В компьютере чужой

У меня с компьютера воруют длинные пароли в течение нескольких часов после того, как я их меняю. Например, на почту gmail, пароль к которой я меняла сегодня, приходит письмо с ICQ с новым паролем, который я не запрашивала. Мне, естественно, очень интересно, кто за мной шпионит и как я могу от него отделаться. Буду очень благодарна за любую помощь.

В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL]
следующие строки:
[QUOTE]O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)[/QUOTE]
Если не сами писали в файл hosts строки
[QUOTE]12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com[/QUOTE] - удалите их, оставьте только строку [QUOTE]127.0.0.1 localhost[/QUOTE]
программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Greatis\RegRunSuite\RRShell.dll','');
QuarantineFile('c:\windows\system32\wtablet\tabuserw.exe','');
QuarantineFile('c:\windows\system32\tablet.exe','');
QuarantineFile('c:\progra~1\greatis\regrun~1\watchdog.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL','');
QuarantineFile('C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL','');
QuarantineFile('C:\PROGRA~1\RXTOOL~1\sfcont.dll','');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
QuarantineFile('C:\Program Files\Common files\updater\wupdater.exe','');
QuarantineFile('C:\WINDOWS\Hcontrol.exe','');
QuarantineFile('C:\WINDOWS\ATKOSD.exe','');
DeleteFile('C:\Program Files\Common files\updater\wupdater.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/QUOTE]
Система перезагрузится. После перезагрузки загрузите содержимое карантина по ссылке [url]https://virusinfo.info/upload_virus.php[/url]
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7276

Огромное спасибо за такой оперативный ответ!
Строчки пофиксила, карантин закачала, - вот, на всякий случай, данные:
Файл сохранён как 061225_165625_2006-12-26_45904909ab7eb.zip
Размер файла 649523
MD5 38ca5b63f460e20ad8a1bb34025e100b
Тоже на всякий случай: tablet - это, вроде бы, мой графический планшет.
Не могли бы Вы поподробнее рассказать про файл hosts? Я нашла поиском два, в C:\Documents and Settings\user\Мои документы\RegRun2\back28d_06m_06y_152840 и в C:\WINDOWS\system32\drivers\etc. Удалила указанную строчку в обоих. А есть еще файлы Hosts File Path_HKLM, hosts.bho и Imhosts - с ними надо что-то делать? Простите, пожалуйста, за дурацкий вопрос, - к сожалению, я совсем "чайник" :)

C:\WINDOWS\system32\drivers\etc\hosts - правильный файл hosts. Править вы его можете, например, из утилиты AVZ, меню "сервис"-"менеджер файла Hosts".
Теперь к вашей проблеме: все файлы, которые вы прислали, похоже, чистые. Часть файлов в карантин не попала. Пожалуйста, выполните следующее:
В программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] следующую строку: [QUOTE]R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)[/QUOTE]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
[QUOTE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL','');
QuarantineFile('C:\PROGRA~1\INCRED~1\BHO\INCFIN~1. DLL','');
QuarantineFile('C:\PROGRA~1\RXTOOL~1\sfcont.dll',' ');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
QuarantineFile('C:\Program Files\Common files\updater\wupdater.exe','');
DeleteFile('C:\Program Files\Common files\updater\wupdater.exe');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.[/QUOTE]
После выполнения скрипта в рабочей папке программы AVZ должен быть создан файл virus.zip. Загрузите его по ссылке [url]https://virusinfo.info/upload_virus.php[/url]
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7276
В любом случае, даже если virus.zip не будет создан, сделайте новые логи (п.п. 8-13 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL])

Строчку пофиксила, скрипт выполнила. К сожалению, вложения сделать сейчас нет возможности, а я очень обеспокоена этой проблемой, поэтому закачала пока файлы на ВэбФайл; буду очень благодарна, если у Вас найдется возможность скачать их оттуда (надеюсь, это не запрещено правилами).
[URL="http://webfile.ru/1257057"]virus.zip[/URL]
[URL="http://webfile.ru/1257064"]virusinfo_syscure.zip[/URL]
[URL="http://webfile.ru/1257068"]virusinfo_syscheck.zip[/URL]
[URL="http://webfile.ru/1257082"]hijackthis.log[/URL]

У меня огромная просьба: если Вас не очень затруднит, не могли бы Вы в двух словах мне рассказать, что должно было измениться в результате моих действий, - или сказать, где об этом можно почитать. Я подозреваю, что у меня стоит перехватчик клавиатуры (т. к. пароли воруются сразу после того, как я их меняю). Могу ли я предпринять на данный момент какие-то меры безопасности? (Брандмауэр включен, стоит антивирус NOD32, RegRun, проверку AVZ проводила).

