-
Junior Member
- Вес репутации
- 39
Не могу зайти на Яндекс.Почта
Здравствуйте!
Сегодня я потерял доступ к своему электронному почтовому ящику Яндекса(равно как и доступ к Steam аккаунту). Старые пароли не подходят, процесс восстановления...Скажем так, в соответствующие инстанции я написал.
Беспокоит вот что - заходя на почту через вкладку(Mozilla Firefox, одна из избранных вкладок - Яндекс.Почта) браузер пытается установить безопасное соединение, и что-то странное происходит с адресной строкой, точнее - адрес всегда меняется интервалом в полсекунды.
https://mail.yandex.ua/neo2/?ncrnd=5823#inbox
https://mail.yandex.ua/neo2/?ncrnd=9967#inbox
https://mail.yandex.ua/neo2/?ncrnd=4586
https://mail.yandex.ua/neo2/?ncrnd=3446 и так далее.
Также меня беспокоит мысль о том, что у меня на компьютере может быть шпион, потому что я ума не приложу, как моя почта была взломана. Поможете?
Заранее спасибо.
hijackthis.log
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) HerobrineI, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте! mobogenie деинсталлируйте.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\HerobrineI\AppData\Roaming\AdobeUM\googleupd.exe','');
DeleteFile('C:\Users\HerobrineI\AppData\Roaming\AdobeUM\googleupd.exe','32');
DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
DeleteFileMask('C:\Users\HerobrineI\AppData\Roaming\Steam\Reversed', '*', true, ' ');
DeleteDirectory('C:\Users\HerobrineI\AppData\Roaming\Steam\Reversed');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bed565bc60ae69562f2f9f50703d7fbe&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bed565bc60ae69562f2f9f50703d7fbe&text={searchTerms}
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы нажмите на кнопку "Проверить"
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
- По окончанию сканирования нажмите на кнопку "Отчет".
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 39
Спасибо за ответ! Вот логи:
FixerBro_20141124.txt
hijackthis.log
virusinfo_syscheck.zip
Но надо отметить, что после удаления Mobogenie кое-что пошло не по плану, в частности, карантин пустой, и половины строчек в HiJackThis, которые нужно было пофиксить, не оказалось.(Были только те, которые начинались с R1). А так всё по плану, вернее, как прежде.
-
Удалите расширения в браузере:
Переводчик для FireFox - (C:\Users\HerobrineI\AppData\Roaming\Mozilla\Firef ox\Profiles\ppx429yl.default\Extensions\info4@etra nslator.pro) (13.06.2014)
Info Enhancer for Firefox - (C:\Users\HerobrineI\AppData\Roaming\Mozilla\Firef ox\Profiles\ppx429yl.default\Extensions\dldcbakcjl
[email protected]) (13.06.2014)
- Запустите повторно FixerBro by glax24.
Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
Код:
C:\Users\HerobrineI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe "http://rugooglee.ru" ]
C:\Users\HerobrineI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe "http://rugooglee.ru" - (Объект запуска не найден)]
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
- По окончанию удаления нажмите на кнопку "Отчет"
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 39
Удалил вручную, вот лог. Пока с почтой всё так же. Что дальше?
FixerBro_20141124 (3).txt
-
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
-
-
Junior Member
- Вес репутации
- 39
Просканировал, вот отчёт. Что дальше?
AdwCleaner[R0].txt
-
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:
***** [ Файлы / Папки ] *****
Папка Найдено : C:\Program Files (x86)\Common Files\AVG Secure Search
Папка Найдено : C:\ProgramData\AVG Secure Search
Папка Найдено : C:\ProgramData\AVG Security Toolbar
Папка Найдено : C:\Users\Max Shimko\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
***** [ Реестр ] *****
Значение Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [vProt]
Значение Найдено : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]
Ключ Найдено : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
-
-
Junior Member
- Вес репутации
- 39
Так, начну с хороших новостей - поддержка Яндекса помогла мне вернуть почтовый ящик. Осталось только с Valve разобраться, но я надеюсь, что и там меня поймут.
Насчёт удаления - выполнил, отчёт прилагается. Нужно ещё что-то предпринимать или угрозу можно считать нейтрализованной?
AdwCleaner[S0].txt
-
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
-
-
Junior Member
- Вес репутации
- 39
Так, просканировал, результаты прилагаются. Есть там что подозрительное?
SITLog.txt
SITLog_Info.txt
-
-
-
Junior Member
- Вес репутации
- 39
Слава Богу, обошлось - и Яндекс, и Вальвы ответили относительно быстро и помогли вернуть аккаунты, я уже обновил настройки безопасности. Я так понимаю, что на этом и закончим? Я больше ничего подозрительного не вижу...
Спасибо за помощь, кстати говоря! Хорошо, что есть такие люди, как вы здесь
-
По логам плохого не видно.
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-
-
Junior Member
- Вес репутации
- 39
Вот оно. Антивирус начал было возмущаться, но я его успокоил.
SecurityCheck.txt
-
Обновите:
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Java 7 Update 60 (64-bit) v.7.0.600 Внимание! Скачать обновления
^Скачайте jre-7u72-windows-x64.exe^
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления
^Скачайте jre-7u72-windows-i586.exe^
Adobe Reader XI (11.0.06) - Ukrainian v.11.0.06 Внимание! Скачать обновления
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 39
Вроде бы всё поставил, должно быть в порядке. Спасибо!