Отключились Одноклассники

[Зинка]

Пришло письмо, что с моего аккаунта Одноклассников рассылается спам.
Предложили "восстановить аккаунт", но когда я попробовала, пришел ответ "слишком поздно".
Возможно, сидит вирус.
Сделала проверку по протоколу, посылаю результат.
Помогите, пожалуйста найти причину !
Если вирусов нет, то что это может быть ?

[Info_bot]

Уважаемый(ая) Зинка, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Могли попасть на фишинговый сайт (не обязательно с компьютера, с телефона) и сами ввести и сдать нехорошим людям пароль. Если используете на различных ресурсах одинаковые пароли - совсем плохо. Меняйте для профилактики, обращайтесь в техподдержку Одноклассников, там должны разруливать такие ситуации.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Zina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Skype.lnk"   -> (0 байт)
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\SkyMap Pro 11 Manual.lnk"        -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\Skymap32.hlp"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\Order form for USA and Canada.lnk"         -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\orderus.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\Order form for Other Countries (£).lnk"    -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\orderuk.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\Order form for Other Countries (€).lnk"    -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\ordereur.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\Uninstall SkyMap Pro 11 Demo.lnk"          -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\UNWISE.EXE"  =>> C:\PROGRA~2\SKYMAP~1\INSTALL.LOG]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kyodai Mahjongg 2006\English Help\Menu Items.lnk"   -> ["C:\Program Files (x86)\Kyodai Mahjongg 2006\Help\menu.rtf"]
>>>  "C:\Users\Bella\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk"         -> ["C:\Program Files (x86)\Skype\Phone\Skype.exe"  =>> /sendto:]
>>>  "C:\Users\Bella\Desktop\Иосиф Лессельрот.doc - Ярлык.lnk"         -> ["E:\Documents\Белла_альбом\Иосиф Лессельрот.doc"]
>>>  "C:\Users\Zina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk"    -> ["C:\Users\Zina\AppData\Local\MediaGet2\mediaget.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\Order form for Other Countries (Ј).lnk"    -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\orderuk.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SkyMap Pro 11 Demo\Order form for Other Countries (Ђ).lnk"    -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\ordereur.txt"]
>>>  "C:\Users\user\Desktop\SkyMap Pro 11 Demo.lnk"          -> ["C:\Program Files (x86)\SkyMap Pro 11 Demo\Skymap32.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\CompatTelRunner.exe (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Games (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\My (empty)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Task: {175D170C-ABA1-4FA1-ACC9-5EB01B4228EE} - C:\Program Files (x86)\Skype\Phone\Skype.exe (file missing)
O22 - Task: {C9508FD6-3AB5-4DD5-AF8B-957B4B294F32} - C:\Program Files (x86)\Skype\Phone\Skype.exe (file missing)
O22 - Task: {FB2CA333-B168-4070-AEB4-B5C83EC503BA} - C:\Program Files (x86)\Skype\Phone\Skype.exe (file missing)

Сделайте лог Malwarebytes AdwCleaner.

[Зинка]

Спасибо !
Я еще не запустила эти программы.
А можно где-то прочитать, что делают эти программы ?
Я вижу много ссылок на программу SjyMap.
Это "звездное небо", но она сто лет как не работает.
А также на программу Скайп.
Они заразились вирусом-трояном ?

[Vvvyg]

ClearLNK просто удалит ярлыки на отсутствующие файлы, с трояном это не связано, да и не было его по логам.

Делайте, а то такими темпами к лету управимся

[Зинка]

Всё сделала, посылаю логи

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Зинка]

Сделала

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3408698359-1109532249-2593209107-1001\...\MountPoints2: F - F:\Autorun.EXE
HKU\S-1-5-21-3408698359-1109532249-2593209107-1001\...\MountPoints2: {05dcfd61-e021-11e7-b1e6-d4bed98b71f3} - F:\Autorun.EXE
HKU\S-1-5-21-3408698359-1109532249-2593209107-1001\...\MountPoints2: {a52e7dc4-9634-11e3-8299-d4bed98b71f3} - F:\LGAutoRun.exe
HKU\S-1-5-21-3408698359-1109532249-2593209107-1001\...\MountPoints2: {bb0db825-d1f4-11e2-b74b-d4bed98b71f3} - G:\LaunchU3.exe -a
HKU\S-1-5-21-3408698359-1109532249-2593209107-1002\...\MountPoints2: {05dcfd61-e021-11e7-b1e6-d4bed98b71f3} - F:\Autorun.EXE
HKU\S-1-5-21-3408698359-1109532249-2593209107-1002\...\MountPoints2: {a52e7dc4-9634-11e3-8299-d4bed98b71f3} - F:\LGAutoRun.exe
HKU\S-1-5-21-3408698359-1109532249-2593209107-1002\...\MountPoints2: {bb0db825-d1f4-11e2-b74b-d4bed98b71f3} - G:\LaunchU3.exe -a
Task: {14EBFA4F-39CF-4F96-8A27-1B862B79794A} - System32\Tasks\{E3CE3AF5-75D9-44E1-A3C1-C48688CE7E78} => C:\Windows\system32\pcalua.exe -a D:\setup.exe -d D:\
S3 niwdk; не ImagePath
S3 nidwgk; \??\C:\Windows\system32\drivers\nidwgkl.sys [X]
S3 nihsdrk; \??\C:\Windows\system32\drivers\nihsdrkl.sys [X]
S3 nipsdk; \??\C:\Windows\system32\drivers\nipsdkl.sys [X]
S3 nisldk; \??\C:\Windows\system32\drivers\nisldkl.sys [X]
S3 nisrcdk; \??\C:\Windows\system32\drivers\nisrcdkl.sys [X]
S1 SBRE; \??\C:\Windows\system32\drivers\SBREdrv.sys [X]
2021-02-28 14:25 - 2021-02-28 14:25 - 000000000 ____D C:\Users\Bella\AppData\Local\{4CBC89E2-9CA8-4733-A607-5E722D77044C}
2021-02-22 11:57 - 2021-02-22 11:57 - 000000000 ____D C:\Users\Bella\AppData\Local\{05921B05-D010-47C2-BE33-EAB2C0D1E93C}
2021-02-21 11:40 - 2021-02-21 11:40 - 000000000 ____D C:\Users\Bella\AppData\Local\{60213DB8-CE5E-4123-AFCC-4E73086403E1}
2021-02-20 18:11 - 2021-02-20 18:11 - 000000000 ____D C:\Users\Bella\AppData\Local\{F63DB0AF-0ECF-4C76-8A3E-BA1A63AB5D76}
2021-02-20 04:40 - 2021-02-20 04:40 - 000000000 ____D C:\Users\Bella\AppData\Local\{B5B4D1B3-761E-4E85-95F6-763CCE163A72}
2021-02-18 03:41 - 2021-02-18 03:41 - 000000000 ____D C:\Users\Bella\AppData\Local\{A0007AB5-6F51-4CE1-9AFB-9E65661C8A56}
2021-02-17 12:04 - 2021-02-17 12:04 - 000000000 ____D C:\Users\Bella\AppData\Local\{CD9ED137-88D0-465B-80AB-C3FA73BF46F0}
2021-02-04 19:59 - 2021-02-04 19:59 - 000000000 ____D C:\Users\Bella\AppData\Local\{86C19CDA-299C-47BF-B24B-5E5B12CBCCF2}
2021-02-03 09:53 - 2021-02-03 09:53 - 000000000 ____D C:\Users\Bella\AppData\Local\{4C1CC087-AC00-4C61-804B-B51D754A5CA9}
2021-02-02 20:34 - 2021-02-02 20:34 - 000000000 ____D C:\Users\Bella\AppData\Local\{288F86A0-1462-44DF-B6B2-04BD2FE93E6F}
2021-01-29 23:46 - 2021-01-29 23:46 - 000000000 ____D C:\Users\Bella\AppData\Local\{48C124F2-C2CD-41E7-8A39-BAE94C5B58DD}
2021-01-27 08:25 - 2021-01-27 08:25 - 000000000 ____D C:\Users\Bella\AppData\Local\{23048E5C-74F1-4A1E-AF51-29FDC2F079F2}
2021-01-26 11:37 - 2021-01-26 11:37 - 000000000 ____D C:\Users\Bella\AppData\Local\{14E4C71D-EA68-48C0-A3B1-0B9F5987172E}
2021-01-25 04:09 - 2021-01-25 04:09 - 000000000 ____D C:\Users\Bella\AppData\Local\{C46C0345-1311-4912-ADFA-10447EFE873B}
2021-01-23 12:33 - 2021-01-23 12:33 - 000000000 ____D C:\Users\Bella\AppData\Local\{0DEFFBC7-0B62-4A1A-964C-D16BFBCABF7D}
2021-01-22 21:51 - 2021-01-22 21:51 - 000000000 ____D C:\Users\Bella\AppData\Local\{B6838AAB-0DD7-498A-94CD-5818ACD58F86}
2021-01-22 03:47 - 2021-01-22 03:47 - 000000000 ____D C:\Users\Bella\AppData\Local\{CBEF9BA0-F9F9-45E6-81E1-6D5F3EEAE2C0}
2021-01-18 14:38 - 2021-01-18 14:38 - 000000000 ____D C:\Users\Bella\AppData\Local\{855BD42C-AB51-4CAB-91A3-CF3557BCE2F8}
2021-01-15 18:03 - 2021-01-15 18:03 - 000000000 ____D C:\Users\Bella\AppData\Local\{77AD3202-6885-40A8-B87F-987BA9DD3A3F}
2021-01-15 06:03 - 2021-01-15 06:03 - 000000000 ____D C:\Users\Bella\AppData\Local\{6507FD6C-A6A2-4C09-AF67-145B9D3967CD}
2021-01-11 05:33 - 2021-01-11 05:34 - 000000000 ____D C:\Users\Bella\AppData\Local\{9521AB9F-30B7-451B-B124-79BCA660B324}
2021-01-10 17:33 - 2021-01-10 17:33 - 000000000 ____D C:\Users\Bella\AppData\Local\{5612079D-B8B4-4177-9C5F-ABD9A119C645}
2021-01-09 06:16 - 2021-01-09 06:16 - 000000000 ____D C:\Users\Bella\AppData\Local\{6D2013A5-78FB-48A6-BF95-1924D7FC67F5}
2021-01-08 18:15 - 2021-01-08 18:15 - 000000000 ____D C:\Users\Bella\AppData\Local\{299D0AC7-C4C2-4BB0-8EFB-371967B2DE97}
2021-01-08 03:20 - 2021-01-08 03:20 - 000000000 ____D C:\Users\Bella\AppData\Local\{4B9B3053-571F-42AE-BC89-3153D73B36AD}
2021-01-07 15:20 - 2021-01-07 15:20 - 000000000 ____D C:\Users\Bella\AppData\Local\{880F6A5E-6029-41B5-B43E-6C8ADA45F1B4}
2021-01-06 13:03 - 2021-01-06 13:03 - 000000000 ____D C:\Users\Bella\AppData\Local\{1BEF00DB-0E32-4D9E-864B-D5F1F33C87AD}
2021-01-04 15:32 - 2021-01-04 15:32 - 000000000 ____D C:\Users\Bella\AppData\Local\{03FDA595-64D3-4C18-81C3-49F073C10EA4}
2020-12-24 01:20 - 2020-12-24 01:20 - 000000000 ____D C:\Users\Bella\AppData\Local\{E6B9E479-95AC-4822-ACEC-4BE633A8A8E5}
2020-12-21 14:09 - 2020-12-21 14:09 - 000000000 ____D C:\Users\Bella\AppData\Local\{1A5C069A-0A89-4553-A8F0-8AEA842EEF8C}
2020-12-19 20:50 - 2020-12-19 20:50 - 000000000 ____D C:\Users\Zina\AppData\Local\{E3CA23BD-50E1-43A4-BB7B-1D80681BDC9B}
2020-12-19 12:22 - 2020-12-19 12:22 - 000000000 ____D C:\Users\Bella\AppData\Local\{0C9846EE-4781-4753-BFAD-86CF7485FF5E}
2020-12-18 10:53 - 2020-12-18 10:53 - 000000000 ____D C:\Users\Bella\AppData\Local\{DA6F3D47-CA87-4D67-AD58-A2E22A5AB4EF}
2020-12-14 00:58 - 2020-12-14 00:58 - 000000000 ____D C:\Users\Bella\AppData\Local\{B664AAEF-7D7E-49C7-9779-79BF6D75E3CF}
2020-12-11 17:44 - 2020-12-11 17:44 - 000000000 ____D C:\Users\Bella\AppData\Local\{BA8100C2-D88A-4AA5-B65A-617629B5012D}
2020-12-11 00:26 - 2020-12-11 00:26 - 000000000 ____D C:\Users\Bella\AppData\Local\{5CC70CE7-6C94-41A2-9B46-ECF337B8E5F8}
ContextMenuHandlers1: [_Movavivc11] -> {1C604495-4D32-476e-8D7E-FBF50F6C80BF} =>  -> Нет файла
ContextMenuHandlers6: [_Movavivc11] -> {1C604495-4D32-476e-8D7E-FBF50F6C80BF} =>  -> Нет файла
SearchScopes: HKU\S-1-5-21-3408698359-1109532249-2593209107-1000 -> {6ACB8DF3-E0B5-4DB7-A23B-D301085ED03C} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^IL&apn_uid=4FA44B26-1EA7-4A87-852C-8995B27768EC&apn_sauid=FD0CFD22-2EBA-4BF0-85A0-85256BC1EB4C
Toolbar: HKU\S-1-5-21-3408698359-1109532249-2593209107-1000 -> Нет имени - {D4027C7F-154A-4066-A1AD-4243D8127440} -  Нет файла
Toolbar: HKU\S-1-5-21-3408698359-1109532249-2593209107-1000 -> Нет имени - {EEE6C35B-6118-11DC-9C72-001320C79847} -  Нет файла
FirewallRules: [{C4A85989-CF5E-4F29-AC5E-9AB206A6D3D0}] => (Allow) C:\Users\Zina\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Зинка]

Немного не поняла:
вставить этот текст в окно программы ?

[Vvvyg]

Выполняете в точности, как указано, вставлять никуда не надо.

[Зинка]

Сделала,
Результат загрузила.
Ой, оказывается запускала не от Администратора. Забыла нажать.
И что теперь ?

Но всё заработало.
Только переспросило, доверяю ли я неизвестному издателю.
На машине - Вин-7, 64 бита.

Да, одноклассники заработали, кстати.
При попытке зайти - предложили прислать мне СМСку с кодом.
Прислали.
Я ввела код и поменяла пароль.
Они сообщили, что кто-то заходил в мой аккаунт из Москвы.
Точно, это не я.
Наверно, он и рассылал спам.

Скорее всего, мой комп ни при чем.

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Зинка]

Сделала.
Даже почитала этот файл.
Там написано, что Вин-7 не поддерживается и список какого-то старья на моем компе.
Я этих программ не помню.

В общем - всё интимное общение моего компа.
А можно все эти присланные файлы как-тои убрать с всеобщего обозрения ?
У меня они есть, у вас тоже.

А то они могут быть использованы во вред. Нет ?

Кстати, кто имеет право отвечать в этом разделе ?
Все участники форума - или какая-то группа проверенных людей ?
Можно ли где-то найти описание программ для "не совсем блондинки" ?

[Vvvyg]

Там написано, что Вин-7 не поддерживается

Не совсем так, расширенная поддержка закончилась 14.01.2020. Но в общем, да система устарела, а ваше железо 10-ку сдюжит вполне.

и список какого-то старья на моем компе.
Я этих программ не помню.

Из того, что требует обновления по критерию безопасности:

OpenOffice 4.1.3 v.4.13.9783 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR archiver Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-i586.exe)^
Adobe Reader XI (11.0.1 - Russian v.11.0.18 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Mozilla Firefox 85.0.2 (x64 ru) v.85.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Обновите всё это.
Java, если не знаете для чего - просто удалите.

А можно все эти присланные файлы как-то убрать с всеобщего обозрения ?
А то они могут быть использованы во вред. Нет ?

Удалите вложения, хотя ничего конфиденциального тут нет.

Кстати, кто имеет право отвечать в этом разделе ?
Все участники форума - или какая-то группа проверенных людей ?

Только участники группы хелперы, случайные - не смогут.

Можно ли где-то найти описание программ для "не совсем блондинки" ?

Тут не совсем понял, каких?

[Зинка]

Спасибо

Тут не совсем понял, каких?

Ну, тех программ, которые я здесь скачивала и запускала.

Я вообще-то программистка, но совсем в других областях и отстала от винды с вирусами.

[Vvvyg]

[QUOTE=Зинка;1519131Ну, тех программ, которые я здесь скачивала и запускала.[/QUOTE]

Проверьте эти файлы на virustotal.com. Ссылки на результаты - сюда.

[Зинка]

Файл av_z.exe 12917кБ
Bkav Pro W32.AIDetect.malware2
Cybereason Malicious.879117
Jiangmin Trojan.Generic.elqyl
Malwarebytes Malware.Heuristic.1003
SentinelOne (Static ML) Static AI - Suspicious PE
Acronis Undetected

RSITx64.exe
https://www.virustotal.com/gui/file/...42eb/detection
SecureAge APEX Malicious
Webroot W32.Malware.Gen

ClearLNK.exe
https://www.virustotal.com/gui/file/...50f0/detection
eGambit Unsafe.AI_Score_97%

Это хорошо или плохо ?

[Vvvyg]

Некоторые антивирусы имеют ложные срабатывания на утилиты лечения. Это не хорошо и не плохо, просто данность.