[QUOTE=Plateresca;89035]У меня с компьютера воруют длинные пароли в течение нескольких часов после того, как я их меняю. Например, на почту gmail, пароль к которой я меняла сегодня, приходит письмо с ICQ с новым паролем, который я не запрашивала. Мне, естественно, очень интересно, кто за мной шпионит и как я могу от него отделаться. Буду очень благодарна за любую помощь.[/QUOTE]

Письмо в Вашу почту можно отправить и без знания Вашего пароля. Запрос о смене пароля на аську, ответ на который Вы получили - тоже делается без пароля.
Возможно, кто-то действительно интересуется Вами и Вашими паролями, но, на мой взгляд, пока еще ничего не говорит о том, что пароли действительно смогли украсть.

Письмо было в корзине, поэтому я подумала, что шпион был в почте. Удалить письмо в почте тоже можно без знания пароля?
Когда я просила выдать мне новый пароль на аську, я там отвечала на специальные вопросы, - их можно как-то обойти, да?
У меня одну аську уже украли, как - не знаю. Описанная история произошла через несколько дней со второй.
Я могу как-то узнать, кто это делает?
Спасибо, что отвечаете.

[quote]Письмо было в корзине, поэтому я подумала, что шпион был в почте.[/quote]
К вашему компьютеру кто-нибудь еще имеет доступ (может за ним работать)?
Ваш компьютер подключен к локальной сети?
Поменяйте пароли у всех учетных записей с правами администратора.

Это уже действительно нехорошо.
Сделайте, плиз, еще раз логи, посмотрим, что есть.

Еще раз логи? :( А те, которые я на Вэбфайл закачала, не годятся? Я же их буквально вчера вечером делала.
Полная проверка AVZ и NOD32 (по-очереди, естественно) ничего не находит.
Теперь про мой компьютер: у меня "выделенный доступ в Интернет по сетям кабельного телевидения", как написано на сайте провайдера, через кабельный модем.
Это домашний компьютер. Кроме меня, за ним никто никогда не работает. Он соединен с компьютером мужа через локальную сеть. Доступ у меня открыт только к одной папке, "Общие документы", но он и ее не может найти со своего компьютера. Я пользуюсь папкой Shared на его компьютере.
В то время, когда я меняла пароли, а потом находила письмо в почте, мужа за компьютером не было, но сам компьютер был включен и он-лайн.
Если Вас не очень затруднит, расскажите, пожалуйста, как поменять пароли у всех учетных записей с правами администратора. И очень-очень жду ответа на вопрос, что еще я могу предпринять в плане безопасности, а также связан ли fix строчек в HiJackThis и удаление строчки из файла Hosts непосредственно с этой проблемой.

[quote=Plateresca;89173] Если Вас не очень затруднит, расскажите, пожалуйста, как поменять пароли у всех учетных записей с правами администратора. И очень-очень жду ответа на вопрос, что еще я могу предпринять в плане безопасности, а также связан ли fix строчек в HiJackThis и удаление строчки из файла Hosts непосредственно с этой проблемой.[/quote] "Пуск" - "Панель управления"(возможен вариант "Пуск" - "Настройка" - "Панель управления") - "Учетные записи пользователей". Там - отключите учетную запись "Гость", если она включена, для остальных учетных записей создайте пароли. Только не забудьте их запомнить. Что касается остальных действий - это, по сути дела предварительный сбор информации, к сожалению, пока безрезультатный, потому что подозрительные файлы опять не попали в карантин. В связи с этим просьба: повторите хотя бы логи п.п. 10-13 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] Перед запуском Hijackthis закройте все программы, откройте окно обозревателя Internet Explorer (даже если вы пользуетесь другим браузером), и сделайте лог Hijackthis, не закрывая окна Internet Explorer.

OK, лог HiJackThis с открытым окном IE и, для разнообразия, лог XenAntiSpyware. Комментарий к последнему: у меня не вызывают подозрений Print Monitors OKI и Canon. У нас есть еще один принтер, Minolta; скорее всего, mlmon_c - его монитор. А вот Hcontrol.exe и Protocol Filter мне подозрительны, что это такое?
Скажите, пожалуйста, а почему подозрительные файлы не попадают в карантин? (Извините, если вопрос глупый). Я могу их выслать отдельно, без карантина? Или Вы имеете в виду, что в карантин попало все, что должно было попасть, но там нет ничего подозрительного?
По поводу паролей: "Гость" отключен, Администратору собиралась вводить пароль, но засомневалась: если, как я подозреваю, у меня действует перехватчик клавиатуры, который реагирует сразу или очень быстро на пароли, то, поставив пароль на эту запись, я его сразу сообщу шпиону. Не сможет он совсем заблокировать мне доступ к моему компьютеру с этим паролем?
Еще раз спасибо за внимание.

Рекомендации на данный момент:
1. Удалить RXToolbar, это Adware. Если она есть в "Установке и удалении
программ" - можно воспользоваться. После удаления и перезагрузки не должен остаться файл (лучше удалить и директорию RXToolBar)
C:\Program Files\RXToolBar\sfcont.dll
Если ее там нет, удалить можно так:
Сначала выполнить в командной строке (лучше FAR) это:
regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll
далее после перезагрузки файл можно удалить.

Также стоит удалить и для Need2Find
Удалить всё в C:\Program Files\Need2Find\
Пофиксить в hijackthis:
O8 - Extra context menu item: &Search - [url]http://kn.bar.need2find.com/KN/menusearch.html?p=KN[/url]
O16 - DPF: {1DA3C4AB-E6B6-47A6-B0F3-1BD81524B51B} (ActiveWorldsDownload Control) - [url]http://www.activeworlds.com/products/ActiveWorldsDownload.cab[/url]

Разобраться с этим:
NameServer = 62.16.99.40
NameServer = 87.237.112.10,195.91.215.34
что-то много DNS серверов. Какие должны быть у Вас ?

- стоило бы провериться другим антивирусом - CureIt, к примеру. Ссылка есть в Правилах.
- Зачем нужны в XP sp2:
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
лучше удалить, они как минимум бесполезны. Активация ХР sp2 делается по-другому.

RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".
C:\Program Files\Need2Find\ - нет такой папки. Мне кажется, я уже давно удаляла Need2Find bar, во всяком случае, давно не видела никаких напоминаний о ней. Может быть, "коряво" удалила?
Строчки пофиксила. Скажите, пожалуйста, это у меня новые строчки появились со времени первого лога?
DNS сервера должно быть два, 87.237.112.10 и 195.91.215.34. Что такое 62.16.99.40, не знаю. Как мне с этим "разобраться"? В свойствах TCP/IP протокола такого адреса нет. Tracert не идет; домен на ipnet, есть у нас в городе такой провайдер. Я не знаю, может быть, мой Интернет как-то связан с ним, но пока не могу, к сожалению, дозвониться в тех. поддержку провайдера, чтобы уточнить (туда вообще редко получается дозвониться). Муж считает, что наш Интернет никак с АйПиНетом не связан.

Про Windows: я покупала ее вместе с ноутбуком года два с половиной назад. По всей видимости, меня обманули продавцы, продав мне пиратскую версию вместо лицензионной. Не так давно, при запуске компьютера, я получила сообщение, что Windows необходимо активировать в течение 7 дней. Это произошло вскоре после того, как я установила SP2. В тот момент я не могла себе позволить переустановку Windows и воспользовалась crack'ом. В свое оправдание скажу, что в ближайшее время собираюсь покупать новый компьютер, на нем обязательно будет лицензионная Windows.

[quote=Plateresca;89187]RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".
C:\Program Files\Need2Find\ - нет такой папки. Мне кажется, я уже давно удаляла Need2Find bar, во всяком случае, давно не видела никаких напоминаний о ней. Может быть, "коряво" удалила?
Строчки пофиксила. Скажите, пожалуйста, это у меня новые строчки появились со времени первого лога?
DNS сервера должно быть два, все правильно.[/quote]
[quote]regsvr32 /u "C:\Program Files\RXToolBar\sfcont.dll"
[/quote] - вводите команду вот так, с кавычками.
Адресов DNS-серверов у вас не два, а три: 87.237.112.10 195.91.215.34 62.16.99.40 уберите лишний.
Строки
[quote]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe[/quote] - активация Windows SP1. На SP2 не работает. "Пуск"-"Настройка"-"Панель управления" - "Администрирование" - "Службы" - найдите службу RESET 5, остановите ее и переведите тип запуска в "отключена"

[QUOTE=Plateresca;89187]RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".[/QUOTE]
Длинное имя, его надо в кавычках:
[code]regsvr32 /u "C:\Program Files\RXToolBar\sfcont.dll"[/code]
Или короткое имя указать:
[code]regsvr32 /u C:\Progra~1\RXToolBar\sfcont.dll[/code]

Все равно ошибка, - что короткое имя, что с кавычками. У меня нет папки RXToolBar в Program Files.

[quote=Numb;89191]"Пуск"-"Настройка"-"Панель управления" - "Администрирование" - "Службы" - найдите службу RESET 5, остановите ее и переведите тип запуска в "отключена"[/quote]
Сделала.

Так что же мне с "NameServer = 62.16.99.40" делать?

[quote=Plateresca;89193]Все равно ошибка, - что короткое имя, что с кавычками :(
Надо FAR установить? Это может иметь отношение к моей проблеме?[/quote]
Не обязательно. FAR - просто файловый менеджер, которым в большинстве случаев удобнее пользоваться, чем стандартным проводником Windows. Проверьте адреса серверов DNS - уберите лишний.
В программе Hijackthis пофиксите строчку
[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{7929C663-B282-4EFC-8BF5-561BD8ED99F5}: NameServer = 62.16.99.40[/QUOTE] , если такого адреса вам провайдер не давал