[РЕШЕНО] Взломали почту.

4 февраля, 2020

На почту стали приходить спам и запросы на смену пароля от других аккаунтов наподобие стим.
Позже прислали сообщение:

Hello!

I've be͏en watching you for a few months now.

I am a hac͏ker who has access to your ope͏rating system.

You may not know me and you are probably wondering why you are getting this email?

The fa͏ct is that you were inf͏ected with malware through an adult site that you visited.

I also have full access to you͏r account

I se͏nt this message from your account limit@rikt.ru

Th͏e hacking was carrie͏d out using a hardware vulnerability through which you went online.

When you went online, my exploit downloade͏d my malicious code to your device.

Since then I have been foll͏owing you!

That is, I can see ab͏solutely everything that you do, view and dow͏nload your files and any data to yourself.

I also have access to the camera on your device, and I periodically take photos and videos with you.

At the moment, I have harves͏ted a solid dirt... on you...

My malware use͏s the driver, I up͏date its signatures every 4 hours so that your antivirus is silent.

I saved all your email and chats from your mes͏sengers. I also saved the entire history of the si͏tes you visit.

I note that it is useless to change the passwords. My malware update pass͏words from your accounts every times.

I took photos and vi͏deos of your most passio͏nate funs with adult content, and synchronized them in real time with the image of your camera.

I'm sure you don't want to show these files and visiting history to all yo͏ur contacts.

With one click of the mouse, I ca͏n send this video to all your emails and contacts.

If you w͏ant to prevent this, transfer the amount of $501 to my bitcoin address

(if you do not know how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC W͏allet) is: 1FW7YKWkaFqtTS6X9tBYy3cXNQvKSb1vSo

My system automati͏cally recognizes the transfer.

As soon as the specified am͏ount is received, all your data will be destroyed from my serv͏er, and the rootkit will be automatically removed from your system.

If I find th͏at you have shared this mes͏sage with someone else, the video will be immed͏iately distributed.

I advise you to remain prudent and not engage in nonse͏nse (all files on my server).

You have 48 hours (2 days) to send the pa͏yment.

P.S. If you need more ti͏me to pay, open your notepad on your device and write '48h more'. Only this way you can contact me.

I have a notice reading this letter, and the timer will wor͏k when you see this letter.

CollectionLog-2020.02.04-14.07.zip

4 февраля, 2020

Здравствуйте!

Спам - это отдельная история. Сначала чистим рекламное ПО.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG TuneUp

AVG Web TuneUp

Skype Click to Call

SpyHunter 5

Ярлыки

C:\Users\Sarot\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Conflict\ Stаr Соnfliсt Lаunсhеr.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diаblо III.lnk

C:\Users\Sarot\AppData\Local\Microsoft\Windows\GameExplorer\{0CB787B0-D1C9-4DA2-B522-D3ED7B86A941}\PlayTasks\0\Играть.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Radmin VPN\Radmin VPN.lnk

C:\Users\Sarot\AppData\Local\Microsoft\Windows\GameExplorer\{5354BF70-6766-4C7D-89E7-62FBFD8F3BFC}\PlayTasks\0\Играть.lnk

C:\Users\Sarot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\Калибр\Калибр.lnk

C:\Users\Sarot\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\Калибр\Удалить Калибр.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe', '');
 QuarantineFile('C:\Users\Sarot\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\Sarot\AppData\Local\Microsoft\Windows\system.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\sarot\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 DeleteSchedulerTask('chrome5');
 DeleteSchedulerTask('chrome5_logon');
 DeleteSchedulerTask('Kinoroom Browser');
 DeleteSchedulerTask('Microsoft\Windows\extsetup');
 DeleteSchedulerTask('SystemScript');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', '64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe', '64');
 DeleteFile('C:\Users\Sarot\AppData\Local\Microsoft\Extensions\extsetup.exe', '64');
 DeleteFile('C:\Users\Sarot\AppData\Local\Microsoft\Windows\system.exe', '64');
 DeleteFile('C:\Users\Sarot\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '64');
 DeleteService('netfilter2');
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteFileMask('c:\users\sarot\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

4 февраля, 2020

Письмо с ответом от newvirus так и не пришло.

ClearLNK-2020.02.04_14.47.27.log

CollectionLog-2020.02.04-16.24.zip

4 февраля, 2020

Продолжаем:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

4 февраля, 2020

Готово.

AdwCleanerS00.txt

4 февраля, 2020

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

4 февраля, 2020

Готово.

Addition.txt

FRST.txt

AdwCleanerC00.txt

Изменено 4 февраля, 2020 пользователем Sarotmzk

4 февраля, 2020

В отчёте FRST.txt отсутствует "шапка". Это вы самостоятельно редактировали? Если нет, переделайте, пожалуйста.

4 февраля, 2020

Исправил.

FRST.txt

4 февраля, 2020

переделайте, пожалуйста

Подразумевалось запустить ещё раз утилиту, собрать лог и прикрепить вновь созданный, ничего в нём не меняя.

4 февраля, 2020

Файл не трогал, сделал как вы и велели.

FRST.txt

4 февраля, 2020

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\...\MountPoints2: {027f3f68-4963-11e8-9537-fcaa14212e26} - F:\setup.exe
HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\...\MountPoints2: {03087b82-71ee-11e4-886b-fcaa14212e26} - F:\setup.exe
HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\...\MountPoints2: {313bf673-294e-11e8-9368-806e6f6e6963} - F:\setup.exe
HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\...\MountPoints2: {35b276c2-2943-11e8-86bd-fcaa14212e26} - F:\setup.exe
HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\...\MountPoints2: {3614fa1f-196d-11e8-92cd-fcaa14212e26} - F:\setup.exe
HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\...\MountPoints2: {c3716eac-6e57-11e8-8c1c-806e6f6e6963} - F:\setup.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AVG TuneUp.lnk [2019-12-09]
ShortcutTarget: AVG TuneUp.lnk -> C:\Program Files (x86)\AVG\AVG TuneUp\TuneupUI.exe (No File)
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-1193364995-1853989669-1390417431-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {13C1B0D2-2DDF-4B35-A529-D96B9CA50445} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
Task: {3A53B4F7-E5FF-43D6-A294-58D0C23768DA} - \APSnotifierPP1 -> No File <==== ATTENTION
Task: {44EDF6B5-C706-4036-9925-F7D0147C389F} - System32\Tasks\AVG TuneUp Update => C:\Program Files (x86)\AVG\AVG TuneUp\TUNEUpdate.exe
Task: {9024674A-7AD4-4B46-AACD-83401C6BCB0B} - \nethost task -> No File <==== ATTENTION
Task: {A4807709-829F-4217-8887-9BA6C8B287BD} - \YTDownloaderUpd -> No File <==== ATTENTION
Task: {BE4EA785-FC51-4531-BD55-BFAA60DA0F6D} - \APSnotifierPP3 -> No File <==== ATTENTION
Task: {DBA38BD9-1868-44EE-BC02-54B9FC4D0D06} - \APSnotifierPP2 -> No File <==== ATTENTION
Task: {F9703635-6CC1-420E-9B14-CD8D0342174F} - \YTDownloader -> No File <==== ATTENTION
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811021","hxxp://www.google.com/"
CHR NewTab: Default ->  Active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BA46A9376-59FF-4795-A78F-7A6BC3192CFC%7D&gp=789452
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
C:\Users\Sarot\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb
C:\Users\Sarot\AppData\Local\Google\Chrome\User Data\Default\Extensions\chfdnecihphmhljaaejmgoiahnihplgn
C:\Users\Sarot\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm
C:\Users\Sarot\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb]
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
S2 CleanupPSvc; "C:\Program Files (x86)\AVG\AVG TuneUp\TuneupSvc.exe" [X]
S1 netfilter2; system32\drivers\netfilter2.sys [X]
AlternateDataStreams: C:\Users\Sarot\AppData\Local\Temp:$DATA [16]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

4 февраля, 2020

Готово.

P.S. я был невнимателен.

Fixlog.txt

FRST.txt

Изменено 4 февраля, 2020 пользователем Sarotmzk

4 февраля, 2020

После этих процедур системе должно было полегчать. Верно?

По поводу спама: важные пароли не помешает сменить.

Указанное письмо просто удалите - https://safezone.cc/threads/vzlom-pochty-ili-pornoshantazh-na-864.32404/

4 февраля, 2020

Письмо приходило с моего email'a мне же.

[РЕШЕНО] Взломали почту.

Рекомендуемые сообщения

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Sarotmzk

Ссылка на комментарий

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum