• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Взломали через vkontakte.ru Смешно и грустно, ей богу..

Статус
В этой теме нельзя размещать новые ответы.

_Vladimir

Активный пользователь
Сообщения
46
Симпатии
5
#1
Как я мог попасться на такую левую разводку - не спрашивайте - это было впервый и последний, надеюсь, раз!

Итак, история болезни.
все было до безумия банально:
зашел на посторонний сайт, скачал exe файл 26.6 Kb и запустил.
Зачем я это сделал - до сих пор не пойму. Зато приобрел опыт.

После того как я запустил этот файл, я совершенно не мог войти на любой(!) поисковик. Все поисковики отправляли меня на vkontakte.ru - где я дожен был выслать 20 гривен для того чтобы они обработали заявку.
Я так и сделал - после чего они выслали мне еще одно письмо - что мне совершенно не понравилось.
Покапавшись в инете - я пришел к тому что меня просто лоханули. Я изменил hosts файл - и все заработало.
Что меня беспокоит?
Беспокоит то что возможно на моем компе помимо изменения hosts файла - изменилось что-либо еще, то что будет воровать информацию.
Например на все сайты, на которых всегда была автомотическая аутентификация - исчезла после запуска этого exe файла. Я подозреваю (почти уверен!) что они своровали все мои пороли.
Я решил проверить комп программами(по отдельности конечно же): Kaspersty Remover Tools 2010 и Nod 32 - они ничего не нашли.
Посоветовали ComboFix - поставил - просканировал.. Имею сейчас log.txt
Ребят - надеюсь только на вас.

P.S. пароли свои я уже все меняю.
 

Вложения

  • 24.1 KB Просмотры: 13

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#2
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

_Vladimir

Активный пользователь
Сообщения
46
Симпатии
5
#3
Все сделал ровно так как и было сказано.
Вот что получил:
 

Вложения

  • 22.3 KB Просмотры: 5

akok

Команда форума
Администратор
Сообщения
14,997
Симпатии
12,266
#4
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

_Vladimir

Активный пользователь
Сообщения
46
Симпатии
5
#5
Добрый вечер друзья!
Прошу прощенья что я пропал на недельку и не предупредил - срочная коммандировка.
Проверил свой компьютер, и нашел один инфицированный обьект, что стало для меня большой неожиданностью.
Вот лог.:
 

Вложения

zirreX

Ассоциация VN
Сообщения
733
Симпатии
336
#6
Здравствуйте!
Объект удален, поводов для беспокойства нет.
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,164
#7
_Vladimir, Изменения какие-либо есть? Что происходит с вашей проблемы?:)
 

_Vladimir

Активный пользователь
Сообщения
46
Симпатии
5
#8
icotonev, спасибо вам БОЛЬШОЕ!!!!
Компьютер быстрее начал работать - а это ОЧЕНЬ хорошо, друзья поверьте, я безумно вам благодарен!!
1) Мне больше ничего проверять не нужно, как я понимаю?
2) Зачем вы оказываете помощь людям бесплатно?
Мне для себя интересно :)
 

_Vladimir

Активный пользователь
Сообщения
46
Симпатии
5
#10
"А почему бы и нет?"
ну.. я не возражаю :))

просто за эти услуги, другие люди берут большие деньги, и на этом построен большой бизнес - держа людей в постоянном состоянии страха и делая на этом состояния.
А вы вот просто так..
Честь вам и хвала!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу