В компьютере чужой
У меня с компьютера воруют длинные пароли в течение нескольких часов после того, как я их меняю. Например, на почту gmail, пароль к которой я меняла сегодня, приходит письмо с ICQ с новым паролем, который я не запрашивала. Мне, естественно, очень интересно, кто за мной шпионит и как я могу от него отделаться. Буду очень благодарна за любую помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В программе Hijackthis пофиксите
следующие строки:
Если не сами писали в файл hosts строкиO2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
- удалите их, оставьте только строку12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.comпрограмма AVZ - файл - выполнить скрипт - выполните следующий скрипт:127.0.0.1 localhost
Система перезагрузится. После перезагрузки загрузите содержимое карантина по ссылке https://virusinfo.info/upload_virus.phpbegin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Greatis\RegRunSuite\RRShell.dll','');
QuarantineFile('c:\windows\system32\wtablet\tabuse rw.exe','');
QuarantineFile('c:\windows\system32\tablet.exe','' );
QuarantineFile('c:\progra~1\greatis\regrun~1\watch dog.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL','');
QuarantineFile('C:\PROGRA~1\INCRED~1\BHO\INCFIN~1. DLL','');
QuarantineFile('C:\PROGRA~1\RXTOOL~1\sfcont.dll',' ');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
QuarantineFile('C:\Program Files\Common files\updater\wupdater.exe','');
QuarantineFile('C:\WINDOWS\Hcontrol.exe','');
QuarantineFile('C:\WINDOWS\ATKOSD.exe','');
DeleteFile('C:\Program Files\Common files\updater\wupdater.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7276
Огромное спасибо за такой оперативный ответ!
Строчки пофиксила, карантин закачала, - вот, на всякий случай, данные:
Файл сохранён как 061225_165625_2006-12-26_45904909ab7eb.zip
Размер файла 649523
MD5 38ca5b63f460e20ad8a1bb34025e100b
Тоже на всякий случай: tablet - это, вроде бы, мой графический планшет.
Не могли бы Вы поподробнее рассказать про файл hosts? Я нашла поиском два, в C:\Documents and Settings\user\Мои документы\RegRun2\back28d_06m_06y_152840 и в C:\WINDOWS\system32\drivers\etc. Удалила указанную строчку в обоих. А есть еще файлы Hosts File Path_HKLM, hosts.bho и Imhosts - с ними надо что-то делать? Простите, пожалуйста, за дурацкий вопрос, - к сожалению, я совсем "чайник"
C:\WINDOWS\system32\drivers\etc\hosts - правильный файл hosts. Править вы его можете, например, из утилиты AVZ, меню "сервис"-"менеджер файла Hosts".
Теперь к вашей проблеме: все файлы, которые вы прислали, похоже, чистые. Часть файлов в карантин не попала. Пожалуйста, выполните следующее:
В программе Hijackthis пофиксите следующую строку:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
После выполнения скрипта в рабочей папке программы AVZ должен быть создан файл virus.zip. Загрузите его по ссылке https://virusinfo.info/upload_virus.phpbegin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL','');
QuarantineFile('C:\PROGRA~1\INCRED~1\BHO\INCFIN~1. DLL','');
QuarantineFile('C:\PROGRA~1\RXTOOL~1\sfcont.dll',' ');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
QuarantineFile('C:\Program Files\Common files\updater\wupdater.exe','');
DeleteFile('C:\Program Files\Common files\updater\wupdater.exe');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'virus.zip' );
end.
Ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7276
В любом случае, даже если virus.zip не будет создан, сделайте новые логи (п.п. 8-13 правил)
Строчку пофиксила, скрипт выполнила. К сожалению, вложения сделать сейчас нет возможности, а я очень обеспокоена этой проблемой, поэтому закачала пока файлы на ВэбФайл; буду очень благодарна, если у Вас найдется возможность скачать их оттуда (надеюсь, это не запрещено правилами).
virus.zip
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
У меня огромная просьба: если Вас не очень затруднит, не могли бы Вы в двух словах мне рассказать, что должно было измениться в результате моих действий, - или сказать, где об этом можно почитать. Я подозреваю, что у меня стоит перехватчик клавиатуры (т. к. пароли воруются сразу после того, как я их меняю). Могу ли я предпринять на данный момент какие-то меры безопасности? (Брандмауэр включен, стоит антивирус NOD32, RegRun, проверку AVZ проводила).
Письмо в Вашу почту можно отправить и без знания Вашего пароля. Запрос о смене пароля на аську, ответ на который Вы получили - тоже делается без пароля.Сообщение от Plateresca
Возможно, кто-то действительно интересуется Вами и Вашими паролями, но, на мой взгляд, пока еще ничего не говорит о том, что пароли действительно смогли украсть.
Письмо было в корзине, поэтому я подумала, что шпион был в почте. Удалить письмо в почте тоже можно без знания пароля?
Когда я просила выдать мне новый пароль на аську, я там отвечала на специальные вопросы, - их можно как-то обойти, да?
У меня одну аську уже украли, как - не знаю. Описанная история произошла через несколько дней со второй.
Я могу как-то узнать, кто это делает?
Спасибо, что отвечаете.
К вашему компьютеру кто-нибудь еще имеет доступ (может за ним работать)?Письмо было в корзине, поэтому я подумала, что шпион был в почте.
Ваш компьютер подключен к локальной сети?
Поменяйте пароли у всех учетных записей с правами администратора.
Это уже действительно нехорошо.
Сделайте, плиз, еще раз логи, посмотрим, что есть.
Еще раз логи?А те, которые я на Вэбфайл закачала, не годятся? Я же их буквально вчера вечером делала.
Полная проверка AVZ и NOD32 (по-очереди, естественно) ничего не находит.
Теперь про мой компьютер: у меня "выделенный доступ в Интернет по сетям кабельного телевидения", как написано на сайте провайдера, через кабельный модем.
Это домашний компьютер. Кроме меня, за ним никто никогда не работает. Он соединен с компьютером мужа через локальную сеть. Доступ у меня открыт только к одной папке, "Общие документы", но он и ее не может найти со своего компьютера. Я пользуюсь папкой Shared на его компьютере.
В то время, когда я меняла пароли, а потом находила письмо в почте, мужа за компьютером не было, но сам компьютер был включен и он-лайн.
Если Вас не очень затруднит, расскажите, пожалуйста, как поменять пароли у всех учетных записей с правами администратора. И очень-очень жду ответа на вопрос, что еще я могу предпринять в плане безопасности, а также связан ли fix строчек в HiJackThis и удаление строчки из файла Hosts непосредственно с этой проблемой.
Последний раз редактировалось Plateresca; 27.12.2006 в 16:21.
"Пуск" - "Панель управления"(возможен вариант "Пуск" - "Настройка" - "Панель управления") - "Учетные записи пользователей". Там - отключите учетную запись "Гость", если она включена, для остальных учетных записей создайте пароли. Только не забудьте их запомнить. Что касается остальных действий - это, по сути дела предварительный сбор информации, к сожалению, пока безрезультатный, потому что подозрительные файлы опять не попали в карантин. В связи с этим просьба: повторите хотя бы логи п.п. 10-13 правил Перед запуском Hijackthis закройте все программы, откройте окно обозревателя Internet Explorer (даже если вы пользуетесь другим браузером), и сделайте лог Hijackthis, не закрывая окна Internet Explorer.
OK, лог HiJackThis с открытым окном IE и, для разнообразия, лог XenAntiSpyware. Комментарий к последнему: у меня не вызывают подозрений Print Monitors OKI и Canon. У нас есть еще один принтер, Minolta; скорее всего, mlmon_c - его монитор. А вот Hcontrol.exe и Protocol Filter мне подозрительны, что это такое?
Скажите, пожалуйста, а почему подозрительные файлы не попадают в карантин? (Извините, если вопрос глупый). Я могу их выслать отдельно, без карантина? Или Вы имеете в виду, что в карантин попало все, что должно было попасть, но там нет ничего подозрительного?
По поводу паролей: "Гость" отключен, Администратору собиралась вводить пароль, но засомневалась: если, как я подозреваю, у меня действует перехватчик клавиатуры, который реагирует сразу или очень быстро на пароли, то, поставив пароль на эту запись, я его сразу сообщу шпиону. Не сможет он совсем заблокировать мне доступ к моему компьютеру с этим паролем?
Еще раз спасибо за внимание.
Рекомендации на данный момент:
1. Удалить RXToolbar, это Adware. Если она есть в "Установке и удалении
программ" - можно воспользоваться. После удаления и перезагрузки не должен остаться файл (лучше удалить и директорию RXToolBar)
C:\Program Files\RXToolBar\sfcont.dll
Если ее там нет, удалить можно так:
Сначала выполнить в командной строке (лучше FAR) это:
regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll
далее после перезагрузки файл можно удалить.
Также стоит удалить и для Need2Find
Удалить всё в C:\Program Files\Need2Find\
Пофиксить в hijackthis:
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O16 - DPF: {1DA3C4AB-E6B6-47A6-B0F3-1BD81524B51B} (ActiveWorldsDownload Control) - http://www.activeworlds.com/products...dsDownload.cab
Разобраться с этим:
NameServer = 62.16.99.40
NameServer = 87.237.112.10,195.91.215.34
что-то много DNS серверов. Какие должны быть у Вас ?
- стоило бы провериться другим антивирусом - CureIt, к примеру. Ссылка есть в Правилах.
- Зачем нужны в XP sp2:
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
лучше удалить, они как минимум бесполезны. Активация ХР sp2 делается по-другому.
RXToolbar нет в "Установке и удалении программ". FAR'а нет, когда я ввожу в командной строке "regsvr32 /u C:\Program Files\RXToolBar\sfcont.dll", получаю сообщение, "Ошибка при вызове LoadLibrary("C:\Program") - Не найден указанный модуль".
C:\Program Files\Need2Find\ - нет такой папки. Мне кажется, я уже давно удаляла Need2Find bar, во всяком случае, давно не видела никаких напоминаний о ней. Может быть, "коряво" удалила?
Строчки пофиксила. Скажите, пожалуйста, это у меня новые строчки появились со времени первого лога?
DNS сервера должно быть два, 87.237.112.10 и 195.91.215.34. Что такое 62.16.99.40, не знаю. Как мне с этим "разобраться"? В свойствах TCP/IP протокола такого адреса нет. Tracert не идет; домен на ipnet, есть у нас в городе такой провайдер. Я не знаю, может быть, мой Интернет как-то связан с ним, но пока не могу, к сожалению, дозвониться в тех. поддержку провайдера, чтобы уточнить (туда вообще редко получается дозвониться). Муж считает, что наш Интернет никак с АйПиНетом не связан.
Последний раз редактировалось Plateresca; 27.12.2006 в 17:42.
Про Windows: я покупала ее вместе с ноутбуком года два с половиной назад. По всей видимости, меня обманули продавцы, продав мне пиратскую версию вместо лицензионной. Не так давно, при запуске компьютера, я получила сообщение, что Windows необходимо активировать в течение 7 дней. Это произошло вскоре после того, как я установила SP2. В тот момент я не могла себе позволить переустановку Windows и воспользовалась crack'ом. В свое оправдание скажу, что в ближайшее время собираюсь покупать новый компьютер, на нем обязательно будет лицензионная Windows.
- вводите команду вот так, с кавычками.regsvr32 /u "C:\Program Files\RXToolBar\sfcont.dll"
Адресов DNS-серверов у вас не два, а три: 87.237.112.10 195.91.215.34 62.16.99.40 уберите лишний.
Строки
- активация Windows SP1. На SP2 не работает. "Пуск"-"Настройка"-"Панель управления" - "Администрирование" - "Службы" - найдите службу RESET 5, остановите ее и переведите тип запуска в "отключена"O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
Длинное имя, его надо в кавычках:
Или короткое имя указать:Код:regsvr32 /u "C:\Program Files\RXToolBar\sfcont.dll"
Код:regsvr32 /u C:\Progra~1\RXToolBar\sfcont.dll
Все равно ошибка, - что короткое имя, что с кавычками. У меня нет папки RXToolBar в Program Files.
Последний раз редактировалось Plateresca; 27.12.2006 в 17:54.
Сделала.
Так что же мне с "NameServer = 62.16.99.40" делать?
Не обязательно. FAR - просто файловый менеджер, которым в большинстве случаев удобнее пользоваться, чем стандартным проводником Windows. Проверьте адреса серверов DNS - уберите лишний.Все равно ошибка, - что короткое имя, что с кавычками
Надо FAR установить? Это может иметь отношение к моей проблеме?
В программе Hijackthis пофиксите строчку
, если такого адреса вам провайдер не давалO17 - HKLM\System\CCS\Services\Tcpip\..\{7929C663-B282-4EFC-8BF5-561BD8ED99F5}: NameServer = 62.16.99.40
Уважаемый(ая) Plateresca, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
