У меня с компьютера воруют длинные пароли в течение нескольких часов после того, как я их меняю. Например, на почту gmail, пароль к которой я меняла сегодня, приходит письмо с ICQ с новым паролем, который я не запрашивала. Мне, естественно, очень интересно, кто за мной шпионит и как я могу от него отделаться. Буду очень благодарна за любую помощь.

В программе Hijackthis пофиксите (http://virusinfo.info/showthread.php?t=4491)
следующие строки:

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
Если не сами писали в файл hosts строки

12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com - удалите их, оставьте только строку
127.0.0.1 localhost
программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Greatis\RegRunSuite\RRShell.dll','');
QuarantineFile('c:\windows\system32\wtablet\tabuse rw.exe','');
QuarantineFile('c:\windows\system32\tablet.exe','' );
QuarantineFile('c:\progra~1\greatis\regrun~1\watch dog.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL','');
QuarantineFile('C:\PROGRA~1\INCRED~1\BHO\INCFIN~1. DLL','');
QuarantineFile('C:\PROGRA~1\RXTOOL~1\sfcont.dll',' ');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
QuarantineFile('C:\Program Files\Common files\updater\wupdater.exe','');
QuarantineFile('C:\WINDOWS\Hcontrol.exe','');
QuarantineFile('C:\WINDOWS\ATKOSD.exe','');
DeleteFile('C:\Program Files\Common files\updater\wupdater.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Система перезагрузится. После перезагрузки загрузите содержимое карантина по ссылке https://virusinfo.info/upload_virus.php
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7276

Огромное спасибо за такой оперативный ответ!
Строчки пофиксила, карантин закачала, - вот, на всякий случай, данные:
Файл сохранён как 061225_165625_2006-12-26_45904909ab7eb.zip
Размер файла 649523
MD5 38ca5b63f460e20ad8a1bb34025e100b
Тоже на всякий случай: tablet - это, вроде бы, мой графический планшет.
Не могли бы Вы поподробнее рассказать про файл hosts? Я нашла поиском два, в C:\Documents and Settings\user\Мои документы\RegRun2\back28d_06m_06y_152840 и в C:\WINDOWS\system32\drivers\etc. Удалила указанную строчку в обоих. А есть еще файлы Hosts File Path_HKLM, hosts.bho и Imhosts - с ними надо что-то делать? Простите, пожалуйста, за дурацкий вопрос, - к сожалению, я совсем "чайник" :)

C:\WINDOWS\system32\drivers\etc\hosts - правильный файл hosts. Править вы его можете, например, из утилиты AVZ, меню "сервис"-"менеджер файла Hosts".
Теперь к вашей проблеме: все файлы, которые вы прислали, похоже, чистые. Часть файлов в карантин не попала. Пожалуйста, выполните следующее:
В программе Hijackthis пофиксите (http://virusinfo.info/showthread.php?t=4491) следующую строку:
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL','');
QuarantineFile('C:\PROGRA~1\INCRED~1\BHO\INCFIN~1. DLL','');
QuarantineFile('C:\PROGRA~1\RXTOOL~1\sfcont.dll',' ');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
QuarantineFile('C:\Program Files\Common files\updater\wupdater.exe','');
DeleteFile('C:\Program Files\Common files\updater\wupdater.exe');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'virus.zip' );
end.
После выполнения скрипта в рабочей папке программы AVZ должен быть создан файл virus.zip. Загрузите его по ссылке https://virusinfo.info/upload_virus.php
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7276
В любом случае, даже если virus.zip не будет создан, сделайте новые логи (п.п. 8-13 правил (http://virusinfo.info/showthread.php?t=1235))

Строчку пофиксила, скрипт выполнила. К сожалению, вложения сделать сейчас нет возможности, а я очень обеспокоена этой проблемой, поэтому закачала пока файлы на ВэбФайл; буду очень благодарна, если у Вас найдется возможность скачать их оттуда (надеюсь, это не запрещено правилами).
virus.zip (http://webfile.ru/1257057)
virusinfo_syscure.zip (http://webfile.ru/1257064)
virusinfo_syscheck.zip (http://webfile.ru/1257068)
hijackthis.log (http://webfile.ru/1257082)

У меня огромная просьба: если Вас не очень затруднит, не могли бы Вы в двух словах мне рассказать, что должно было измениться в результате моих действий, - или сказать, где об этом можно почитать. Я подозреваю, что у меня стоит перехватчик клавиатуры (т. к. пароли воруются сразу после того, как я их меняю). Могу ли я предпринять на данный момент какие-то меры безопасности? (Брандмауэр включен, стоит антивирус NOD32, RegRun, проверку AVZ проводила).

У меня с компьютера воруют длинные пароли в течение нескольких часов после того, как я их меняю. Например, на почту gmail, пароль к которой я меняла сегодня, приходит письмо с ICQ с новым паролем, который я не запрашивала. Мне, естественно, очень интересно, кто за мной шпионит и как я могу от него отделаться. Буду очень благодарна за любую помощь.

Письмо в Вашу почту можно отправить и без знания Вашего пароля. Запрос о смене пароля на аську, ответ на который Вы получили - тоже делается без пароля.
Возможно, кто-то действительно интересуется Вами и Вашими паролями, но, на мой взгляд, пока еще ничего не говорит о том, что пароли действительно смогли украсть.

Письмо было в корзине, поэтому я подумала, что шпион был в почте. Удалить письмо в почте тоже можно без знания пароля?
Когда я просила выдать мне новый пароль на аську, я там отвечала на специальные вопросы, - их можно как-то обойти, да?
У меня одну аську уже украли, как - не знаю. Описанная история произошла через несколько дней со второй.
Я могу как-то узнать, кто это делает?
Спасибо, что отвечаете.

Письмо было в корзине, поэтому я подумала, что шпион был в почте.
К вашему компьютеру кто-нибудь еще имеет доступ (может за ним работать)?
Ваш компьютер подключен к локальной сети?
Поменяйте пароли у всех учетных записей с правами администратора.

Это уже действительно нехорошо.
Сделайте, плиз, еще раз логи, посмотрим, что есть.

Еще раз логи? :( А те, которые я на Вэбфайл закачала, не годятся? Я же их буквально вчера вечером делала.
Полная проверка AVZ и NOD32 (по-очереди, естественно) ничего не находит.
Теперь про мой компьютер: у меня "выделенный доступ в Интернет по сетям кабельного телевидения", как написано на сайте провайдера, через кабельный модем.
Это домашний компьютер. Кроме меня, за ним никто никогда не работает. Он соединен с компьютером мужа через локальную сеть. Доступ у меня открыт только к одной папке, "Общие документы", но он и ее не может найти со своего компьютера. Я пользуюсь папкой Shared на его компьютере.
В то время, когда я меняла пароли, а потом находила письмо в почте, мужа за компьютером не было, но сам компьютер был включен и он-лайн.
Если Вас не очень затруднит, расскажите, пожалуйста, как поменять пароли у всех учетных записей с правами администратора. И очень-очень жду ответа на вопрос, что еще я могу предпринять в плане безопасности, а также связан ли fix строчек в HiJackThis и удаление строчки из файла Hosts непосредственно с этой проблемой.

Если Вас не очень затруднит, расскажите, пожалуйста, как поменять пароли у всех учетных записей с правами администратора. И очень-очень жду ответа на вопрос, что еще я могу предпринять в плане безопасности, а также связан ли fix строчек в HiJackThis и удаление строчки из файла Hosts непосредственно с этой проблемой. "Пуск" - "Панель управления"(возможен вариант "Пуск" - "Настройка" - "Панель управления") - "Учетные записи пользователей". Там - отключите учетную запись "Гость", если она включена, для остальных учетных записей создайте пароли. Только не забудьте их запомнить. Что касается остальных действий - это, по сути дела предварительный сбор информации, к сожалению, пока безрезультатный, потому что подозрительные файлы опять не попали в карантин. В связи с этим просьба: повторите хотя бы логи п.п. 10-13 правил (http://virusinfo.info/showthread.php?t=1235) Перед запуском Hijackthis закройте все программы, откройте окно обозревателя Internet Explorer (даже если вы пользуетесь другим браузером), и сделайте лог Hijackthis, не закрывая окна Internet Explorer.

OK, лог HiJackThis с открытым окном IE и, для разнообразия, лог XenAntiSpyware. Комментарий к последнему: у меня не вызывают подозрений Print Monitors OKI и Canon. У нас есть еще один принтер, Minolta; скорее всего, mlmon_c - его монитор. А вот Hcontrol.exe и Protocol Filter мне подозрительны, что это такое?
Скажите, пожалуйста, а почему подозрительные файлы не попадают в карантин? (Извините, если вопрос глупый). Я могу их выслать отдельно, без карантина? Или Вы имеете в виду, что в карантин попало все, что должно было попасть, но там нет ничего подозрительного?
По поводу паролей: "Гость" отключен, Администратору собиралась вводить пароль, но засомневалась: если, как я подозреваю, у меня действует перехватчик клавиатуры, который реагирует сразу или очень быстро на пароли, то, поставив пароль на эту запись, я его сразу сообщу шпиону. Не сможет он совсем заблокировать мне доступ к моему компьютеру с этим паролем?
Еще раз спасибо за внимание.

Рекомендации на данный момент:
1. Удалить RXToolbar, это Adware. Если она есть в "Установке и удалении
программ" - можно воспользоваться. После удаления и перезагрузки не должен остаться файл (лучше удалить и директорию RXToolBar)
C:\Program Files\RXToolBar\sfcont.dll
Если ее там нет, удалить можно так:
Сначала выполнить в командной строке (лучше FAR) это:
regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll
далее после перезагрузки файл можно удалить.

Также стоит удалить и для Need2Find
Удалить всё в C:\Program Files\Need2Find\
Пофиксить в hijackthis:
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O16 - DPF: {1DA3C4AB-E6B6-47A6-B0F3-1BD81524B51B} (ActiveWorldsDownload Control) - http://www.activeworlds.com/products/ActiveWorldsDownload.cab

Разобраться с этим:
NameServer = 62.16.99.40
NameServer = 87.237.112.10,195.91.215.34
что-то много DNS серверов. Какие должны быть у Вас ?

- стоило бы провериться другим антивирусом - CureIt, к примеру. Ссылка есть в Правилах.
- Зачем нужны в XP sp2:
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
лучше удалить, они как минимум бесполезны. Активация ХР sp2 делается по-другому.

RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".
C:\Program Files\Need2Find\ - нет такой папки. Мне кажется, я уже давно удаляла Need2Find bar, во всяком случае, давно не видела никаких напоминаний о ней. Может быть, "коряво" удалила?
Строчки пофиксила. Скажите, пожалуйста, это у меня новые строчки появились со времени первого лога?
DNS сервера должно быть два, 87.237.112.10 и 195.91.215.34. Что такое 62.16.99.40, не знаю. Как мне с этим "разобраться"? В свойствах TCP/IP протокола такого адреса нет. Tracert не идет; домен на ipnet, есть у нас в городе такой провайдер. Я не знаю, может быть, мой Интернет как-то связан с ним, но пока не могу, к сожалению, дозвониться в тех. поддержку провайдера, чтобы уточнить (туда вообще редко получается дозвониться). Муж считает, что наш Интернет никак с АйПиНетом не связан.

Про Windows: я покупала ее вместе с ноутбуком года два с половиной назад. По всей видимости, меня обманули продавцы, продав мне пиратскую версию вместо лицензионной. Не так давно, при запуске компьютера, я получила сообщение, что Windows необходимо активировать в течение 7 дней. Это произошло вскоре после того, как я установила SP2. В тот момент я не могла себе позволить переустановку Windows и воспользовалась crack'ом. В свое оправдание скажу, что в ближайшее время собираюсь покупать новый компьютер, на нем обязательно будет лицензионная Windows.

RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".
C:\Program Files\Need2Find\ - нет такой папки. Мне кажется, я уже давно удаляла Need2Find bar, во всяком случае, давно не видела никаких напоминаний о ней. Может быть, "коряво" удалила?
Строчки пофиксила. Скажите, пожалуйста, это у меня новые строчки появились со времени первого лога?
DNS сервера должно быть два, все правильно.

regsvr32 /u "C:\Program Files\RXToolBar\sfcont.dll"
- вводите команду вот так, с кавычками.
Адресов DNS-серверов у вас не два, а три: 87.237.112.10 195.91.215.34 62.16.99.40 уберите лишний.
Строки

O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe - активация Windows SP1. На SP2 не работает. "Пуск"-"Настройка"-"Панель управления" - "Администрирование" - "Службы" - найдите службу RESET 5, остановите ее и переведите тип запуска в "отключена"

RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".
Длинное имя, его надо в кавычках:

regsvr32 /u "C:\Program Files\RXToolBar\sfcont.dll"
Или короткое имя указать:

regsvr32 /u C:\Progra~1\RXToolBar\sfcont.dll

Все равно ошибка, - что короткое имя, что с кавычками. У меня нет папки RXToolBar в Program Files.

"Пуск"-"Настройка"-"Панель управления" - "Администрирование" - "Службы" - найдите службу RESET 5, остановите ее и переведите тип запуска в "отключена"
Сделала.

Так что же мне с "NameServer = 62.16.99.40" делать?

Все равно ошибка, - что короткое имя, что с кавычками :(
Надо FAR установить? Это может иметь отношение к моей проблеме?
Не обязательно. FAR - просто файловый менеджер, которым в большинстве случаев удобнее пользоваться, чем стандартным проводником Windows. Проверьте адреса серверов DNS - уберите лишний.
В программе Hijackthis пофиксите строчку

O17 - HKLM\System\CCS\Services\Tcpip\..\{7929C663-B282-4EFC-8BF5-561BD8ED99F5}: NameServer = 62.16.99.40 , если такого адреса вам провайдер не давал

Update.

Строчку пофиксила. Дозвонилась до своего провайдера; мне сказали, что мое подключение к Интернет никакого отношения к провайдеру IPNet, которому принадлежит этот адрес, не имеет. Я правильно понимаю, что захватчик ко мне приходил с этого адреса, и мне следует обратиться к провайдеру IPNet для дальнейшего выяснения ситуации?

Сделала полную проверку CureIt. Не могу, к сожалению, разобраться, как сделать лог (если это вообще возможно), поэтому так напишу. Вот, что было по результатам проверки удалено: SrvAny (c:\windows\system32, статус: Program.SrvAny) и Current Home Page_HKCU.reg (C:\Documents and Settings\user\Мои документы\RegRun2\back28d_06m_06y_152840, статус: Trojan.StartPage.1505)
Большое спасибо за то, что посоветовали сделать проверку этой программой. Может быть, стоит добавить в правила рекомендацию воспользоваться ей в любом случае, даже если у пользователя уже есть антивирус (для таких незадачливых пользователей, как я)?

На всякий случай, прикрепляю новый лог HiJackThis. Лог Xen, как я понимаю, оказался бесполезен, да?

Могу ли я быть уверена, что теперь захватчик не имеет доступа к моему компьютеру? Что мне предпринять для того, чтобы не дать ему возможности вернуться? Можно ли установить, каким образом ко мне прописался лишний адрес DNS, и поставить какой-то запрет на подобные являения? В общем, жду дальнейших инструкций.

Знаете, девушка, всё, что удалено - почти наверняка не имеет отношения к хищению паролей.
Это всё неприятные вещи, но пароли они не воруют. Больше похоже на остатки от уже удаленной адвари. Они интересуются не паролями, а посещениями Вами сайтов и т.п., чтобы показывать свою и чью-то тематическую рекламу.
Я пас. Вы действительно убедили меня в том, что пароли уходят на сторону. Раз и CureIt не видит ничего - думаю, осталась единственная надежная рекомендация в такой ситуации - переустановить Windows с нуля, желательно сразу XP sp2.
Сорри, конечно, но это действительно будет наиболее быстрый и надежный путь.

Сразу поставить файерволл, не пользоваться IE для выхода в интернет. Обязательно иметь нормальные и только Ваши пароли для записей администратора, но работать в Интернете под ограниченным пользователем. Сменить все пароли в Интернете. Локальные тоже другие.

Понятно. Спасибо.
То есть, удаление лишнего ДНС-адреса ничего не дало, потому что он опять может придти, так?
Спасибо за внимание.

Извините за настырность, но меня все-таки беспокоит тот факт, что шпион может снова придти ко мне точно таким же способом и после переустановки Windows.
А вот об этом что скажете (см. аттач и лог)?
По описанию очень похоже на такой перехватчик клавиатуры, который я ожидала найти. (Прошу прощения, только сейчас увидела, что криво обрезала скрин, см. лог).
Я нажала в AntiSpy "Удалить", ctfmon удалился из реестра, но сам файл остался. AntiSpy после этого больше TotalSpy не находил, но и панель переключения языков у меня пропала. Я прописала вручную в реестре ctfmon, - AntiSpy опять нашел "жучка".
Я заменила в безопасном режиме свой файл ctfmon на новый, - все то же самое. Фиксить тоже пробовала. Потом скачала TotalSpy (не на свой компьютер), посмотреть, какие у него файлы бывают. Есть файл cftmon (буквы поменялись местами). Поискала такой файл у себя на компьютере - нет. Поискала в реестре, - он находится только в Search Assistant, т. е., мой же поиск.
Потом я заменила файл msctf на новый (в безопасном режиме). После этого, по всей видимости, начались глюки. Я могу прописать ctfmon в реестр, и после этого AntiSpy не находит TotalSpy, но и ctfmon потом пропадает из реестра. RegRun спрашивает об этом изменении, я от него отказываюсь (т. е., говорю, что нужен ctfmon), но в реестр он попадает все равно ненадолго (Выполнить ctfmon.exe, потом regedit - есть ctfmon, через несколько минут regedit - нет ctfmon'а). Языковой панели нет; если нажать Панели инструментов - Языковая панель, то поставить галочку напротив нее не получается. В меню Пуск - Настройка - Панель управления - Язык и региональные стандарты - Языки - Подробнее "Языковую панель" иногда можно нажать, иногда - нет (видимо, зависит от того, куда в данный момент скакнул ctfmon, в реестр или из реестра). Когда ее можно нажать, я пробовала снимать и проставлять галочки, но безрезультатно.
Соответственно, и клавиатура то переключается, то нет (сейчас пока switcher поставила).
Что посоветуете предпринять? Хотелось бы все-таки починить языковую панель, но, боюсь, как только она укоренится в реестре, сразу же и TotalSpy опять заработает (если, конечно, он не работает сейчас, на что я очень надеюсь).

Больше похоже на ложное срабатывание агавы на стандартную языковую панель винды.
По поводу "тем же путем придти" - в описании симантека четко указано по поводу TotalSpy:
This security risk must be manually installed

У мужа такая же Windows, но у него не находит эта программа TotalSpy.
Я так поняла, что у меня было соединение с каким-то посторонним компьютером, который мог что-то ко мне закинуть. Если это не так, может быть, кто-нибудь возьмет на себя труд объяснить мне, в чем был смысл вот этого третьего ДНС-сервера? Просто я в ближайшее время собираюсь выяснять ситуацию с этим провайдером, и, если этот адрес не имеет никакого отношения к шпиону, то мне лучше об этом сейчас узнать :)

А пришлите ваш ctfmon.exe для разборок.

Оригинального ctfmon'а уже нет, к сожалению. Тот, который сейчас, Агаве не подозрителен. Присылать его?
А, забыла сказать: программа AntiSpy сразу после установки проводит проверку, а потом обновляет базы. Так вот, до обновления баз ТоталСпая не находилось у меня. Не знаю, вдруг это важно.