В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Страничку в контакте взламывают по 2 раза за вечер. Может вирусная активность?

отредактировано September 2018 Раздел: Форум лечения заражений
Дорогие хелперы! Мою страничку подозрительно часто стали взламывать злоумышленники и рассылать от моего имени просьбы материального характера. Может вирус какой сидит?
Образ автозапуска http://rgho.st/65wQ7RNYc
Посмотрите, пожалуйста:)

Комментарии

  • отредактировано September 2018 PM
    вирусов судя по образу нет.

    по паролям: используй сложные пароли, которые создаются генератором паролей,
    для разных сайтов пароли должны быть разные,
    при авторизации не надо сохранять пароль в форме, для последующего автоматического входа,
    пароли лучше хранить в менеджере паролей, чтобы скопировать из него пароль и вставить в форму авторизации.
    подробнее здесь
    https://habr.com/company/pt/blog/263101/

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.0.17 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delref %SystemDrive%\PROGRAM FILES\NETWORKINDICATOR\NETWORKINDICATOR.EXE
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.23.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT_OLD\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.23.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ЛЮСЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT_OLD\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    deltmp
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6DF5B9F87CABAD312C4B7A34D1107DDF\C7D5CC3B0AF661EB0D2B9DA98C5D4D0C2C66DDAE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Саша, добрый день. Пароли я сама не придумываю. Их придумывают нам айтишники. Это не моё имя и дата рождения.. Пароли сложные, просто я их помню, т.к. пять лет пользуюсь. Непонятно -как этим уродам это удается..
  • отредактировано September 2018 PM
    добрый день, Люся. Если логин и пароль сохраняются при вводе в форму, тогда они легко извлекаются с помощью Spy программ (например, UFR stealer, mpr и др.). Возможно, стоит почаще менять пароль.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Возможно,но это крайне неудобно..Но если банк настаивает,что надо сменить - я меняю. А в соц.сетях, конечно, нет..
  • отредактировано September 2018 PM
    это важно: Не сохранять логин и пароль при вводе в форму, в противном случае они легко извлекаются с помощью Spy программ.

    ae2o5kipvm3o.jpg


    т.е. подобные галки в формах ввода логина и пароля надо снимать.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Да, я поняла...Хром сам сохраняет..Не успеваешь ответить -нет..
  • отредактировано September 2018 PM
    Привет !

    1) В Malwarebytes - всё найденное удалите.
    ( поместите в карантин )

    2) Выполните лог в AdwCleaner
    http://forum.esetnod32.ru/forum9/topic7084/

    после завершения сканирования:
    Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
    На вкладке:
    Папки (Folders) для Mail.Ru и Yandex снимите [V]


    Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
    с автоперезагрузкой

    3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
    По идее машин должно быть две.
    Одна на работе - одна дома.
    И утечка данных может происходить на любой из них.
    Но судя по регулярности вероятность утечки на работе выше.
    1) Пароли должен знать только один человек - т.е. вы сами.
    если вам дали пароль внесите в него изменение например добавив к нему дополнительный символ.
    2) Можно попробовать работать с портативной версией браузера - запуская браузер с флэшки - таким образом когда вас нет на месте у "доброжелателя" не будет возможности покопаться в вашем PC
    3) Сейчас есть расширения браузеров которые работают, как троянские программы.
    а) Расширений в браузере должно быть минимум.
    б) Устанавливать все расширения только с оф. сайтов.
    4) +
    Обязательно отключить синхронизацию во всех браузерах.
    В том числе и в портативной версии.

  • отредактировано September 2018 PM
    Люся написал: »
    Возможно,но это крайне неудобно..Но если банк настаивает,что надо сменить - я меняю. А в соц.сетях, конечно, нет..

    Если банк настаивает - надо обязательно менять пароль :). На рабочем компутере, конечно, меньше должно быть самодеятельности, если правила безопасной работы в сети регламентированы админами или IT.
    Если же прошла рассылка от имени твоего аккаунта в соцсетях, ICQ, Skype и т.п., значит пароль уже засвечен и кому-то известен, и периодически будет использоваться для распространения чего-либо по твоему списку контактов.... значит надо сразу менять пароль,
    если пользователю удобно работать с сохраненными паролями, тогда трояну становится удобнее извлекать пароли из сохраненных на диске данных. :).

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Спасибо за помошь ,ребята! Еще не все доделала,но пока вроде нормально все..
Дискуссия закрыта.