Решена Взломали почту и требуют 500 зеленых.

Статус
В этой теме нельзя размещать новые ответы.

Shepardino

Новый пользователь
Сообщения
7
Реакции
0
Пришло сообщение следующего вида от МОЕГО же почтового ящика ко мне, причем почтовый ящик сам закинул это сообщение в спам
"Hello! My nickname in darknet is kik0k0.
This mailbox was hacked more than seven months ago,
through it, your operating system was infected with a virus (trojan) created by me and you have been monitored by myself for a long time.
You may not belive me, so please check 'from address' in your header, you will see that this email was sent from your very own mailbox. ([B][I][/B]@****[/I].ru)
Even if you changed the password after that - it does not matter, my system intercepted all the caching data on your pc
and automatically saved access for me.
I have access to all your accounts, social networks, email, browsing history.
Besides that, I have the data of all your contacts, files from your computer, photos and videos.
I was most shocked by the intimate content sites that you occasionally visit.
I tell you, you have a very wild imagination!
I took screenshot through the camera of your device during your pastime and entertainment there and i managed to synchronize them with what you are watching.
Oh my god! You are so funny and excited!
I don't think that you will want all your contacts to get these files, right?
If you are of the same opinion, then I think that $500 is quite a fair price to destroy the dirt I created.
Just send the above amount on my BTC wallet (bitcoin): 321mn7uyfzoct3A7Rh7yuaF7XCYf3EmMzM
When the above amount is received, I definitely guarantee that the collected data will be deleted, I do not need it.
Otherwise, these files and history of visiting sites will be sent to all your contacts from your device.
After reading this letter, you will have 48 hours!
I'll receive an automatic notification that you have seen the letter.
I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!"

После получения данного сообщение скачал приложение Касперского "KVRT" и успешно удалил 3 вируса (трояна)
Как еще следует проверить ПК и следует ли менять пароли от Почты и других к нему привязанных акаунтов?
 

Вложения

  • CollectionLog-2019.03.10-13.27.zip
    84 KB · Просмотры: 5
Последнее редактирование модератором:
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме.

Логи задублировались или есть разница?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Теперь по вопросам.
Письмо от мошенников и доступа у них нет. Пример https://safezone.cc/threads/vzlom-pochty-ili-pornoshantazh-na-864.32404/

следует ли менять пароли от Почты и других к нему привязанных акаунтов?
Сменить пароли дело хорошее + включите двухфакторную авторизацию, если это возможно.
 
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме.

Логи задублировались или есть разница?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Теперь по вопросам.
Письмо от мошенников и доступа у них нет. Пример https://safezone.cc/threads/vzlom-pochty-ili-pornoshantazh-na-864.32404/


Сменить пароли дело хорошее + включите двухфакторную авторизацию, если это возможно.

Случайно продублировалась.
Интересно , а как это получилось что они отправили письмо с моего же ящика?
 

Вложения

  • Addition.txt
    74.3 KB · Просмотры: 1
  • FRST.txt
    64.2 KB · Просмотры: 1
  • Reports.rar
    1.6 KB · Просмотры: 1
Интересно , а как это получилось что они отправили письмо с моего же ящика?
Письмо подделка. Но всегда нужно исходить их худших предположений и сменить пароли.

Дочистим мусор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    HKU\S-1-5-21-976584315-2055543125-4104082966-1001\...\Policies\Explorer: [] 
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
    S3 Chanlaiwzheng; \??\C:\WINDOWS\system32\Chanlaiwzheng.sys [X]
    CustomCLSID: HKU\S-1-5-21-976584315-2055543125-4104082966-1001_Classes\CLSID\{4AC6DFE1-607B-45B2-B289-D7FBCD44169C}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2019\acad.exe /Automation => No File
    CustomCLSID: HKU\S-1-5-21-976584315-2055543125-4104082966-1001_Classes\CLSID\{74D0CE91-F931-4FAC-BEA9-EE32E43EAD37}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2019\acad.exe => No File
    CustomCLSID: HKU\S-1-5-21-976584315-2055543125-4104082966-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2019\ru-RU\acadficn.dll => No File
    ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
    AlternateDataStreams: C:\WINDOWS\Temp:$DATA [16]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [150]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [150]
    AlternateDataStreams: C:\Users\Игорь\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Игорь\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{9ADDC27E-0377-4A36-8586-D142DF282A3E}] => (Allow) C:\D\Steam\SteamApps\common\FarCry5\bin\ArcadeEditor64.exe No File
    FirewallRules: [{872E65E9-D74E-4E2E-81E1-75803935752B}] => (Allow) C:\D\Steam\SteamApps\common\FarCry5\bin\ArcadeEditor64.exe No File
    FirewallRules: [{82DE8C28-4D26-47EE-AB1F-220803EB05CE}] => (Allow) C:\D\Steam\SteamApps\common\Sid Meier's Civilization VI\LaunchPad\LaunchPad.exe No File
    FirewallRules: [{7CC59816-8DCE-4CAC-AD52-824A58C0CCD8}] => (Allow) C:\D\Steam\SteamApps\common\Sid Meier's Civilization VI\LaunchPad\LaunchPad.exe No File
    FirewallRules: [{619A727A-C838-402F-85FD-5761C35D914F}] => (Allow) C:\D\Steam\SteamApps\common\tbs2\win32\The Banner Saga 2.exe No File
    FirewallRules: [{4412B8E2-DBB6-4B3F-914A-6C8D2A4945F3}] => (Allow) C:\D\Steam\SteamApps\common\tbs2\win32\The Banner Saga 2.exe No File
    FirewallRules: [{D5BF3AD6-5D60-4249-8A3D-EDEC0FAF9A41}] => (Allow) C:\D\Steam\SteamApps\common\DmC Devil May Cry\Binaries\Win32\DMC-DevilMayCry.exe No File
    FirewallRules: [{3571E356-49AE-4297-A8D2-708088780982}] => (Allow) C:\D\Steam\SteamApps\common\DmC Devil May Cry\Binaries\Win32\DMC-DevilMayCry.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Письмо подделка. Но всегда нужно исходить их худших предположений и сменить пароли.

