Взломали почту. Шантажируют

[SQ]

Знакома ли Вам следующая настройка?

IFEO\launcher.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\steam.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\winzip64.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\wzbgtools.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  CHR StartupUrls: Default -> "","hxxp://webalter.net","hxxp://mail.ru/cnt/7993/","hxxp://mysearch.sweetpacks.com/?barid=1605756673469801130&src=10&crg=&ppd=1434,122991,20uQ2j4wy5CR33ys1qW4CU1wWeQd000.,,,,sweet-player,,,www.sweetplayer.com&st=23&i=48&did=11034","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://mail.ru/cnt/10445?gp=newcustom15","hxxp://mail.ru/cnt/10445?gp=820325","hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=802851"
  File: C:\WINDOWS\System32\drivers\kbfiltr.sys
  2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\Арсен Патурян\AppData\Roaming\dIXyqImoukYea.exe
  2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Users\Арсен Патурян\AppData\Roaming\IEKPIa.exe
  AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
  FirewallRules: [{E5EA1F8F-4CE4-45AE-AA1D-E971C1B2ADEC}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{F76B7F70-77B9-4E92-9467-EC4758836A1D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{102381D2-0F57-44A2-BE31-6330168EBC40}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{94BC2F97-7235-4416-B40F-E5AFA8D8CF50}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{0C3A215D-E855-4AA1-A79D-C03302B636FD}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{FA6FF7AB-96C9-41B9-899A-3EAE1D64A649}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{0BD510E1-F1B7-4262-950C-FA1BB30CCCF6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{4F8F51C3-F8BD-438B-A96B-18CCC9FAD227}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{8C7853DD-2F6C-4939-8421-95EE803F1DFE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{84607CDD-B4E0-4F6D-94FD-02BC3534740A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{124CF625-E63C-425E-ADE2-9883BE6D04A2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{6688A07F-ACA1-4D6B-9230-FA18952D6893}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{1E9D6630-FE69-4D73-A445-29F7FA6B61C0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{9534A9D1-BA92-4161-BD35-E362248B46C3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{2443869B-3189-4721-8D33-806ADF98A9FF}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{A1E5A174-E2E1-4478-B8A9-266709D56AA4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{37A8D308-EAF3-4EB9-AF2C-C493B7885C83}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{BD28D4A5-6D83-425A-84E3-6C70EFD0C925}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{D53625A1-9CA0-4C71-9C7D-47CDC44D79D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{9C2E9615-EDD9-4873-A30A-6AF1CACE8A45}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{C4E69545-10B1-445E-87B2-48196E4434A8}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{1A46A13E-DB52-4855-A424-77843D3E05CA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{D96C0467-14A0-464D-9DC8-61C2B207258F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{9159CBC8-20DE-443B-837B-1E139809463D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{8F2FFACA-EB61-472E-8280-BAB5C7131345}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{B5A94EA0-1849-4C5D-B167-28D5A44409F0}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{AD27694F-B3A9-4CE2-87A3-90B86DECA640}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{E62CFFD8-9DD8-49D1-A6F9-291015B2C5A7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{B8297FF4-D511-4814-A1E9-FD5539185855}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{009153DC-7282-405A-99F3-BEA05A18557B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{AB0F591F-A8EF-4702-A267-DEED58F00F9E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{D5BCB2D5-144E-4DB1-A111-5FEE38168BEB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{9ED2C1AB-B03F-4E23-AF39-E068CDAA8B43}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{881F42CF-7939-4518-92FA-CD0BA5F004B4}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{12C0F146-F551-41C2-9B37-441A2FB5F476}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{C72D31B0-ABF9-44ED-853F-499F9FA47D2D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{6F779616-07E6-4148-B24E-E21B192DC8D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{F15E9A68-A4D2-46EF-9D9F-0FF380B1B52D}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{F55ED7E9-D43B-44B1-A781-C7ABFF5D3B71}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{429C2740-F38D-4182-8435-B98249281434}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{0BC7A33B-FFA2-47B3-B485-F328F63CFA3F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{2D592EA8-7FDB-475B-8E81-3A53A647C0AB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{C4FA8301-AA41-4590-9549-75C3D8EEF27A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{FD1974E2-19C6-458F-8E8D-57901A0AF17A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{173DE37F-96B5-44CA-8FBE-6D0B942A270E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{214652C2-888C-4A03-9623-FF7A878FA890}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{0D2B4E9D-63F7-4285-9B7D-0DBD4DF1CEFE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{02728321-FC7B-42AC-AF84-16E91A4783D2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{3FBCD60E-373F-4508-88FD-7B881F3BDAA1}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{63AA1EA1-4CF4-4BDA-929B-5C644F559A1C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{D1D1C52C-3B41-4A28-B0A4-D018F7C0886C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{1FA252B2-C29B-41F4-91A7-A0DE5F152225}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{9F81DE9B-2D96-4C46-B81F-10AF04569E3A}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{8578B581-D99C-4F38-BF4B-66C400D7E6D3}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{650F25A0-2B1B-4245-B648-C6ADDB0D7811}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{68F63D20-B329-4E7D-AF5A-4B34318C2592}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{50C43628-6DB3-486F-A0EB-C766734F4D8B}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{A0A314EC-D1D2-453F-A283-8911FC22C7CC}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{D5C71FEB-CCF4-4807-B6FE-1888DB71CB40}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{262347F1-F3AD-4F8E-80F5-F667409096A6}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{0F2E757D-7DD7-4322-8232-F778A222F89E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{6F9196DB-C67C-496C-85E9-1F796A2CB86C}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{F8C66AC8-EE7A-47F0-B7B1-81A54F723CDE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{FCBC3CDB-4840-444B-9BC2-F46195D1DD64}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{AE859D1C-7469-4C07-B2D1-D891348A20F9}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{521226A0-DC17-447D-B221-FBA14AAD6DA2}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{DDC6D604-9DF4-4B37-9ECD-F15A8A0E9A1E}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{EA9BCBA8-BED6-46B2-8DA4-EF0CA2AB88DA}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{8D321176-5172-45C4-9C98-CAE2427150EB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{38777E39-64A1-4597-BE9E-48318BC210C7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{67BFF664-D5CB-4E0A-A0EF-D8E90959CA00}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{D6D7AE50-5C52-4848-944E-BE8D121E1E91}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{9442CD33-8CEA-4844-B24B-4C3DA16080EE}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{AFF7E66F-A3CF-48D2-A2E7-CB1DA0145A4F}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{F0BB2A6B-FD83-4B69-B292-43A0C17C32DB}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{3FE2EDD5-8714-4F0F-AFA9-73D9B9D9DE11}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{6A7D7948-3429-4C09-AF98-CDDF4226FE35}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  FirewallRules: [{3DEAE4CD-746E-405E-A519-71A13E6615C7}] => (Allow) C:\WINDOWS\SysWOW64\svchost.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[dimon1132@gmail.com]

ПРикрепил, но файл fixlist пропал после перезагрузки.

 

Настройка знакома, это антивирус аваст. Тот файл не знаком, но время создания идентично с временем установкой антивируса

Fixlog.txt

[SQ]

По каким-то причинам включил некоторый список файлов в режим дебага. Касаемо этого что-то вам известно? Может эти приложения вызывали Bsod ранее?

[dimon1132@gmail.com]

По каким-то причинам включил некоторый список файлов в режим дебага. Касаемо этого что-то вам известно? Может эти приложения вызывали Bsod ранее?

ничего не известно, если надо, могу удалить это

[SQ]

Не нужно, просто уточняю. Если то, что указано в дебаггере вы не пользуетесь, то удалять не нужно.

В логах каких-либо признаков взлома не былоз замечено.

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

[dimon1132@gmail.com]

А как выполнить этот скрипт, куда его вставлять?

[SQ]

А как выполнить этот скрипт, куда его вставлять?

В утилите AVZ. посмотрите пожалуйста пример в следующих инструкциях.

[dimon1132@gmail.com]

Cпасибо. уязвимостей не обнаружено 

[SQ]

Отлично, смените пароль на почту на новый. Желательно не использовать легкие пароли.

На этом все.

[regist]

@dimon1132@gmail.com, советую почитать: Взлом почты или порношантаж на $864.