Троян пытается увести доступ к почте и кошельку киви
Пару дней назад получил сообщение от гугла о том, что он заблокировал попытки логина из Китая на мою почту. Пароли я сразу же поменял с телефона.
Вот что нашел MalwareBytes:
Но этим все не ограничилось. В опере почему-то страница киви (qiwi.ru) выдается в странном, старом дизайне, будто хитрый троян фишит там мои пароли, хотя в IE дизайн отображается уже новый. Стал искать дальше. Поиск вирусов в сейф-моуде через AVG, TrendMicro, KAV и CureIt ни к чему не привел.
Прогон дисков через DrWeb LiveCD тоже ничего не обнаружил. Образ Kaspersky Rescue же вообще сыпется на ходу: то базы испорчены, то что.
Сегодня получил СМС от Киви о том, что в целях безопасности (вирусная угроза) они сменили мне пароль к кошельку. Сменил его еще раз сам через телефон.
PS: Тут я подумал ещё и сообразил, что взлом киви кошелька вполне мог быть лишь отголоском того времени, когда я о наличии трояна ещё не догадывался, а злоумышленник лишь сегодня решил залезть в него. И тем не менее...
Последний раз редактировалось donm; 17.10.2013 в 21:59.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) donm, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Активных вирусов не видно.
Пароли на почту и другие ресурсы, надеюсь, тоже сменили?
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Раньше, при открытии оперы, MalwareBytes сообщал о IP-BLOCK 195.191.56.87 (Type: outgoing, Port: 49203, Process: opera.exe)
, но я считал, что это какой-нибудь из rss feeds, который ему не нравится. Однако, и сейчас при очищенном списке feed'ов, этот адрес все равно всплывает. Может быть это связано с моей проблемой?
Edit: А чуть позже, при запуске стима, появилось IP-BLOCK 58.241.15.179 (Type: outgoing, Port: 54033, Process: steam.exe)
Последний раз редактировалось donm; 18.10.2013 в 12:35.
Зачем стим лезет на китайский ip, не знаю, возможно, по своим игровым делам.
Но рекомендую далите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, в частности из-за его параноидальности.
Зачем стим лезет на китайский ip, не знаю, возможно, по своим игровым делам.
Но рекомендую далите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, в частности из-за его параноидальности.
Ни стим на китайский айпи, ни опера на украинский, лезть не должны. Веб-защиту Malwarebytes я могу и отключить, но это не отменяет факта того, что с компьютера идут обращения в интернет. Пока что в брандмауэре заблокировал те два адреса.
Обновление:
Взял лечение в свои руки и почитал про найденные угрозы. Вот эту дрянь - HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings|AutoConfigURL (Hijack.Autoconfig) -> Data: h****ttps://issalve.com/pics/gugl.exd - avz и hijack не выявили до конца. Был еще один подобный ключ в реестре, который я удалил, а кроме того данный троян, оказывается, прописывается в прокси-серверы всех браузеров. Ни один из антивирусов не додумался посмотреть туда.
Почистил настройки. Сверху прошелся http://support.kaspersky.ru/9208#block2
Больше "параноидальный" Malwarebytes не ругается.
Что же касается стима, то в интернете уже два свежих треда с вопросами почему он вдруг стал обращаться к китайскому айпи.
Скорее всего это новый контент-сервер, а стим опрашивает весь список при запуске, вне зависимости от региона.
Последний раз редактировалось donm; 19.10.2013 в 14:11.