Показано с 1 по 14 из 14.

Злоумышленник получил доступ к почте mail через вредоносное по (заявка № 228725)

  1. #1
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1

    Злоумышленник получил доступ к почте mail через вредоносное по

    Добрый день!
    Злоумышленник получил полный контроль моей почты на mail.ru при помощи вредоносного ПО. Он сумел удалить нужное письмо в корзину. Техподдержка мейл.ру ответила, что взлом произошел именно с моего устройства. Проверив компьютер антивирусом kvrt я обнаружил 1 троян под названием UDS: Trojan-Dropper.Win32.Agent.timxyk

    Больше угроз обнаружено не было. Прошу вас помочь в полной проверке моего устройства, заранее благодарю
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,288
    Вес репутации
    379
    Уважаемый(ая) ditresh60, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1
    При этом в почте стояла двухфакторная авторизация по коду из СМС. Кодов не приходило, значит злоумышленник, при условии, что у меня был включен пункт "не спрашивать код на этом устройстве" работал именно с моего устройства.

  5. #4
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,334
    Вес репутации
    158
    Здравствуйте!

    Явных признаков заражения пока не видно.

    Дополнительно:
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать (Scan).
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1
    Файлы прилагаю
    Вложения Вложения

  7. #6
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,334
    Вес репутации
    158
    Тут тоже придраться не к чему.
    Для верности сделайте последовательно проверки с помощью KVRT и CureIt.
    Результат сообщите.

  8. #7
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1
    Прилагаю во вложении.

    У меня есть еще один рабочий ноутбук, с которого ранее я работал с данной почтой, однако в момент взлома в почту вход не был выполнен на нем. Могу ли я с него прислать лог в эту же тему?
    Изображения Изображения
    • Тип файла: jpg dr web.jpg (66.3 Кб, 3 просмотров)
    • Тип файла: jpg kvrt1.jpg (108.9 Кб, 4 просмотров)
    • Тип файла: jpg kvrt3.jpg (111.3 Кб, 3 просмотров)
    • Тип файла: jpg kvrt2.jpg (110.8 Кб, 2 просмотров)
    • Тип файла: jpg kvrt4.jpg (100.8 Кб, 2 просмотров)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,966
    Вес репутации
    1070
    Создайте новую тему по ноутбуку.
    WBR,
    Vadim

  10. Это понравилось:


  11. #9
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1
    Спасибо!
    Тему создал:
    https://virusinfo.info/showthread.ph...75#post1531775

  12. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,966
    Вес репутации
    1070
    По детектам ничего явно опасного, тем более, когда оно лежит себе в архивах. Но имейте ввиду в любых кряках, репаках, активаторах может быть (а может и не быть) и функционал трояна/майнера. Почистите свои склады, там много, как минимум, неактуального и бесполезного.
    По Windivert - тут неопасно.
    WBR,
    Vadim

  13. Это понравилось:


  14. #11
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1
    Спасибо. Почищу

  15. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,966
    Вес репутации
    1070
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
    ExitAVZ;
    end.
    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
    WBR,
    Vadim

  16. #13
    Junior Member Репутация
    Регистрация
    13.09.2024
    Сообщений
    17
    Вес репутации
    1
    Сделано
    https://cloud.mail.ru/public/Di1P/ni27jC18u

    - - - - -Добавлено - - - - -

    Кое-что еще было. 8.09 мне написал сотрудник geek Brain. По его просьбе я скачал архив с их сайта. В архиве был троян, который отловился антивирусом. Сейчас подниму все переписки. Вдруг, я не заметил, что не их домен в почтовом адресе.

    - - - - -Добавлено - - - - -

    Скорее всего так и есть. Вот как было дело. Мне написал человек с почты [email protected]. После того, как я попросил подтвердить, что он является представителем, мне написали с почты [email protected], подтвердив это.

    Только сейчас я понял, что geek-brains.com.ru - это как будто бы не их имя.

    Далее с [email protected] приходят письма с обсуждением подробностей (письма не содержат ни вложений, ни ссылок). После чего в одном из писем предлагается следующее:

    Для вашего удобства все материалы собраны на нашей официальной странице. Вы можете загрузить их по ссылке на нашем официальном сайте: geek-brains.com(*Мы не используем сторонние сервисы для передачи данных материалов в процессе сотрудничества по рекламе, что закреплено в принципах нашей компании.)*На странице вы найдёте:Договор для заполнения — Ознакомьтесь с условиями договора, если вас все устраивает, заполните его и отправьте нам.

    Далее я перешел на сайт выше, но, опять же, сейчас я понимаю, что их сайт gb.ru, как будто бы. На сайт есть кнопка "СКАЧАТЬ МАТЕРИАЛЫ (WINDOWS ONLY)", вот в ней то, вероятно и находится угроза в виде файла "gb Договор на оказание рекламных услуг.scr"

    Я им пишу, у вас файл не открывается, Защитник ругается. Они говорят: "Странно, разберемся". Что-то в этом роде.

    - - - - -Добавлено - - - - -

    Все оказалось банально просто. Моя невнимательность. Ну и незащищенность пк

    - - - - -Добавлено - - - - -

    На канале ютуб запустили трансляцию дебатов трампа с харрис)) Нагнали 78т зрителей.

  17. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,966
    Вес репутации
    1070
    Цитата Сообщение от ditresh60 Посмотреть сообщение
    Я им пишу, у вас файл не открывается, Защитник ругается. Они говорят: "Странно, разберемся". Что-то в этом роде.
    Надо было поверить защитнику, детект был вполне однозначный:
    Имя: Trojan:Win32/Wacatac.H!ml
    ИД: 2147814523
    Серьезность: Критический
    Категория: Троян
    Путь: file:_C:\Users\Denis\AppData\Local\Temp\Rar$DIb0.9 16\gb Договор на оказание рекламных услуг.scr
    Ну и файл с расширением .scr - исполняемый и никак не может быть договором.

    Цитата Сообщение от ditresh60 Посмотреть сообщение
    Все оказалось банально просто. Моя невнимательность. Ну и незащищенность пк
    Сами разобрались и сделали выводы, это хорошо, хоть и запоздало )
    Насчёт незащищённости - распространённая ошибка отключать антивирус или игнорировать его предупреждения по рекомендации злоумышленников.

    Тогда всё на этом.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
    Компьютер перезагрузится.
    WBR,
    Vadim

  18. Это понравилось:


Похожие темы

  1. Ответов: 7
    Последнее сообщение: 15.02.2016, 09:19
  2. Ответов: 5
    Последнее сообщение: 05.04.2014, 00:47
  3. Злоумышленник атакует!!!
    От Aladriel в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 27.01.2011, 16:00
  4. Ответов: 7
    Последнее сообщение: 07.06.2007, 11:56
  5. Ответов: 1
    Последнее сообщение: 01.06.2007, 05:03

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01464 seconds with 19 queries