Перейти к содержанию

Взломали почту. Шантажируют


Рекомендуемые сообщения

Знакома ли Вам следующая настройка?

IFEO\launcher.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\steam.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\winzip64.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\wzbgtools.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    CHR StartupUrls: Default -> "","hxxp://webalter.net","hxxp://mail.ru/cnt/7993/","hxxp://mysearch.sweetpacks.com/?barid=1605756673469801130&src=10&crg=&ppd=1434,122991,20uQ2j4wy5CR33ys1qW4CU1wWeQd000.,,,,sweet-player,,,www.sweetplayer.com&st=23&i=48&did=11034","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://mail.ru/cnt/10445?gp=newcustom15","hxxp://mail.ru/cnt/10445?gp=820325","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=802851"
    File: C:\WINDOWS\System32\drivers\kbfiltr.sys
    2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\Арсен Патурян\AppData\Roaming\dIXyqImoukYea.exe
    2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\Арсен Патурян\AppData\Roaming\IEKPIa.exe
    AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
    FirewallRules: [{E5EA1F8F-4CE4-45AE-AA1D-E971C1B2ADEC}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{F76B7F70-77B9-4E92-9467-EC4758836A1D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{102381D2-0F57-44A2-BE31-6330168EBC40}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{94BC2F97-7235-4416-B40F-E5AFA8D8CF50}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{0C3A215D-E855-4AA1-A79D-C03302B636FD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{FA6FF7AB-96C9-41B9-899A-3EAE1D64A649}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{0BD510E1-F1B7-4262-950C-FA1BB30CCCF6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{4F8F51C3-F8BD-438B-A96B-18CCC9FAD227}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{8C7853DD-2F6C-4939-8421-95EE803F1DFE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{84607CDD-B4E0-4F6D-94FD-02BC3534740A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{124CF625-E63C-425E-ADE2-9883BE6D04A2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{6688A07F-ACA1-4D6B-9230-FA18952D6893}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{1E9D6630-FE69-4D73-A445-29F7FA6B61C0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{9534A9D1-BA92-4161-BD35-E362248B46C3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{2443869B-3189-4721-8D33-806ADF98A9FF}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{A1E5A174-E2E1-4478-B8A9-266709D56AA4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{37A8D308-EAF3-4EB9-AF2C-C493B7885C83}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{BD28D4A5-6D83-425A-84E3-6C70EFD0C925}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{D53625A1-9CA0-4C71-9C7D-47CDC44D79D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{9C2E9615-EDD9-4873-A30A-6AF1CACE8A45}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{C4E69545-10B1-445E-87B2-48196E4434A8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{1A46A13E-DB52-4855-A424-77843D3E05CA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{D96C0467-14A0-464D-9DC8-61C2B207258F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{9159CBC8-20DE-443B-837B-1E139809463D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{8F2FFACA-EB61-472E-8280-BAB5C7131345}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{B5A94EA0-1849-4C5D-B167-28D5A44409F0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{AD27694F-B3A9-4CE2-87A3-90B86DECA640}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{E62CFFD8-9DD8-49D1-A6F9-291015B2C5A7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{B8297FF4-D511-4814-A1E9-FD5539185855}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{009153DC-7282-405A-99F3-BEA05A18557B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{AB0F591F-A8EF-4702-A267-DEED58F00F9E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{D5BCB2D5-144E-4DB1-A111-5FEE38168BEB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{9ED2C1AB-B03F-4E23-AF39-E068CDAA8B43}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{881F42CF-7939-4518-92FA-CD0BA5F004B4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{12C0F146-F551-41C2-9B37-441A2FB5F476}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{C72D31B0-ABF9-44ED-853F-499F9FA47D2D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{6F779616-07E6-4148-B24E-E21B192DC8D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{F15E9A68-A4D2-46EF-9D9F-0FF380B1B52D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{F55ED7E9-D43B-44B1-A781-C7ABFF5D3B71}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{429C2740-F38D-4182-8435-B98249281434}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{0BC7A33B-FFA2-47B3-B485-F328F63CFA3F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{2D592EA8-7FDB-475B-8E81-3A53A647C0AB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{C4FA8301-AA41-4590-9549-75C3D8EEF27A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{FD1974E2-19C6-458F-8E8D-57901A0AF17A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{173DE37F-96B5-44CA-8FBE-6D0B942A270E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{214652C2-888C-4A03-9623-FF7A878FA890}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{0D2B4E9D-63F7-4285-9B7D-0DBD4DF1CEFE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{02728321-FC7B-42AC-AF84-16E91A4783D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{3FBCD60E-373F-4508-88FD-7B881F3BDAA1}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{63AA1EA1-4CF4-4BDA-929B-5C644F559A1C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{D1D1C52C-3B41-4A28-B0A4-D018F7C0886C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{1FA252B2-C29B-41F4-91A7-A0DE5F152225}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{9F81DE9B-2D96-4C46-B81F-10AF04569E3A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{8578B581-D99C-4F38-BF4B-66C400D7E6D3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{650F25A0-2B1B-4245-B648-C6ADDB0D7811}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{68F63D20-B329-4E7D-AF5A-4B34318C2592}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{50C43628-6DB3-486F-A0EB-C766734F4D8B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{A0A314EC-D1D2-453F-A283-8911FC22C7CC}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{D5C71FEB-CCF4-4807-B6FE-1888DB71CB40}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{262347F1-F3AD-4F8E-80F5-F667409096A6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{0F2E757D-7DD7-4322-8232-F778A222F89E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{6F9196DB-C67C-496C-85E9-1F796A2CB86C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{F8C66AC8-EE7A-47F0-B7B1-81A54F723CDE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{FCBC3CDB-4840-444B-9BC2-F46195D1DD64}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{AE859D1C-7469-4C07-B2D1-D891348A20F9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{521226A0-DC17-447D-B221-FBA14AAD6DA2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{DDC6D604-9DF4-4B37-9ECD-F15A8A0E9A1E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{EA9BCBA8-BED6-46B2-8DA4-EF0CA2AB88DA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{8D321176-5172-45C4-9C98-CAE2427150EB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{38777E39-64A1-4597-BE9E-48318BC210C7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{67BFF664-D5CB-4E0A-A0EF-D8E90959CA00}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{D6D7AE50-5C52-4848-944E-BE8D121E1E91}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{9442CD33-8CEA-4844-B24B-4C3DA16080EE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{AFF7E66F-A3CF-48D2-A2E7-CB1DA0145A4F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{F0BB2A6B-FD83-4B69-B292-43A0C17C32DB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{3FE2EDD5-8714-4F0F-AFA9-73D9B9D9DE11}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{6A7D7948-3429-4C09-AF98-CDDF4226FE35}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    FirewallRules: [{3DEAE4CD-746E-405E-A519-71A13E6615C7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

ПРикрепил, но файл fixlist пропал после перезагрузки.

 

Настройка знакома, это антивирус аваст. Тот файл не знаком, но время создания идентично с временем установкой антивируса

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

По каким-то причинам включил некоторый список файлов в режим дебага. Касаемо этого что-то вам известно? Может эти приложения вызывали Bsod ранее?

Ссылка на сообщение
Поделиться на другие сайты

По каким-то причинам включил некоторый список файлов в режим дебага. Касаемо этого что-то вам известно? Может эти приложения вызывали Bsod ранее?

ничего не известно, если надо, могу удалить это

Ссылка на сообщение
Поделиться на другие сайты

Не нужно, просто уточняю. Если то, что указано в дебаггере вы не пользуетесь, то удалять не нужно.

В логах каких-либо признаков взлома не былоз замечено.

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

Ссылка на сообщение
Поделиться на другие сайты

А как выполнить этот скрипт, куда его вставлять?

В утилите AVZ. посмотрите пожалуйста пример в следующих инструкциях.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...