Привет всем :) Ребят просмотрите логи на наличие шпионского ПО.

[s-v-e-n43]

на работе решили установить слежение за трафиком хочу узнать что они поставили у нас админ л.... поставил Radmin я не думаю что он что то мог другое постивить но все таки

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно !!! Системное восстановление!!!как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('E:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\z53ta3yj.exe','');
 DeleteFile('E:\System Volume Information\_restore{79048A45-55FD-4EB3-B475-7CC1A3B7EBF7}\RP17\A0034289.EXE');
 DeleteFile('E:\System Volume Information\_restore{B2ADAEB2-EBE7-46F0-A773-C686B0D68EAD}\RP277\A0255359.exe');
 DeleteFile('E:\System Volume Information\_restore{B2ADAEB2-EBE7-46F0-A773-C686B0D68EAD}\RP277\A0255360.exe');
 DeleteFile('E:\System Volume Information\_restore{B2ADAEB2-EBE7-46F0-A773-C686B0D68EAD}\RP277\A0255544.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[s-v-e-n43]

Извините что так долго... выходной был пока я отдыхал тут еще помоему какие то изменения произошли.... помоему появились лишние процессы, такие как alg.exe, wdfmgr.exe, IoctlSvc.exe... насколько я помню их не было...

[AndreyKa]

решили установить слежение за трафиком хочу узнать что они поставили

За трафиком следят обычно на шлюзе и ставить на клиентские компьютеры ничего для этого не надо.
В логах не видно ничего подозрительного.

[s-v-e-n43]

Благодарю всех кто откликнулся :-) отсюда поподробней если можно :-) каким образом это делается и как это можно обойти? Если это конечно возможно.

[AndreyKa]

Тема выходит за рамки этого раздела. И мы вас плохому учить не будем.

[s-v-e-n43]

Я и не прошу вас учить меня плохому :-) вы мне вкратце объясните каким образом это делается. Насколько это сложно :-)

[s-v-e-n43]

ребят извиняюсь за назойливость )) посмотрите эти логи )) это с того же компа... что-нибудь есть? заранее спасибо

[AndreyKa]

E:\WINDOWS\system32\DllService.DLL - DrWEB: Trojan.Proxy.9964;

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('E:\WINDOWS\system32\DllService.DLL','');
 DeleteFile('E:\WINDOWS\system32\DllService.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[s-v-e-n43]

Это то что вы просили

[AndreyKa]

Чисто.

[s-v-e-n43]

премного благодарен ))

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. e:\windows\system32\dllservice.dll - Trojan-Proxy.Win32.Agent.ccv ( DrWEB: Trojan.Proxy.9964, BitDefender: Trojan.Generic.1753262, AVAST4: Win32:Trojan-gen )