Перейти к содержанию
Правила раздела

Взломали почту, требуют перевод $ на биткоин кошелек

Farber

Автор Farber
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Farber

Farber

Опубликовано
Опубликовано (изменено)

Получил на свой почтовый ящик, письмо с этой же почты письмо, такого содержания :

 

От Кого: <farber88@post.ru> Тема: farber88@post.ru is hacked Дата: 16 Oct 2018 08:42:43 +0500 Кому: <farber88@post.ru> TextHeaders.gif
TextLetter.gif Hello!

My nickname in darknet is niel93.
I hacked this mailbox more than six months ago, 
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

If you don't belive me please check 'from address' in your header, you will see that I sent you an email from your mailbox.

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $530 is quite a fair price to destroy the dirt I created.

Send the above amount on my BTC wallet (bitcoin): 19D67Tgb3neJiTHd8pZDEBYmUn2qSjxEeB
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 50 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

 

В письме требует сумму примерно равной той что была на банковской карте, мог ли хакер получить данные моих банковских карт и контроль над счетами?

 

лог проверки Malwarebytes.txt

Изменено пользователем Farber
SQ

SQ

Опубликовано
Опубликовано

Порядок оформления запроса о помощи.

P.S. В последнее время многие получает схожие письма, важно не вести переговоры с злоумышлинниками, так как в большестве случаев это фэйк и рекомендуется пометить это письмо как спам. Также рекомедуется сменить пароль(на более сложный) на почту и убедиться в его настройках об отсутствие несанкционнированных переадресации.

SQ

SQ

Опубликовано
Опубликовано

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
- Подготовьте лог AdwCleaner и приложите его в теме.
SQ

SQ

Опубликовано
Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

SQ

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ

SQ

Опубликовано
Опубликовано

Сами ставили расширения в chrome?

CHR Extension: (Блокировщик…) - C:\Users\Farber\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2018-09-11]
CHR Extension: (Блокировщик…) - C:\Users\Farber\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2018-10-13]

Знаком ли драйвер от игры?

R2 aow_drv; C:\Games\TxGameAssistant\UI\2.0.5197.123\aow_drv_x64_ev.sys [772784 2018-05-04] (Tencent)
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
File: C:\Games\TxGameAssistant\UI\2.0.5197.123\aow_drv_x64_ev.sys
File: c:\users\farber\appdata\local\temp\teamviewer\TeamViewer_Service.exe
Zip: c:\users\farber\appdata\local\temp\teamviewer\TeamViewer_Service.exe;C:\Users\Farber\AppData\Local\Temp\reporter.exe;C:\Games\TxGameAssistant\UI\2.0.5197.123\aow_drv_x64_ev.sys
2017-12-24 15:51 - 2017-12-24 15:51 - 000000000 _____ () C:\Users\Farber\AppData\Local\{A9C907F0-F591-43F7-B3C8-F7BB9B4C0A18}
2018-01-07 23:31 - 2018-01-07 23:31 - 000000000 _____ () C:\Users\Farber\AppData\Local\{C9E89156-C2EC-42F6-858B-ADF8BC5043B8}
2018-01-07 23:30 - 2018-01-07 23:30 - 000000000 _____ () C:\Users\Farber\AppData\Local\{E91E0817-828B-48CC-A1C5-1DA40E35CDA0}
2018-03-26 12:42 - 2018-03-26 12:42 - 000000000 _____ () C:\Users\Farber\AppData\Local\{F5EC8700-02CD-42D2-9B51-4BAD8B4D9A73}
File: C:\Users\Farber\AppData\Local\Temp\reporter.exe
File: C:\Users\Farber\AppData\Local\Temp\downloader.exe
File: C:\Windows\AAct.exe
Task: {7D2BA129-B429-4487-B595-F38EE8ED76E8} - \OneDrive Standalone Update Task-S-1-5-21-3639068112-573485474-4000941501-1001 -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Farber\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [0]
AlternateDataStreams: C:\Users\Farber\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [0]
AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 


Уточните пожалуйста у Вас прямой доступ к интернету или через маршрутизатор? Если через маршрутизатор, могли бы уточнить пожалуйста производителя?

Farber

Farber

Опубликовано
  • Автор
Опубликовано (изменено)

1. Расширения Adblock ставил сам. - необходимо удалить ?

2. Да, драйвер от игры знаком, игра Arceage - не играл больше года

3. Доступ к интернету прямой, кабель в коммутатор и в компьютер. - провайдер билайн

 

файл карантина загрузил по ссылке

Fixlog.txt

Изменено пользователем Farber
SQ

SQ

Опубликовано
Опубликовано

1. Расширения Adblock ставил сам. - необходимо удалить ?

нет, просто уточняю

 

Ничего плохого в логах не замечено.

Farber

Farber

Опубликовано
  • Автор
Опубликовано

Возможно что письмо пришло с какого-то подменного адреса и взлома почты небыло ?

SQ

SQ

Опубликовано
Опубликовано

Скорее всего взлома и не было, проверьте также в настройках если нет несанкционированных переадресации писем.

Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • mkd
      Как они узнают, что вы искали в интернете?
      Автор mkd
      Друзья, привет! Заранее извиняюсь за возможный оффтоп... но на других ресурсах не смог найти информацию.   Меня, как и всех мучают телефонные мошенники и спамеры... Недавно пришлось установить софт (блокировщики звонков Яндекс+Тинькофф), стало лучше. Но вопрос не в этом.   Меня пугают, что звонящие знают слишком много обо мне: имя, телефон, банк которым пользуюсь и даже что я недавно искал в интернете. Т.е., к примеру, искал строителей - чере некоторое время несколько звонков по этой теме. Спрашиваю: "Откуда у вас этот номер?". Ответ: "Ну, наверно, вы оставили заявку на нашем сайте". Но я ничего не оставляю. И такое часто по разным товарам и услугам (разные сайты, разные сферы).  В браузере стоит AdGuard и некоторые другие приложения, которые блокируют всплывающие окна, автозаполнения и т.д. На винде в разное время стояли разные связки "антивирус+фаервол". Сейчас стоит только Касперский. Винду за эти годы несколько раз менял и компы менял...   Тем не менее, в последнее время я чувствую себя не обычным пользователем интернета, а какой-то мишенью, у которой на роже написаны все паспортные данные. И ещё пугает тенденция. Ещё несколько лет назад были холодные звонки "наобум" типа "возьмите кредит на выгодных условиях". Это понятно, в инет утекла база со связкой "имя+телефон". А сейчас уже связки "имя+номер+ip+поисковые запросы+банки". Блин, как так?? Как они узнают всё это?? Это просто жутко!! Что будет ещё через несколько лет??   При этом, я обычно стараюсь не публиковать ничего о себе, не писать личного на форумах и т.д. У меня есть закрытая страница Вконтакте, но без фото, без номера, без почты и её не обновляю уже 15 лет. Да, мне иногда приходится пользоваться сайтами с объявлениями типа Циан, Авито и т.д. Но это у всех так.   Народ, кто-нибудь шарит в этой теме? Как они узнают всё про человека? Как сайты узнают твоё имя и номер телефона? Что это за цифровой след такой? Как оставаться анонимным в интернете?   Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • PetyaKroos
      украли аккаунт дискорд,телеграм,стим
      Автор PetyaKroos
      Недавно за неделю взломали сразу три аккаунта
      один в дискорде,один в телеграме,один в стиме
      Зашли в телеграм и рассылали + удаляли что хотели - кодов нигде не получал для авторизации
      Зашли в дискород и отправляли инвайты в группы и приложения
      Зашли в стим и продавали/покупали вещи - перелив средств

      я все везде уже поменял, но не знаю в чем была причина взлома,вдруг компьютер еще уязвим
      логи снизу
      CollectionLog-2025.05.30-18.13.zip
    • Hikobana
      Взлом почты, телеграмма, Steam
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • ВладиславFox
      KSMG как установить (а точнее интегрировать) с уже работающей почтой, на одном сервере, без виртуалок.
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
    • flaber19
      Невероятный угон телеграма
      Автор flaber19
      Доброго времени суток!
      Ситуация следующая: Была переписка в tg desktop под windows с мошенником, мошенник прислал ссылку на, якобы, «билеты в театр», муляж кассира.ру. Ссылка была открыта в браузере google chrome, никаких действий на сайте не производилось, т.к. было понятно, что сайт поддельный. И он благополучно был закрыт. Далее, мошенник кинул меня в ЧС, а спустя пару минут вылетели сессии с телефона (iPhone 15 pro на iOS 18.3.2) и компьютера (tg desktop), срочно был выполнен мною успешный вход с телефона и поменян облачный пароль.
      Это всё происходило при работающем касперском. Ноль реакции, хотя при переходе по сайтам, иногда ранее останавливал загрузку .js скрипта. Последующее сканирование несколькими антивирусами, включая использования live cd не показало никаких угроз.
      Вопрос: как это технически возможно? браузер получил доступ к файлам ОС и подменил файлы телеграм? Ведь никакие коды авторизации не вводились. В авторизированных устройствах телеграма не было посторонних устройств. Как-будто был перехвачен токен текущей сессии на ПК.
      У друга ситуация 1 в 1 с той же ссылкой, только «увод» активных сессий произошёл после перехода по ссылке и ПОСЛЕ совершенных манипуляций: полного удаления tg desktop, браузера, с которого была открыта ссылка (тоже google chrome), и полной проверки на вирусы. Kaspersky Premium с включенным расширением не отреагировал на переход на сайт.
      Тех. Информация:
      Версия telegram desktop: v 5.12.3
      Версия ОС: windows 11 корпоративная 24H2, сборка: 26100.3476
      Пакет интерфейса компонентов Windows 1000.26100.54.0
      Версия google chrome x64: 134.0.6998.118
      Kaspersky free с последними обновлениями баз
       
      P.S.: жаль, AVZ выполнил уже после удаления tg desktop и хрома((
       
      CollectionLog-2025.03.21-19.58.zip
×
×
  • Создать...