Добрый день!
Злоумышленник получил полный контроль моей почты на mail.ru при помощи вредоносного ПО. Он сумел удалить нужное письмо в корзину. Техподдержка мейл.ру ответила, что взлом произошел именно с моего устройства. Плюс на ноутбуке, с которого, возможно был выполнен взлом, была недавно полностью переустановлена система. Ноутбук сильно виснет.
Прошу вас помочь в полной проверке моего устройства, заранее благодарю
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ditresh60, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Winrar обновил
Архив с отчетами прилагаю
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2604119459-4185797819-1996922296-1001\...\Run: [YandexBrowserAutoLaunch_69BC4C33AEB9C99232F4F081371B6D35] => "C:\Users\Denis\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла) HKU\S-1-5-21-2604119459-4185797819-1996922296-1001\...\MountPoints2: {4ddd82b7-643e-11ef-b09e-28d244466d59} - "E:\start.exe" Virusscan: C:\Program Files\a6a3ed4d-1277-4e70-baf8-4e96e00581b8.tmp Virusscan: C:\Program Files\a9034450-11f3-4b54-9958-6da5424119a1.tmp Virusscan: C:\Program Files\d238e420-c51d-4d8e-8581-a207a8d81279.tmp 2024-09-05 09:12 - 2024-09-05 09:09 - 006901800 _____ (Microsoft Corporation) C:\Program Files\a6a3ed4d-1277-4e70-baf8-4e96e00581b8.tmp 2024-09-09 09:24 - 2024-09-09 09:22 - 006902344 _____ (Microsoft Corporation) C:\Program Files\a9034450-11f3-4b54-9958-6da5424119a1.tmp 2024-09-02 09:11 - 2024-09-02 09:09 - 006901824 _____ (Microsoft Corporation) C:\Program Files\d238e420-c51d-4d8e-8581-a207a8d81279.tmp ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" del /s /q C:\Windows\Minidump\*.dmp ipconfig /flushdns sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
WBR,
Vadim
Архив прилагаю
Плохого не видно, почистили мусор.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
WBR,
Vadim
Сделал
Система переустановлена до вероятного взлома, или после?Сообщение от ditresh60
WBR,
Vadim
До взлома
- - - - -Добавлено - - - - -
Поддержка мейл.ру ответила мне следующим сообщением по итогам их расследования:
Мы определили, что причиной взлома стало вредоносное программное обеспечение на вашем устройстве. С его помощью третьи лица смогли получить доступ к вашему почтовому ящику.
Возможно, мне стоит у них запросить какую то информацию? Не знаю что делать даже, в такой ситуации я еще не был
ТП Mail.ru не может достоверно утверждать, что виновато именно "вредоносное программное обеспечение на вашем устройстве". Максимум, что они могут видеть, что какие-то действия были сделаны с вашего ip адреса. Стандартные сценарии взлома:
1. Вы кликнули ссылку на фейковый сайт и сами ввели данные аккаунта, которые утекли.
2. ВПО, стилер перехватил ввод учётных данных, или передал куки браузера, из которых извлекли пароль.
Судя по тому, что используется 2FA, в Вашем случае эти варианты маловероятны. А что именно незорошего проихошло, кроме удаления письма?
Если папка C:\KVRT2020_Data с ПК из начальной темы сохранилась, прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из неё.
WBR,
Vadim
Человек, используя определенный IP (зафиксирован в логе действий mail) зашел в мою почту. Удалил письмо с кодом восстановления от gmail почты, так как почта mail была использована в качестве резервной. Далее человек проник в аккаунт gmail, затер все данные мои и вписал свои, после чего получил доступ к ютуб каналу и вел трансляцию до тех пор, пока через поддержку гугл я не восстановил доступ к gmail почте, а потом и к каналу.
Архив с файлами отчета с пк из прошлой темы прилагаю
10.09 удалён файл C:\Users\Denis\AppData\Local\Microsoft\-b$$M7Fq)].exe с детектом UDS:Trojan-Dropper.Win32.Agent.timxyk, более ничего по делу не найдено. Как получили этот файл догадки есть?
WBR,
Vadim
Нет, к сожалению.
Этот файл удален мною при помощи kvrt (про него писал в предыдущей теме) в день заражения 10.09. Можем ли мы узнать время его появления на пк? Или ещё что-то узнать о нем?
Перемещаемся в исходную тему, чтобы не путаться.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
