Перейти к содержанию
Правила раздела

Нет доступа к банку

Sandynist

От Sandynist
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandynist Гигант мысли

Sandynist

Опубликовано
Опубликовано

Добрый день!

 

Для очистки совести сделал логи, а то мало ли чего. Думаем вывихнув мозг про этот банк, а выяснится, что какая-либо хитрая зверушка поменяла настройки. Логи приложил.

 

CollectionLog-2018.07.03-19.58.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам, настройка недоверенных сертификатов?

O7 - Policy: [Untrusted Certificate] 02C2D931062D7B1DC2A5C7F5F0685064081FB221 - DSDTestProvider
O7 - Policy: [Untrusted Certificate] 08E4987249BC450748A4A78133CBF041A3510033 - www.live.fi
O7 - Policy: [Untrusted Certificate] 3EB44E5FFE6DC72DED703E99902722DB38FFD1CB - D-LINK CORPORATION
O7 - Policy: [Untrusted Certificate] 4822824ECE7ED1450C039AA077DC1F8AE3489BBF - NIC Certifying Authority
O7 - Policy: [Untrusted Certificate] 7311E77EC400109D6A5326D8F6696204FD59AA3B - Alpha Networks Inc.
O7 - Policy: [Untrusted Certificate] 8B2E65A5DA17FCCCBCDE7EF87B0C0ED5D0701F9F - *.xboxlive.com
O7 - Policy: [Untrusted Certificate] 915A478DB939925DA8D9AEA12D8BBA140D26599C - KEEBOX, INC
O7 - Policy: [Untrusted Certificate] 98A04E4163357790C4A79E6D713FF0AF51FE6927 - eDellRoot
O7 - Policy: [Untrusted Certificate] C6796490CDEEAAB31AED798752ECD003E6866CB2 - NIC CA 2011
O7 - Policy: [Untrusted Certificate] D2DBF71823B2B8E78F5958096150BFCB97CC388A - NIC CA 2014
O7 - Policy: [Untrusted Certificate] DB5042ED256FF426867B332887ECCE2D95E79614 - TRENDnet, Inc.
O7 - Policy: [Untrusted Certificate] E1F3591E769865C4E447ACC37EAFC9E2BFE4C576 - MCSHOLDING TEST
O7 - Policy: [Untrusted Certificate] Fix all items from the log



HiJackThis профиксить

R3 - HKCU\..\URLSearchHooks: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5668631E-B34B-460D-9E91-CFB987C20B26} [SuggestionsURL_JSON] = http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms} - Ask Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5668631E-B34B-460D-9E91-CFB987C20B26} [URL] = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=kw&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYKZ&apn_uid=9c803b14-9d30-463d-8a81-53dfa0acc3ee&apn_sauid=26760F8F-451D-4502-9430-E893A9003D9A - Ask Search
O2 - HKLM\..\BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - HKLM\..\BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Windows\Domino.exe', '');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Это от вебкамеры от предыдущей модуль, которую я не использую уже.

OK, взял просто в карантин, чтобы убедиться в легитимности. Если уверены в легитимности, то просто выполните остальные рекомендации. И пожалуйста ответьте на вопрос касаемо сертификатов.
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

 

 


Знакома ли Вам, настройка недоверенных сертификатов?

 

А что там не так? Я туда специально не лез. Ставил корневые сертификаты отсюда: http://pki.gov.kz/index.php/ru/


Это был единственный случай, когда требовалось настроить сертификаты. сейчас на всякий пожарный заново их скачал, установил, ничего не изменилось.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Сообщите, что с проблемой?

 

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
File: C:\Users\Администратор\AppData\Roaming\NCALayer\NCALayer.exe
File: C:\Program Files\KNP Plugin\bin\knpPluginLogonTask.bat
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-619429170-2572843794-1445462572-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF HKLM\...\Firefox\Extensions: [{6904342A-8307-11DF-A508-4AE2DFD72085}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa => not found
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext => not found
FF HKU\S-1-5-21-619429170-2572843794-1445462572-500\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Администратор\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Администратор\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
CHR HKU\S-1-5-21-619429170-2572843794-1445462572-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
File: C:\Program Files\ce91d926.tmp
File: C:\ProgramData\Setting.dat
File: C:\ProgramData\SUMQU0C1-FE20-APII-YE7M-BEDSDWMY5R6A.dat
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.135\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.33.6\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.23.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.30.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.31.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.145\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.123\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Temp\mcse32_00.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.153\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.33.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.24.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.149\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.22.3\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.21.165\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.32.8\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.25.11\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.22.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-619429170-2572843794-1445462572-500_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Google\Update\1.3.24.7\psuser.dll => No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Temp\mcse32_00.dll -> No File
ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
ContextMenuHandlers3: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> No File
ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => C:\ProgramData\MEGAsync\ShellExtX32.dll -> No File
ContextMenuHandlers5: [DreamScene] -> {BE800AEB-A440-4B63-94CD-AA6B43647DF9} => %SystemRoot%\System32\DreamScene.dll -> No File
ContextMenuHandlers6: [UnlockerShellExtension] -> {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:F8D65F32 [336]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:F8D65F32 [336]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

     

Уточните, если до установки следующего приложения, проблема воспроизводилась?

 

Adblock Plus для IE (32-разрядная версия) (HKLM\...\{EA9DB855-4027-4735-8EFF-4E8E89174C30}) (Version: 1.3 - Eyeo GmbH)
Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

Готово. Прикрепил отчёт.

 

Fixlog.txt

 

 

Уточните, если до установки следующего приложения, проблема воспроизводилась?

 

 

 

Я его удалил, это не дало никакого эффекта. На текущий момент та же самая картина — сайт работает только через VPN.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

По каким-то причинам вместо кириллице, в логах иероглифы, могли бы сохранить файл с поддержкой unicode.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
File: C:\Users\Администратор\AppData\Roaming\NCALayer\NCALayer.exe
FF Plugin HKU\S-1-5-21-619429170-2572843794-1445462572-500: @acestream.net/acestreamplugin,version=3.1.28 -> C:\Users\Администратор\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
Zip: C:\Program Files\ce91d926.tmp
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.



После выполнения на рабоем столе появиться карантин вида <date>.zip, загрузите этот архив через данную форму
 

Ссылка на комментарий
Поделиться на другие сайты
Sandynist Гигант мысли

Sandynist

Опубликовано
  • Автор
Опубликовано

После выполнения на рабоем столе появиться карантин вида .zip, загрузите этот архив через данную форму

 

 

Там в файле текст

 

 

YipC7kEWHq+NxT6wJIwiMcL8BWtQhMOEHe5tvjeJ/Wc=

 

Остался случайно после установки какой-то программы.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Friend
      Каким банком пользуетесь Вы?
      От Friend
      В нашей стране очень много банков.
      Каким банком пользуетесь Вы? Почему решили выбрать его? Есть кэшбэк за покупки при оплате картой банка, туда начисляют зарплату, там хорошие проценты, банкоматы банка есть почти везде, хакеры еще ни разу не взломали данный банк, бесплатное обслуживание карты и т.п. ?
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • KL FC Bot
      Фейковые приложения российских банков в App Store | Блог Касперского
      От KL FC Bot
      За последние несколько лет приложения практически всех российских банков исчезли из магазина App Store. Нет, сами приложения в порядке: получают обновления, новые фичи, ими по-прежнему можно пользоваться. Проблемы только с установкой: теперь поставить приложения отечественных банков на смартфон зачастую можно только с помощью специалистов этих самых банков.
      Свято место пусто не бывает, и в App Store завелись мошеннические приложения онлайн-банкинга. Только в ноябре 2024 года наши эксперты обнаружили несколько поддельных приложений, которые якобы позволяют клиентам в России вновь пользоваться услугами онлайн-банкинга. На момент публикации эти приложения уже были удалены из App Store, но мошенники легко могут выпустить новые аналогичные аппы. Как работают приложения-подделки и как их распознать — читайте в этом материале.
      App Store — не панацея от вредоносных приложений
      Официальный магазин приложений Apple принято считать практически неуязвимым. В отличие от Google Play, в него якобы не могут просочиться ни фальшивые приложения, ни вредоносное ПО. Это заблуждение: на самом деле в App Store пользователей подстерегают точно такие же опасности, как и в других магазинах. Да, возможно, в магазине Apple этих опасностей меньше, но они все еще есть. Так, в конце 2023 года мы посвятили большой пост теме фейковых инвестиционных приложений в App Store — прочитать его можно по ссылке, да и раньше не раз писали про поддельные приложения в App Store.
      Как мошенники просачиваются в официальный и, казалось бы, защищенный магазин? Известны как минимум два способа:
      Скамеры создают приложения-подделки с платными функциями. Иконка, название, интерфейс и даже тексты могут быть практически такими же, как в оригинальном приложении. Единственное исключение — наличие какой-либо платной функции. Например, в случае с банковскими приложениями мошенники предлагают заплатить за доступ к личному кабинету — от 299 до 999 рублей в зависимости от периода подписки. После того как жертва заплатит, в приложении откроется легитимная страница для входа в личный кабинет веб-версии банка, доступ к которой на самом деле совершенно бесплатный. Мошенники подменяют контент в приложении после прохождения модерации Apple. Абсолютно каждое приложение в App Store, равно как и в других популярных магазинах приложений, должно пройти внутреннюю модерацию. Скамеры научились обходить эту проверку, предположительно, так: на этапе модерации в приложении отображается безобидный легитимный контент, а после одобрения приложения происходит подмена. Такой трюк возможен благодаря тому, что подобные приложения подгружают контент из Интернета как обычные HTML-страницы, и ничего не мешает скамерам отредактировать эти страницы уже после прохождения модерации. Архитектура iOS выстроена таким образом, что все приложения в ней изолированы от системы и пользовательских данных. По этой причине антивирус в традиционном его виде попросту нельзя создать — доступа к другим приложениям и их контенту он не получит. Зато можно заблокировать переход по фишинговым страницам вместе с Kaspersky для iOS — наше решение не даст вам открыть опасную страницу, фишинговый контент из поддельного приложения не загрузится, вместо него вы увидите соответствующее предупреждение защитного приложения.
       
      View the full article
    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
×
×
  • Создать...