Строчку пофиксила. Дозвонилась до своего провайдера; мне сказали, что мое подключение к Интернет никакого отношения к провайдеру IPNet, которому принадлежит этот адрес, не имеет. Я правильно понимаю, что захватчик ко мне приходил с этого адреса, и мне следует обратиться к провайдеру IPNet для дальнейшего выяснения ситуации?
Сделала полную проверку CureIt. Не могу, к сожалению, разобраться, как сделать лог (если это вообще возможно), поэтому так напишу. Вот, что было по результатам проверки удалено: SrvAny (c:\windows\system32, статус: Program.SrvAny) и Current Home Page_HKCU.reg (C:\Documents and Settings\user\Мои документы\RegRun2\back28d_06m_06y_152840, статус: Trojan.StartPage.1505)
Большое спасибо за то, что посоветовали сделать проверку этой программой. Может быть, стоит добавить в правила рекомендацию воспользоваться ей в любом случае, даже если у пользователя уже есть антивирус (для таких незадачливых пользователей, как я)?
На всякий случай, прикрепляю новый лог HiJackThis. Лог Xen, как я понимаю, оказался бесполезен, да?
Могу ли я быть уверена, что теперь захватчик не имеет доступа к моему компьютеру? Что мне предпринять для того, чтобы не дать ему возможности вернуться? Можно ли установить, каким образом ко мне прописался лишний адрес DNS, и поставить какой-то запрет на подобные являения? В общем, жду дальнейших инструкций.
Последний раз редактировалось Plateresca; 27.12.2006 в 21:08.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Знаете, девушка, всё, что удалено - почти наверняка не имеет отношения к хищению паролей.
Это всё неприятные вещи, но пароли они не воруют. Больше похоже на остатки от уже удаленной адвари. Они интересуются не паролями, а посещениями Вами сайтов и т.п., чтобы показывать свою и чью-то тематическую рекламу.
Я пас. Вы действительно убедили меня в том, что пароли уходят на сторону. Раз и CureIt не видит ничего - думаю, осталась единственная надежная рекомендация в такой ситуации - переустановить Windows с нуля, желательно сразу XP sp2.
Сорри, конечно, но это действительно будет наиболее быстрый и надежный путь.
Сразу поставить файерволл, не пользоваться IE для выхода в интернет. Обязательно иметь нормальные и только Ваши пароли для записей администратора, но работать в Интернете под ограниченным пользователем. Сменить все пароли в Интернете. Локальные тоже другие.
Извините за настырность, но меня все-таки беспокоит тот факт, что шпион может снова придти ко мне точно таким же способом и после переустановки Windows.
А вот об этом что скажете (см. аттач и лог)?
По описанию очень похоже на такой перехватчик клавиатуры, который я ожидала найти. (Прошу прощения, только сейчас увидела, что криво обрезала скрин, см. лог).
Я нажала в AntiSpy "Удалить", ctfmon удалился из реестра, но сам файл остался. AntiSpy после этого больше TotalSpy не находил, но и панель переключения языков у меня пропала. Я прописала вручную в реестре ctfmon, - AntiSpy опять нашел "жучка".
Я заменила в безопасном режиме свой файл ctfmon на новый, - все то же самое. Фиксить тоже пробовала. Потом скачала TotalSpy (не на свой компьютер), посмотреть, какие у него файлы бывают. Есть файл cftmon (буквы поменялись местами). Поискала такой файл у себя на компьютере - нет. Поискала в реестре, - он находится только в Search Assistant, т. е., мой же поиск.
Потом я заменила файл msctf на новый (в безопасном режиме). После этого, по всей видимости, начались глюки. Я могу прописать ctfmon в реестр, и после этого AntiSpy не находит TotalSpy, но и ctfmon потом пропадает из реестра. RegRun спрашивает об этом изменении, я от него отказываюсь (т. е., говорю, что нужен ctfmon), но в реестр он попадает все равно ненадолго (Выполнить ctfmon.exe, потом regedit - есть ctfmon, через несколько минут regedit - нет ctfmon'а). Языковой панели нет; если нажать Панели инструментов - Языковая панель, то поставить галочку напротив нее не получается. В меню Пуск - Настройка - Панель управления - Язык и региональные стандарты - Языки - Подробнее "Языковую панель" иногда можно нажать, иногда - нет (видимо, зависит от того, куда в данный момент скакнул ctfmon, в реестр или из реестра). Когда ее можно нажать, я пробовала снимать и проставлять галочки, но безрезультатно.
Соответственно, и клавиатура то переключается, то нет (сейчас пока switcher поставила).
Что посоветуете предпринять? Хотелось бы все-таки починить языковую панель, но, боюсь, как только она укоренится в реестре, сразу же и TotalSpy опять заработает (если, конечно, он не работает сейчас, на что я очень надеюсь).
Последний раз редактировалось Plateresca; 28.12.2006 в 07:56.
Больше похоже на ложное срабатывание агавы на стандартную языковую панель винды.
По поводу "тем же путем придти" - в описании симантека четко указано по поводу TotalSpy:
This security risk must be manually installed
У мужа такая же Windows, но у него не находит эта программа TotalSpy.
Я так поняла, что у меня было соединение с каким-то посторонним компьютером, который мог что-то ко мне закинуть. Если это не так, может быть, кто-нибудь возьмет на себя труд объяснить мне, в чем был смысл вот этого третьего ДНС-сервера? Просто я в ближайшее время собираюсь выяснять ситуацию с этим провайдером, и, если этот адрес не имеет никакого отношения к шпиону, то мне лучше об этом сейчас узнать
Оригинального ctfmon'а уже нет, к сожалению. Тот, который сейчас, Агаве не подозрителен. Присылать его?
А, забыла сказать: программа AntiSpy сразу после установки проводит проверку, а потом обновляет базы. Так вот, до обновления баз ТоталСпая не находилось у меня. Не знаю, вдруг это важно.
Последний раз редактировалось Plateresca; 29.12.2006 в 04:11.
Уважаемый(ая) Plateresca, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