Дочистим мусор

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION
    HKU\S-1-5-21-976584315-2055543125-4104082966-1001\...\Policies\Explorer: []
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
    S3 Chanlaiwzheng; \??\C:\WINDOWS\system32\Chanlaiwzheng.sys [X]
    CustomCLSID: HKU\S-1-5-21-976584315-2055543125-4104082966-1001_Classes\CLSID\{4AC6DFE1-607B-45B2-B289-D7FBCD44169C}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2019\acad.exe /Automation => No File
    CustomCLSID: HKU\S-1-5-21-976584315-2055543125-4104082966-1001_Classes\CLSID\{74D0CE91-F931-4FAC-BEA9-EE32E43EAD37}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2019\acad.exe => No File
    CustomCLSID: HKU\S-1-5-21-976584315-2055543125-4104082966-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2019\ru-RU\acadficn.dll => No File
    ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
    AlternateDataStreams: C:\WINDOWS\Temp:$DATA [16]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [150]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [150]
    AlternateDataStreams: C:\Users\Игорь\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Игорь\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{9ADDC27E-0377-4A36-8586-D142DF282A3E}] => (Allow) C:\D\Steam\SteamApps\common\FarCry5\bin\ArcadeEditor64.exe No File
    FirewallRules: [{872E65E9-D74E-4E2E-81E1-75803935752B}] => (Allow) C:\D\Steam\SteamApps\common\FarCry5\bin\ArcadeEditor64.exe No File
    FirewallRules: [{82DE8C28-4D26-47EE-AB1F-220803EB05CE}] => (Allow) C:\D\Steam\SteamApps\common\Sid Meier's Civilization VI\LaunchPad\LaunchPad.exe No File
    FirewallRules: [{7CC59816-8DCE-4CAC-AD52-824A58C0CCD8}] => (Allow) C:\D\Steam\SteamApps\common\Sid Meier's Civilization VI\LaunchPad\LaunchPad.exe No File
    FirewallRules: [{619A727A-C838-402F-85FD-5761C35D914F}] => (Allow) C:\D\Steam\SteamApps\common\tbs2\win32\The Banner Saga 2.exe No File
    FirewallRules: [{4412B8E2-DBB6-4B3F-914A-6C8D2A4945F3}] => (Allow) C:\D\Steam\SteamApps\common\tbs2\win32\The Banner Saga 2.exe No File
    FirewallRules: [{D5BF3AD6-5D60-4249-8A3D-EDEC0FAF9A41}] => (Allow) C:\D\Steam\SteamApps\common\DmC Devil May Cry\Binaries\Win32\DMC-DevilMayCry.exe No File
    FirewallRules: [{3571E356-49AE-4297-A8D2-708088780982}] => (Allow) C:\D\Steam\SteamApps\common\DmC Devil May Cry\Binaries\Win32\DMC-DevilMayCry.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Последний месяц начал замечать еще большую загрузку ЦП , чем обычно, могло бы быть дело в тех же самых вирусах?
 

Вложения

  • Fixlog.txt
    6.6 KB · Просмотры: 1
После чистки KVRT нагрузка наблюдается?
 
Не сильно разбираюсь в нужных(ненужных) процессах
Тогда лучше не трогать, а то могут возникнуть проблемы в работе ОС. Понаблюдайте, если будет нагрузка продолжим диагностику.
 
Пока финальные рекомендации, не повредит

Подготовьте лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Пока финальные рекомендации, не повредит

Подготовьте лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

"Файл успешно загружен и поставлен в очередь на обработку, спасибо!"


SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 10.03.2019 17:56:06
Path starting: C:\Users\Игорь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Com_Shepard
VersionXML: 6.06is-07.03.2019
___

Windows 10(6.3.17134) (x64) Core Версия: 1803 Lang: Russian(0419)
Дата установки ОС: 21.05.2018 16:32:50
Статус лицензии: Windows(R), Core edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [921.7 Гб] Занято: [705.1 Гб] Свободно: [216.6 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.590.17134.0
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба веб-публикаций (W3SVC) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Avast Antivirus (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
Avast Antivirus (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.19.2.2364
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.70 (64-bit) v.5.70.0
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50918.0
NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126
Steam v.1.0.0.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.304
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45095 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iCloud v.6.2.2.39
iTunes v.12.6.1.25 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.15.008.20082 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.72.0.3626.121
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Элемент управления Windows Live Mesh ActiveX для удаленных подключений v.15.4.5722.2 Данная программа больше не поддерживается разработчиком.
------------------ [ AntivirusFirewallProcessServices ] -------------------
aswbIDSAgent (aswbIDSAgent) - Служба работает
C:\Program Files\AVAST Software\Avast\aswidsagent.exe v.19.2.4.1879
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.19.2.4186.465
AvastWscReporter (AvastWscReporter) - Служба остановлена
aswbIDSAgent (aswbIDSAgent) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.19.2.4186.0
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
AusLogics BoostSpeed Внимание! Подозрение на демо-версию антишпионской программы, программы-оптимизатора или вымогателя - scareware, badware или rogueware. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Auslogics Disk Defrag v.8.0.12.0 Внимание! Подозрение на демо-версию антишпионской программы, программы-оптимизатора или вымогателя - scareware, badware или rogueware. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 
По возможности исправьте найденное. По последнему блоку, если не используете, то деинсталлируйте.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу