Мошенник обманным путем вынудил показать некий код в почте и запустить приложение маскированное. После чего заполучил доступ к моему ПК, угнал несколько аккаунтов, включая телеграм. Как мне без подключения к интернету обезопасить ПК? Не может ли человек повторно подключиться после этого? А к другим устройствам?
Решена Угнали доступ от компа и аккаунт телеграм
- Автор темы googlik
- Дата начала
Переводчик Google
- Сообщения
- 26,855
- Решения
- 29
- Реакции
- 14,343
Одновременно.
1 подговить логи
2 менять пароли, включая 2 фактор авторизации везде, где это доступно
От чего пароль в почте был?
1 подговить логи
2 менять пароли, включая 2 фактор авторизации везде, где это доступно
От чего пароль в почте был?
Неизвестно, но вк был логин через AER-appОдновременно.
1 подговить логи
2 менять пароли, включая 2 фактор авторизации везде, где это доступно
От чего пароль в почте был?
Да. Все эти папки мне известны.
- Сообщения
- 17,700
- Решения
- 5
- Реакции
- 3,833
Сделайте дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 17,700
- Решения
- 5
- Реакции
- 3,833
Сделаем некоторую очистку мусорных записей.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-1240160061-378042733-3106495407-1001\...\Policies\Explorer: [HideSCAVolume] 1 HKU\S-1-5-21-1240160061-378042733-3106495407-1001\...\MountPoints2: {15f8510a-a442-11ef-bb31-e0d55e40940a} - "E:\setup.exe" HKU\S-1-5-21-1240160061-378042733-3106495407-1004\...\Policies\Explorer: [HideSCAVolume] 1 GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION Task: {C39F384E-7F7E-4C3F-8DB0-B4BD1BAA1F9E} - System32\Tasks\MacType_SC => C:\Program Files\MacType\MacTray.exe (No File) Task: {F19B04ED-D7DC-4EF7-BCCC-ED5665ADA50D} - System32\Tasks\klcp_update => "C:\Users\vovan\Desktop\TOOLS\Tools\CodecTweakTool.exe" /verysilent /update /freq=30 (No File) Task: {718198A9-B2D6-4831-A5C8-E2E2E355F525} - System32\Tasks\Seelen\Seelen-UI => C:\Program Files\Seelen\Seelen UI\seelen-ui.exe --silent (No File) CustomCLSID: HKU\S-1-5-21-1240160061-378042733-3106495407-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> - => No File ContextMenuHandlers4: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Users\vovan\Desktop\TOOLS\RecuvaShell64.dll -> No File ContextMenuHandlers6: [RecuvaShellExt] -> {435E5DF5-2510-463C-B223-BDA47006D002} => C:\Users\vovan\Desktop\TOOLS\RecuvaShell64.dll -> No File HKU\S-1-5-21-1240160061-378042733-3106495407-1001\Software\Classes\regfile: <==== ATTENTION HKU\S-1-5-21-1240160061-378042733-3106495407-1001\Software\Classes\.reg: => <==== ATTENTION HKU\S-1-5-21-1240160061-378042733-3106495407-1001\Software\Classes\.bat: => <==== ATTENTION HKU\S-1-5-21-1240160061-378042733-3106495407-1001\Software\Classes\.cmd: => <==== ATTENTION FirewallRules: [{70AF7CFE-3A7D-4230-9747-EADF54B23AB3}] => (Allow) C:\Users\vovan\AppData\Local\Temp\MicrosoftEdgeDownloads\df318ad0-74f9-4c8f-85ac-b76cb6b5812f\AnyDesk.exe => No File FirewallRules: [{F8626B4B-7E9F-4AC7-8893-FA8CE022AD6A}] => (Allow) C:\Users\vovan\AppData\Local\Temp\MicrosoftEdgeDownloads\df318ad0-74f9-4c8f-85ac-b76cb6b5812f\AnyDesk.exe => No File FirewallRules: [{E26FCD08-FEDF-4F5B-9A8E-86AE1069D3D6}] => (Allow) C:\Users\vovan\AppData\Local\Temp\MicrosoftEdgeDownloads\df318ad0-74f9-4c8f-85ac-b76cb6b5812f\AnyDesk.exe => No File FirewallRules: [{76E71731-8C93-45DB-97B3-C3BA4BF388D1}] => (Allow) C:\Users\vovan\AppData\Local\Temp\MicrosoftEdgeDownloads\df318ad0-74f9-4c8f-85ac-b76cb6b5812f\AnyDesk.exe => No File FirewallRules: [{F63B1EA0-0949-4539-A5CC-C17CB50FA3BE}] => (Allow) C:\Users\vovan\AppData\Local\Temp\MicrosoftEdgeDownloads\df318ad0-74f9-4c8f-85ac-b76cb6b5812f\AnyDesk.exe => No File FirewallRules: [{951F390D-9EEA-4160-8B9F-64D6190E1D30}] => (Allow) C:\Users\vovan\AppData\Local\Temp\MicrosoftEdgeDownloads\df318ad0-74f9-4c8f-85ac-b76cb6b5812f\AnyDesk.exe => No File EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 17,700
- Решения
- 5
- Реакции
- 3,833
Сделайте сброс настроек браузера Edge.
