Показано с 1 по 7 из 7.

Взлом почтового ящика на Яндексе. Подозрение на трояны в системе (при сканировании и были найдены). (заявка № 87137)

  1. #1
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    21
    Вес репутации
    29

    Взлом почтового ящика на Яндексе. Подозрение на трояны в системе (при сканировании и были найдены).

    Добрый день.
    1 сентября между 16 и 20 вечера с моего почтового ящика на Яндексе были удалены все письма из папки "входящие". Остальные папки и письма затронуты не были. Со службы поддержки Яндекса пришел ответ, что письма были удалены кем-то сторонним, кто ввел пароль. Пароль никому не давался, физически с компьютера доступ имею только я. Можно думать на взлом через Интернет, но т.к. замечаю последние несколько дней непонятные зависания в системе, вылет NOD32 пару раз, то подозрения на трояны в наличии. Проверка показала что есть.
    Поочередно была просканирована система установленным Nod32, затем Dr. Web CureIt, Outpost Firewall Pro и AVP Virus Removal Tool 2010. Каждый находил что-либо. Nod удалил несколько, Web CureIt почти все запихал в карантин, Outpost Firewall Pro ни нашел ничего, AVP Virus Removal Tool 2010 удалял все однозначно (видимо при установленных максимальных настройках).

    Логи см. ниже. Virusinfo_cure.zip создан, видимо нашел гадости еще в остатке.

    Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys','');
     DeleteService('cpuz132');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
     BC_ImportDeletedList;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Сделайте новые логи и такой лог: http://virusinfo.info/showthread.php?t=53070

  4. #3
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    21
    Вес репутации
    29
    Скрипт в AVZ выполнен, логи сделаны и приложены.

    При выполнении данного скрипта и стандартных скриптов в AVZ наблюдалась та же самая ошибка:

    в заголовке окна сообщение: Windows - Диск отсутствует.
    В теле окна: Exception Processing Message c0000013 Parametrs 75b3bf7c 75b3bf7c
    Ниже на выбор кнопки: Отмена/Повторить/Продолжить.

    При первых нажатиях на любую кнопку окно не исчезает. Нажимал "Продолжить" до окончания выполнения скриптов.

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    В логах чисто. Ошибка продолжает появляться?

  6. #5
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    21
    Вес репутации
    29
    Попробовал еще раз сделать лог в AVZ. Аналогично, ошибка продолжает появляться. Тыкаю продолжить до посинения, в конце концов лог завершается успешно.

    Позвольте пару вопросов:
    1. В логах созданных AVZ в 00:02 присутствует virusinfo_cure.zip. Как понимаю это могут быть и ложные срабатывания? Не обязательно наличие вредоносного ПО?
    2. Malwarebytes' Anti-Malware среди прочих ложных срабатываний нашел одно вот такое: C:\WINDOWS\system32\drivers\71891522.sys (Rootkit.Agent.H) -> No action taken. Это единственное, что я не могу определить, системный ли файл или присланное "богатство" от доброжелателей. Все-таки относится к системным, раз лог программы чист?

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от Итрий Посмотреть сообщение
    2. Malwarebytes' Anti-Malware среди прочих ложных срабатываний нашел одно вот такое: C:\WINDOWS\system32\drivers\71891522.sys (Rootkit.Agent.H) -> No action taken. Это единственное, что я не могу определить, системный ли файл или присланное "богатство" от доброжелателей. Все-таки относится к системным, раз лог программы чист?
    Это драйвер от AVPTool

  8. #7
    Junior Member Репутация
    Регистрация
    17.03.2010
    Сообщений
    21
    Вес репутации
    29
    Понятно.

    Ну раз система чиста, вопрос закрыт. Спасибо за помощь.

  • Уважаемый(ая) Итрий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. взлом почтового ящика
      От lvbnhbq007 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.09.2010, 20:43
    2. Удалились все входящие письма с почтового ящика
      От Vладимир в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.07.2010, 20:17
    3. Были найдены трояны.
      От Abbadon77 в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 15.01.2010, 13:16
    4. Скрытая рассылка писем с почтового ящика
      От marik_81 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:50
    5. Ответов: 12
      Последнее сообщение: 17.07.2007, 07:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00056 seconds with 16 queries