Попытка взлома почты

Printable View

07.10.2014, 11:33
RaaaaaaaaR

Вложений: 3

Попытка взлома почты

Здравствуйте.Около месяца назад время от времени начал притормаживать ноутбук, В пуске некоторые пункты становятся прозрачными пока на них не наведешь курсор а некоторые не отображаются вовсе, при открытии папки левой кнопкой мыши выводиться ошибка, открываются только через правую кнопку, после выхода из системы проблемы как не бывало . Где-то неделю назад сидел в мире mail.ru вылезло сообщение (Замечено подозрительное действие смените пароль), сменил.Вчера сделал полную проверку Касперским нашел около 10-ти зараз там были Adware и трояны. Doctor web нашел восемь вирусов три из них были помечены (злоумышленник пытается получить ваши данные через легальную программу).Прошу помочь после лечения вроде бы ноут не зависает.Но все же остались сомнения.
07.10.2014, 11:34
Info_bot

Уважаемый(ая) [B]RaaaaaaaaR[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.10.2014, 13:26
regist

1) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

2) Media Get - деинсталируйте.

3) [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
07.10.2014, 13:27
RaaaaaaaaR

Пожалуйста кто-нибудь посмотрите мои логи
07.10.2014, 13:38
Vvvyg

Пожалуйста, прочтите ответ хелпера.
07.10.2014, 15:06
RaaaaaaaaR

[url]http://virusinfo.info/virusdetector/report.php?md5=437D073B1FC0A90589D727DC5C2BF09B[/url]

adwCleaner нашел 3 программы и написал(Снимите галочки с элементов которые удалять не нужно).Я пока ничего не делал.как здесь прикрепить отчет я
не знаю тут нет значка "вложения".
07.10.2014, 15:08
Vvvyg

Пенрейдите в расширенный режим (кнопка под окном ответа).
07.10.2014, 15:14
RaaaaaaaaR

Вложений: 1

Результат
07.10.2014, 15:24
Vvvyg

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B], по окончании сканирования уберите следующие галочки, [B]если используете программы от Mail.Ru и MediaGet[/B]:

на вкладке [B]Папки[/B]
[CODE]C:\Program Files\Mail.Ru
C:\ProgramData\Media Get LLC
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
C:\Users\User\AppData\Local\Mail.Ru
C:\Users\User\AppData\Local\Mobogenie
C:\Users\User\AppData\LocalLow\Mail.Ru
Папка Найдено : C:\Users\User\AppData\Roaming\Mail.Ru
Папка Найдено : C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
C:\Users\User\AppData\Roaming\Mra[/CODE]

на вкладке [B]Реестр[/B]
[CODE]HKCU\Software\Media Get LLC[/CODE]

Затем нажмите [B]Очистить[/B] и по окончании удаления перезагрузите систему по требованию программы.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL].
07.10.2014, 16:04
RaaaaaaaaR

Все сделал как вы написали. После перезагрузки вылезло окошко instaling с предложением установить программу
Please Check this offer while your software is being installed Your PCs registry is relatively new but its performance drags...... и там ниже упоминается Systweak RegClean Pro License Terms.До этого я пытался удалить эту назойливую программу и удалил папку в рестре с ее именем
вроде программа удалилась а вот это окно вылазеит .
07.10.2014, 16:29
Vvvyg

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
07.10.2014, 18:03
RaaaaaaaaR

Вложений: 1

Готово

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

аууууу.Я все сделал

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ну как быть дальше?
07.10.2014, 18:26
regist

[quote="RaaaaaaaaR;1168434"]аууууу.Я все сделал[/quote]
имейте немного терпения. У хелперов есть и работа и другие дела. Помогают они тут безвозмездно и в свободное время.

лог сейчас посмотрю.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
exec C:\Program Files\Obnovi Soft\uninstall.exe
exec MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
exec "C:\Program Files\baidu\unins000.exe"
exec MsiExec.exe /X{B9C3392F-76A5-4130-B60B-4D9C0B03E6C8}
regt 28
regt 29
restart[/CODE]

на вопросы об удаление программ рекомендую соглашаться.

что с проблемой?
07.10.2014, 18:55
RaaaaaaaaR

Хорошо, извините я думал про мен забыли:)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

проблемы больше нет.Можно считать что система чиста?
07.10.2014, 22:46
Vvvyg

Давайте текущее состояние проверим.
Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
15.10.2014, 14:05
RaaaaaaaaR

Еще раз здравствуйте.Не мог вам ответить так как отсутствовал доступ к интернету.Сейчас опять вылазит это окошко
instaling. Я сделал образ автозапуска вот ссылка [url]http://rghost.ru/58533522[/url]
15.10.2014, 14:10
Vvvyg

Это старый образ, от 07.10 :>
15.10.2014, 14:24
RaaaaaaaaR

Я извиняюсь, вот новая ссылка [url]http://rghost.ru/58533901[/url]
15.10.2014, 15:47
Vvvyg

Деинсталлируйте программы:

Html5 geolocation provider
Update for Html5 geolocation provider
Hamster Lite Archiver
Uniblue RegistryBooster
Surfing Protection
TuneUp Utilites 2006 - не смущает, что программа 2005-го года и о Windows 7 понятия не имеет? Такое "натюните", что систему угробить можно. Были случаи.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
regt 28
regt 29
del %SystemDrive%\LAUNCHER.BAT
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSER.BAT
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\OK.BAT
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\VK.BAT
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\WIN_UPDATE\WIN_UPDATE.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\WIN_UPDATE\WIN_UPDATE.EXE
deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\WIN_UPDATE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX.BAT
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C45842898AC1826FD62C955F25FFFABA&TEXT={SEARCHTERMS}
delref HTTP://YAMDEX.NET/?ZM
uidel "C:\Program Files\baidu\unins000.exe"
deltmp
delnfr
czoo
restart[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Обновите Java до [URL="http://www.java.com/ru/download/manual_java7.jsp"]Java 7 Update 71[/URL].

url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
15.10.2014, 16:38
RaaaaaaaaR

Я все сделал, можно быть спокойным?
15.10.2014, 16:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]