Крадут пароли

30 марта, 2020

Здравствуйте, есть большое предположение, что на ПК крадут пароли (часто начали всплывать сообщения, что кто то пытается зайти в аккаунт, двухфакторка останавливает), но последней каплей стало, когда подруга у меня на Пк с яндекс что то заказывала, и потом списались 1.7к в Яндекс.Еде куда-то...помогите пожалуйста, стоит Avast Premium, но похоже он бесполезен.

Делал проверку через AVZ.. вот что пишет

скан.txt

Изменено 30 марта, 2020 пользователем lifes0ng

30 марта, 2020

Здравствуйте,

То, что вы приложили в качестве логов, нам бесполезен. Пожалуйста ознакомьтесь с правилами раздела и приложите логи согласно правилам.

«Порядок оформления запроса о помощи».

31 марта, 2020

Спасибо, выполнил.

DrWeb.CureIt нашел 149 угроз,

И сборщик логов прикладываю

CollectionLog-2020.03.31-13.20.zip

Изменено 31 марта, 2020 пользователем lifes0ng

31 марта, 2020

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.

(была ошибка, уже исправлена)

31 марта, 2020

По вашей ссылке и из правил пишет, что она устаревшая, прикладываю скрин.

Скачал с сайта : www.comss.ru

от 31.03.20

Второй скрин с программы этого сайта

Изменено 31 марта, 2020 пользователем lifes0ng

31 марта, 2020

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

31 марта, 2020

Сделал. Пожалуйста)

Addition.txt

FRST.txt

31 марта, 2020

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Ace Stream Media 3.1.1

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-438708031-3012453395-2644291273-1002\...\Run: [AceStream] => C:\Users\Zver\AppData\Roaming\ACEStream\engine\ace_engine.exe [27000 2016-05-19] (Innovative Digital Technologies -> )
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2019-06-10] <==== ATTENTION (Points to *.cfg file)
FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2019-06-10] <==== ATTENTION
CHR StartupUrls: Profile 1 -> "hxxps://mail.ru/cnt/10445?gp=811570","hxxps://www.google.com/"
C:\Users\Zver\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
AlternateDataStreams: C:\Users\Zver\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Zver\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{3F04779B-C45A-4174-9499-29D2FF7918FC}] => (Allow) E:\Program Files HDD\Driver Booster 5\DriverBooster.exe No File
FirewallRules: [{087F7E62-5678-464C-A1F7-36A33EC76582}] => (Allow) E:\Program Files HDD\Driver Booster 5\DBDownloader.exe No File
FirewallRules: [{9846D33C-90BE-4B38-A821-F6DBE00E4698}] => (Allow) E:\Program Files HDD\Driver Booster 5\DriverBooster.exe No File
FirewallRules: [{7D0C1C61-3EA2-48F2-BA4B-4B813E043649}] => (Allow) E:\Program Files HDD\Driver Booster 5\DBDownloader.exe No File
FirewallRules: [{6EB4776B-B0AE-4CE9-A47F-91A0082B1731}] => (Allow) E:\Program Files HDD\Driver Booster 5\DriverBooster.exe No File
FirewallRules: [{49971BFF-EC80-4F2F-AA4A-91B6F18F3165}] => (Allow) E:\Program Files HDD\Driver Booster 5\DBDownloader.exe No File
FirewallRules: [{EBDFDB8B-900A-4CDA-960D-40697B20BAF4}] => (Allow) E:\Program Files HDD\Driver Booster 5\DriverBooster.exe No File
FirewallRules: [{B08CCA17-7971-42EF-B3CD-244835E7EF19}] => (Allow) E:\Program Files HDD\Driver Booster 5\DBDownloader.exe No File
FirewallRules: [{89A51F91-0BFB-46C0-9B37-0D48278F59BF}] => (Allow) E:\Program Files HDD\Driver Booster 5\AutoUpdate.exe No File
FirewallRules: [{F3E1EA1D-BD28-4889-A22E-D5B363C64F77}] => (Allow) E:\Program Files HDD\Driver Booster 5\AutoUpdate.exe No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

31 марта, 2020

Сделал

Fixlog.txt

31 марта, 2020

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Смените важные пароли.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

31 марта, 2020

Сделал

SecurityCheck.txt

1 апреля, 2020

Есть какие то подозрения на трояны, вирусы ?

1 апреля, 2020

Нет, но исправить кое-что нужно:

------------------------------- [ Windows ] -------------------------------

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

NVIDIA GeForce Experience 3.20.1.57 v.3.20.1.57 Внимание! Скачать обновления

K-Lite Mega Codec Pack 14.9.4 v.14.9.4 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.71 v.5.71 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent 2.2.1 build 25302 v.2.2.1 build 25302 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent v.3.5.5.45271 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player ActiveX & Plugin 64-bit v.32.0.0.192 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Adobe Reader XI (11.0.19) - Russian v.11.0.19 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 68.2.0 ESR (x64 ru) v.68.2.0 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Driver Booster 5.5.1.844 v.5.5.1.844 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

1 апреля, 2020

Хорошо, сделаю.

А какие мысли, как могло такое произойти,

Чуть ли не каждый день писало, то пытались зайти в аккаунт VK, то пытались зайти в аккаунт Ubisoft.

Пароли кстати хранятся в Google аккаунте, его не могут взломать? Хотя и там вроде бы стоит авторизация через код на телефон..

4 апреля, 2020

Крадут пароли

Рекомендуемые сообщения

lifes0ng

SQ

lifes0ng

Sandor

lifes0ng

Sandor

lifes0ng

Sandor

lifes0ng

Sandor

lifes0ng

lifes0ng

Sandor

lifes0ng

lifes0ng

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum