на новый от Майкрософт.