CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Проверить на вирусы

Уважаемые хэлперы. Уже в который раз взламывают мою страничку в контакте, рассылают от моего имени всякую ерунду. Пароли достаточно надежные ( придумывают айтишники на работе). С использованием чисел, регистра, никаких имен..Возможно вирус-кейлоггер сидит, ворует пароли? хотела бы убедиться, что это не так..Посмотрите,пожалуйста образ автозапуска.

http://rgho.st/6BR9ZMCm2

Комментарии

  • отредактировано Ноябрь 2017 PM
    Привет, Люся.
    прокси в настройках браузеров также может быть причиной потери паролей.
    Полное имя HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
    Имя файла HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Удовлетворяет критериям
    AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1) [auto (0)]

    Сохраненная информация на момент создания образа
    Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

    Ссылки на объект
    Ссылка HKEY_USERS\S-1-5-21-1844237615-1614895754-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
    AutoConfigURL https://config.anticenz.org/proxy.pac
    так же рекомендуем не ставить галочку на сайтах "сохранить пароль". ПАроль хранить в спец. сейфе, например, PasswordSafe.

    https://chklst.ru/discussion/62/password-safe?new=1
  • Доброе утро. Значит вирусов не обнаружено?
  • А нельзя все эти "подозрительные объекты" скриптом убрать?
  • Люся написал: »
    Доброе утро. Значит вирусов не обнаружено?
    вирусов нет, но настройка прокси подозрительна. Т.е. помимо обходов блокировок, она может и собирать пароли. Если ты давно ее используешь, а пароли стали утекать недавно, то может быть проблема в чем то другом.

    если нужен скрипт очистки систему, я добавлю его. судя по образу есть пара нежелательных расширений в Chrome.

  • выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
    apply
    
    regt 27
    deltmp
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
  • Давай, Саша, почистим..Я буду отслеживать ситуацию, т.к. в контакте всегда оповещают с какого браузера и когда выполнен вход..Началось с того,что вход выполнен с браузеров,которых нет у меня и в то время,когда я была офф лайн..:(
  • отредактировано Ноябрь 2017 PM
    Люся написал: »
    Давай, Саша, почистим..Я буду отслеживать ситуацию, т.к. в контакте всегда оповещают с какого браузера и когда выполнен вход..Началось с того,что вход выполнен с браузеров,которых нет у меня и в то время,когда я была офф лайн..:(

    значит, действительно пароль утек. скрипт написал выше. После очистки системы пароль к ВК лучше сменить.
  • Я его уже сменила вчера. Мне знакомые позвонили -спросили какая помощь мне нужна? От моего имени призывы о помощи рассылались..Так я и поняла,что взломали страничку.
  • отредактировано Ноябрь 2017 PM
    Люся написал: »
    Я его уже сменила вчера. Мне знакомые позвонили -спросили какая помощь мне нужна? От моего имени призывы о помощи рассылались..Так я и поняла,что взломали страничку.

    все таки, лучше очистить систему, и затем сменить пароль, потому что сейчас этот прокси в твоей системе активен. (если причина в нем, то и вчерашний пароль мог уже утечь.)
  • Ну я могу опять сменить в этом случае..
  • отредактировано Ноябрь 2017 PM
    Люся написал: »
    Ну я могу опять сменить в этом случае..
    если есть доступ к станице, то пароль надо сменить обязательно. (после очистки системы).

  • Быструю проверку в малвер-с запустила, только премиум версия, по-моему не деинсталлировалась..
  • отредактировано Ноябрь 2017 PM
    Люся написал: »
    Быструю проверку в малвер-с запустила, только премиум версия, по-моему не деинсталлировалась..

    в ознакомительном режиме она работает 14 дней, но можно перенастроить ее в режим Free версии.
    если вы скачиваете Free версию, по умолчанию устанавливается Premium версия в ознакомительном режиме. (функции защиты работают 14 дней). Для полной или выборочной проверки системы сканированием (с очисткой) достаточно Free версии. Можно зайти в Параметры- личный кабинет и деактивировать Premium версию
    .
  • Люся написал: »
    по скрину непонятно что там найдено, лучше добавить лог
  • Что -то нужно удалить или обе позиции удалить?
  • Не знаю -как его добавить..Я сама вижу,что ругается на программу драйверпак.. Что в ней подозрительного.. Снимаю галочки, ничего не удаляю, пароль меняю..Наверно, на этом пока и все..
  • Люся написал: »
    Не знаю -как его добавить..Я сама вижу,что ругается на программу драйверпак.. Что в ней подозрительного.. Снимаю галочки, ничего не удаляю, пароль меняю..Наверно, на этом пока и все..

    просто текст лога скопировать в сообщение, если он открылся в блокноте после завершения проверки.
  • Может я новый образ автозапуска выложу, а то я уже программу удалила млб?
  • хорошо, выкладывай. надо проверить как зачистилась настройка прокси.
  • safety написал: »
    Люся написал: »
    Не знаю -как его добавить..Я сама вижу,что ругается на программу драйверпак.. Что в ней подозрительного.. Снимаю галочки, ничего не удаляю, пароль меняю..Наверно, на этом пока и все..

    просто текст лога скопировать в сообщение, если он открылся в блокноте после завершения проверки.

    Не открылся..
  • ок,сейчас выложу..
  • Люся написал: »

    прокси теперь нет судя по образу,
    сделай еще проверку в адвКлинер/
    https://forum.esetnod32.ru/forum9/topic7084/
  • Спасибо, Саша. Сделаю попозже, приехали ко мне..
    Спасибо за помощь:)
  • хорошо, пиши, как будет время. :)
  • Договорились. :)
  • Есть ещё прокси:

    %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HBGKNJAGACLOFAPKGKEAPAMHMGLNBPHI\0.8.1_0\SKYZIP™ PROXY


    И есть VPN
    ( VPN может периодически не работать - но при этом не оповещать пользователя )
    = утечка данных.

    %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OMGHFJLPGGMJJAAGOCLMMOBGDODCJBOH\3.19.2_0\BROWSEC VPN - FREE AND UNLIMITED VPN

    +

    Файл определяется uVS как неизвестный ?
    C:\WINDOWS\EXPLORER.EXE
    Неизвестный файл использует ключ реестра часто используемый вирусами



  • отредактировано Ноябрь 2017 PM
    rp55rp55 написал: »
    Есть ещё прокси:
    ну, здесь я имею ввиду что нет настройки AutoConfigURL для браузеров в образе автозапуска после скрипта.
    HKEY_USERS\S-1-5-21-1844237615-1614895754-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
    хттр://config.anticenz.org/proxy.pac
    +
    rp55rp55 написал: »
    Файл определяется uVS как неизвестный ?
    C:\WINDOWS\EXPLORER.EXE
    Неизвестный файл использует ключ реестра часто используемый вирусами
    скорее всего, по причине что отсутствует файл известных,
    (!) БАЗА ИЗВЕСТНЫХ ФАЙЛОВ ОТСУТСТВУЕТ (!)
    потому что в предыдущем образе uVS ругнулся на этом файле только на отсутствие цифровой.

    по другим расширениям в Chrome (SKYZIP™ и FREE AND UNLIMITED VPN) имеет смысл пояснить, зачем они в системе, кем были установлены, используется ли в работе?



Дискуссия закрыта.