Злоумышленник получил доступ к почте mail через вредоносное по
Добрый день!
Злоумышленник получил полный контроль моей почты на mail.ru при помощи вредоносного ПО. Он сумел удалить нужное письмо в корзину. Техподдержка мейл.ру ответила, что взлом произошел именно с моего устройства. Проверив компьютер антивирусом kvrt я обнаружил 1 троян под названием UDS: Trojan-Dropper.Win32.Agent.timxyk
Больше угроз обнаружено не было. Прошу вас помочь в полной проверке моего устройства, заранее благодарю
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ditresh60, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
При этом в почте стояла двухфакторная авторизация по коду из СМС. Кодов не приходило, значит злоумышленник, при условии, что у меня был включен пункт "не спрашивать код на этом устройстве" работал именно с моего устройства.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
У меня есть еще один рабочий ноутбук, с которого ранее я работал с данной почтой, однако в момент взлома в почту вход не был выполнен на нем. Могу ли я с него прислать лог в эту же тему?
По детектам ничего явно опасного, тем более, когда оно лежит себе в архивах. Но имейте ввиду в любых кряках, репаках, активаторах может быть (а может и не быть) и функционал трояна/майнера. Почистите свои склады, там много, как минимум, неактуального и бесполезного.
По Windivert - тут неопасно.
Кое-что еще было. 8.09 мне написал сотрудник geek Brain. По его просьбе я скачал архив с их сайта. В архиве был троян, который отловился антивирусом. Сейчас подниму все переписки. Вдруг, я не заметил, что не их домен в почтовом адресе.
- - - - -Добавлено - - - - -
Скорее всего так и есть. Вот как было дело. Мне написал человек с почты [email protected]. После того, как я попросил подтвердить, что он является представителем, мне написали с почты [email protected], подтвердив это.
Только сейчас я понял, что geek-brains.com.ru - это как будто бы не их имя.
Далее с [email protected] приходят письма с обсуждением подробностей (письма не содержат ни вложений, ни ссылок). После чего в одном из писем предлагается следующее:
Для вашего удобства все материалы собраны на нашей официальной странице. Вы можете загрузить их по ссылке на нашем официальном сайте: geek-brains.com(*Мы не используем сторонние сервисы для передачи данных материалов в процессе сотрудничества по рекламе, что закреплено в принципах нашей компании.)*На странице вы найдёте:Договор для заполнения — Ознакомьтесь с условиями договора, если вас все устраивает, заполните его и отправьте нам.
Далее я перешел на сайт выше, но, опять же, сейчас я понимаю, что их сайт gb.ru, как будто бы. На сайт есть кнопка "СКАЧАТЬ МАТЕРИАЛЫ (WINDOWS ONLY)", вот в ней то, вероятно и находится угроза в виде файла "gb Договор на оказание рекламных услуг.scr"
Я им пишу, у вас файл не открывается, Защитник ругается. Они говорят: "Странно, разберемся". Что-то в этом роде.
- - - - -Добавлено - - - - -
Все оказалось банально просто. Моя невнимательность. Ну и незащищенность пк
- - - - -Добавлено - - - - -
На канале ютуб запустили трансляцию дебатов трампа с харрис)) Нагнали 78т зрителей.
Я им пишу, у вас файл не открывается, Защитник ругается. Они говорят: "Странно, разберемся". Что-то в этом роде.
Надо было поверить защитнику, детект был вполне однозначный:
Имя: Trojan:Win32/Wacatac.H!ml
ИД: 2147814523
Серьезность: Критический
Категория: Троян
Путь: file:_C:\Users\Denis\AppData\Local\Temp\Rar$DIb0.9 16\gb Договор на оказание рекламных услуг.scr
Ну и файл с расширением .scr - исполняемый и никак не может быть договором.
Сообщение от ditresh60
Все оказалось банально просто. Моя невнимательность. Ну и незащищенность пк
Сами разобрались и сделали выводы, это хорошо, хоть и запоздало )
Насчёт незащищённости - распространённая ошибка отключать антивирус или игнорировать его предупреждения по рекомендации злоумышленников.
Тогда всё на этом.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.