Страничку в контакте взламывают по 2 раза за вечер. Может вирусная активность?

Люся

Дорогие хелперы! Мою страничку подозрительно часто стали взламывать злоумышленники и рассылать от моего имени просьбы материального характера. Может вирус какой сидит?
Образ автозапуска http://rgho.st/65wQ7RNYc
Посмотрите, пожалуйста:)

safety

вирусов судя по образу нет.

по паролям: используй сложные пароли, которые создаются генератором паролей,
для разных сайтов пароли должны быть разные,
при авторизации не надо сохранять пароль в форме, для последующего автоматического входа,
пароли лучше хранить в менеджере паролей, чтобы скопировать из него пароль и вставить в форму авторизации.
подробнее здесь
https://habr.com/company/pt/blog/263101/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES\NETWORKINDICATOR\NETWORKINDICATOR.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.23.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT_OLD\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.23.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT_OLD\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6DF5B9F87CABAD312C4B7A34D1107DDF\C7D5CC3B0AF661EB0D2B9DA98C5D4D0C2C66DDAE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

---

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Люся

Саша, добрый день. Пароли я сама не придумываю. Их придумывают нам айтишники. Это не моё имя и дата рождения.. Пароли сложные, просто я их помню, т.к. пять лет пользуюсь. Непонятно -как этим уродам это удается..

safety

добрый день, Люся. Если логин и пароль сохраняются при вводе в форму, тогда они легко извлекаются с помощью Spy программ (например, UFR stealer, mpr и др.). Возможно, стоит почаще менять пароль.

Люся

Возможно,но это крайне неудобно..Но если банк настаивает,что надо сменить - я меняю. А в соц.сетях, конечно, нет..

safety

это важно: Не сохранять логин и пароль при вводе в форму, в противном случае они легко извлекаются с помощью Spy программ.




т.е. подобные галки в формах ввода логина и пароля надо снимать.

Люся

Да, я поняла...Хром сам сохраняет..Не успеваешь ответить -нет..

Люся

Саша, проверку в млб сделала.

http://rgho.st/private/7WcjTBckl/8e63daeee671f810ad7ca7e2ee29544d

rp55rp55

Привет !

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

---

По идее машин должно быть две.
Одна на работе - одна дома.
И утечка данных может происходить на любой из них.
Но судя по регулярности вероятность утечки на работе выше.
1) Пароли должен знать только один человек - т.е. вы сами.
если вам дали пароль внесите в него изменение например добавив к нему дополнительный символ.
2) Можно попробовать работать с портативной версией браузера - запуская браузер с флэшки - таким образом когда вас нет на месте у "доброжелателя" не будет возможности покопаться в вашем PC
3) Сейчас есть расширения браузеров которые работают, как троянские программы.
а) Расширений в браузере должно быть минимум.
б) Устанавливать все расширения только с оф. сайтов.
4) +
Обязательно отключить синхронизацию во всех браузерах.
В том числе и в портативной версии.

safety

Люся написал: »

Возможно,но это крайне неудобно..Но если банк настаивает,что надо сменить - я меняю. А в соц.сетях, конечно, нет..

Если банк настаивает - надо обязательно менять пароль . На рабочем компутере, конечно, меньше должно быть самодеятельности, если правила безопасной работы в сети регламентированы админами или IT.
Если же прошла рассылка от имени твоего аккаунта в соцсетях, ICQ, Skype и т.п., значит пароль уже засвечен и кому-то известен, и периодически будет использоваться для распространения чего-либо по твоему списку контактов.... значит надо сразу менять пароль,

---

если пользователю удобно работать с сохраненными паролями, тогда трояну становится удобнее извлекать пароли из сохраненных на диске данных. .

Люся

Спасибо за помошь ,ребята! Еще не все доделала,но пока вроде нормально все..