В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Проверить на вирусы

ЛюсяЛюся
Раздел: Форум лечения заражений
Уважаемые хэлперы. Уже в который раз взламывают мою страничку в контакте, рассылают от моего имени всякую ерунду. Пароли достаточно надежные ( придумывают айтишники на работе). С использованием чисел, регистра, никаких имен..Возможно вирус-кейлоггер сидит, ворует пароли? хотела бы убедиться, что это не так..Посмотрите,пожалуйста образ автозапуска.

http://rgho.st/6BR9ZMCm2
Share on Google+

Комментарии

  • safetysafety
    отредактировано November 2017 PM
    Привет, Люся.
    прокси в настройках браузеров также может быть причиной потери паролей.
    Полное имя HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
    Имя файла HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Удовлетворяет критериям
    AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1) [auto (0)]

    Сохраненная информация на момент создания образа
    Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

    Ссылки на объект
    Ссылка HKEY_USERS\S-1-5-21-1844237615-1614895754-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
    AutoConfigURL https://config.anticenz.org/proxy.pac
    так же рекомендуем не ставить галочку на сайтах "сохранить пароль". ПАроль хранить в спец. сейфе, например, PasswordSafe.

    https://chklst.ru/discussion/62/password-safe?new=1
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Доброе утро. Значит вирусов не обнаружено?
    Share on Google+
  • ЛюсяЛюся
    PM
    А нельзя все эти "подозрительные объекты" скриптом убрать?
    Share on Google+
  • safetysafety
    PM
    Люся написал: »
    Доброе утро. Значит вирусов не обнаружено?
    вирусов нет, но настройка прокси подозрительна. Т.е. помимо обходов блокировок, она может и собирать пароли. Если ты давно ее используешь, а пароли стали утекать недавно, то может быть проблема в чем то другом.

    если нужен скрипт очистки систему, я добавлю его. судя по образу есть пара нежелательных расширений в Chrome.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Давай, Саша, почистим..Я буду отслеживать ситуацию, т.к. в контакте всегда оповещают с какого браузера и когда выполнен вход..Началось с того,что вход выполнен с браузеров,которых нет у меня и в то время,когда я была офф лайн..:(
    Share on Google+
  • safetysafety
    отредактировано November 2017 PM
    Люся написал: »
    Давай, Саша, почистим..Я буду отслеживать ситуацию, т.к. в контакте всегда оповещают с какого браузера и когда выполнен вход..Началось с того,что вход выполнен с браузеров,которых нет у меня и в то время,когда я была офф лайн..:(

    значит, действительно пароль утек. скрипт написал выше. После очистки системы пароль к ВК лучше сменить.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Я его уже сменила вчера. Мне знакомые позвонили -спросили какая помощь мне нужна? От моего имени призывы о помощи рассылались..Так я и поняла,что взломали страничку.
    Share on Google+
  • safetysafety
    отредактировано November 2017 PM
    Люся написал: »
    Я его уже сменила вчера. Мне знакомые позвонили -спросили какая помощь мне нужна? От моего имени призывы о помощи рассылались..Так я и поняла,что взломали страничку.

    все таки, лучше очистить систему, и затем сменить пароль, потому что сейчас этот прокси в твоей системе активен. (если причина в нем, то и вчерашний пароль мог уже утечь.)
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Ну я могу опять сменить в этом случае..
    Share on Google+
  • safetysafety
    отредактировано November 2017 PM
    Люся написал: »
    Ну я могу опять сменить в этом случае..
    если есть доступ к станице, то пароль надо сменить обязательно. (после очистки системы).

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Быструю проверку в малвер-с запустила, только премиум версия, по-моему не деинсталлировалась..
    Share on Google+
  • safetysafety
    отредактировано November 2017 PM
    Люся написал: »
    Быструю проверку в малвер-с запустила, только премиум версия, по-моему не деинсталлировалась..

    в ознакомительном режиме она работает 14 дней, но можно перенастроить ее в режим Free версии.
    если вы скачиваете Free версию, по умолчанию устанавливается Premium версия в ознакомительном режиме. (функции защиты работают 14 дней). Для полной или выборочной проверки системы сканированием (с очисткой) достаточно Free версии. Можно зайти в Параметры- личный кабинет и деактивировать Premium версию
    .
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    http://s016.radikal.ru/i336/1711/0f/98188152169d.jpg
    Share on Google+
  • safetysafety
    PM
    Люся написал: »
    http://s016.radikal.ru/i336/1711/0f/98188152169d.jpg
    по скрину непонятно что там найдено, лучше добавить лог
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Что -то нужно удалить или обе позиции удалить?
    Share on Google+
  • ЛюсяЛюся
    PM
    Не знаю -как его добавить..Я сама вижу,что ругается на программу драйверпак.. Что в ней подозрительного.. Снимаю галочки, ничего не удаляю, пароль меняю..Наверно, на этом пока и все..
    Share on Google+
  • safetysafety
    PM
    Люся написал: »
    Не знаю -как его добавить..Я сама вижу,что ругается на программу драйверпак.. Что в ней подозрительного.. Снимаю галочки, ничего не удаляю, пароль меняю..Наверно, на этом пока и все..

    просто текст лога скопировать в сообщение, если он открылся в блокноте после завершения проверки.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Может я новый образ автозапуска выложу, а то я уже программу удалила млб?
    Share on Google+
  • safetysafety
    PM
    хорошо, выкладывай. надо проверить как зачистилась настройка прокси.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    safety написал: »
    Люся написал: »
    Не знаю -как его добавить..Я сама вижу,что ругается на программу драйверпак.. Что в ней подозрительного.. Снимаю галочки, ничего не удаляю, пароль меняю..Наверно, на этом пока и все..

    просто текст лога скопировать в сообщение, если он открылся в блокноте после завершения проверки.

    Не открылся..
    Share on Google+
  • ЛюсяЛюся
    PM
    ок,сейчас выложу..
    Share on Google+
  • ЛюсяЛюся
    PM
    http://rgho.st/private/7TlbbpGLf/f067fca6f6d13428e077903b9571b739
    Share on Google+
  • safetysafety
    PM
    Люся написал: »
    http://rgho.st/private/7TlbbpGLf/f067fca6f6d13428e077903b9571b739

    прокси теперь нет судя по образу,
    сделай еще проверку в адвКлинер/
    https://forum.esetnod32.ru/forum9/topic7084/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Спасибо, Саша. Сделаю попозже, приехали ко мне..
    Спасибо за помощь:)
    Share on Google+
  • safetysafety
    PM
    хорошо, пиши, как будет время. :)
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ЛюсяЛюся
    PM
    Договорились. :)
    Share on Google+
  • rp55rp55rp55rp55
    PM
    Есть ещё прокси:

    %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HBGKNJAGACLOFAPKGKEAPAMHMGLNBPHI\0.8.1_0\SKYZIP™ PROXY


    И есть VPN
    ( VPN может периодически не работать - но при этом не оповещать пользователя )
    = утечка данных.

    %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OMGHFJLPGGMJJAAGOCLMMOBGDODCJBOH\3.19.2_0\BROWSEC VPN - FREE AND UNLIMITED VPN

    +

    Файл определяется uVS как неизвестный ?
    C:\WINDOWS\EXPLORER.EXE
    Неизвестный файл использует ключ реестра часто используемый вирусами



    Share on Google+
  • safetysafety
    отредактировано November 2017 PM
    rp55rp55 написал: »
    Есть ещё прокси:
    ну, здесь я имею ввиду что нет настройки AutoConfigURL для браузеров в образе автозапуска после скрипта.
    HKEY_USERS\S-1-5-21-1844237615-1614895754-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
    хттр://config.anticenz.org/proxy.pac
    +
    rp55rp55 написал: »
    Файл определяется uVS как неизвестный ?
    C:\WINDOWS\EXPLORER.EXE
    Неизвестный файл использует ключ реестра часто используемый вирусами
    скорее всего, по причине что отсутствует файл известных,
    (!) БАЗА ИЗВЕСТНЫХ ФАЙЛОВ ОТСУТСТВУЕТ (!)
    потому что в предыдущем образе uVS ругнулся на этом файле только на отсутствие цифровой.

    по другим расширениям в Chrome (SKYZIP™ и FREE AND UNLIMITED VPN) имеет смысл пояснить, зачем они в системе, кем были установлены, используется ли в работе?



    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
Дискуссия закрыта.