Остальные детекты на обход блокировок.
Такой лог соберите:
Остальные детекты на обход блокировок.
Такой лог соберите:
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 17,700
- Решения
- 5
- Реакции
- 3,833
По возможности исправьте:
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Так ли страшен контроль учетных записей (UAC)?
--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Notepad++ (64-bit x64) v.8.7.4 Внимание! Скачать обновления
PuTTY release 0.82 (64-bit) v.0.82.0.0 Внимание! Скачать обновления
BCUninstaller v.5.8.3.0 Внимание! Скачать обновления
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Paint.NET v.5.1.7 Внимание! Скачать обновления
Discord v.1.0.9059 Внимание! Скачать обновления
qBittorrent v.5.0.5 Внимание! Скачать обновления
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
Winaero Tweaker v.1.63.0.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Если вы подключены к сети через роутер, это ещё снижает риск удалённого подключения.
Какие-либо ещё подозрения/сомнения остались?
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Так ли страшен контроль учетных записей (UAC)?
--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Notepad++ (64-bit x64) v.8.7.4 Внимание! Скачать обновления
PuTTY release 0.82 (64-bit) v.0.82.0.0 Внимание! Скачать обновления
BCUninstaller v.5.8.3.0 Внимание! Скачать обновления
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Paint.NET v.5.1.7 Внимание! Скачать обновления
Discord v.1.0.9059 Внимание! Скачать обновления
qBittorrent v.5.0.5 Внимание! Скачать обновления
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
Winaero Tweaker v.1.63.0.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Полагаю, это вы уже сделали.
Если вы подключены к сети через роутер, это ещё снижает риск удалённого подключения.
Какие-либо ещё подозрения/сомнения остались?
Злоумышленник утверждал что имеет удаленный доступ к ПК через RAT, дополнительно хотелось бы убедиться, безопасно ли бэкапить файлы и переустанавливать ОС. Также мог ли он иметь доступ к другим устройствам в сети и стоит ли сбрасывать внешний ipv4
- Сообщения
- 17,700
- Решения
- 5
- Реакции
- 3,833
Активного заражения в системе не было, как и не было следов Remote Access Tool. А вот подозрение на кражу паролей было замечено (в логе KVRT):
Почему я и посоветовал сделать сброс настроек Edge.
Нужно смотреть логи тех устройств. Если это ПК, то создавайте для каждого отдельную тему во избежание путаницы.
Файлы безопасно бэкапить, если это данные - документы, фото, видео и пр., а не программы (и всевозможные ломалки, креки, патчи и т.д.)
У вас платный внешний IP адрес?
- Сообщения
- 17,700
- Решения
- 5
- Реакции
- 3,833
Судя по логу, вы выбрали "Пропустить", а не удалить.
Очистка браузера Edge должна была справиться, но для верности можете ещё раз просканировать KVRT.
Сделайте дополнительно проверку антивирусом другого вендора - CureIt.