Помогите выяснить есть ли шпионская программа на компьютере

[program90]

Здравствуйте,
помогите выяснить есть ли на компьютере шпионская программа, например keylogger, троян или другие вирусные или шпионские программы. Мне кажется что кто читает то что я пишу. Узнал это по общению в чате, в котором очень долго сидел.
Три вложения прикреплены ниже.
Заранее спасибо,

[polword]

1.Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
 DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
 QuarantineFile('C:\MAD\TRACK\mad.exe','');
 QuarantineFile('C:\WIN\DOWS\LAX.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinVd32.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinFl32.sys','');
 DeleteService('WinVd32');
 DeleteService('WinFl32');
 QuarantineFile('C:\DOCUME~1\Mors\LOCALS~1\Temp\nT1Ypkcd.sys','');
 DeleteFile('C:\DOCUME~1\Mors\LOCALS~1\Temp\nT1Ypkcd.sys');
 DeleteFile('C:\WINDOWS\system32\WinFl32.sys');
 DeleteFile('C:\WINDOWS\system32\WinVd32.sys');
 DeleteFile('C:\WIN\DOWS\LAX.exe');
 DeleteFile('C:\MAD\TRACK\mad.exe');
 DeleteFileMask('C:\WIN', '*.*', true);
 DeleteDirectory('C:\WIN');
 DeleteFileMask('C:\MAD', '*.*', true);
 DeleteDirectory('C:\MAD');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[program90]

Ниже прикреплены повторные логи.

[Bratez]

В HijackThis не сделали ничего.
Пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Больше ничего плохого не видно.
Рекомендуется установить SP3 и последующие обновления.

[program90]

Спасибо,
через HijackThis "профиксил" вчера точно. Только что еще раз профиксил, лог прикреплен ниже. Но после сканирования в списке оказалось только два пункта из тех, которые вы написали - R1 и O4. "Профиксил" R1 и O4.
Не могли бы вы сказать - есть ли у меня шпионские программы на компе или нету? Или подозрения есть какие-нибудь? Есть ли еще способы проверить?
Файл лог взял из папки C:\Program Files\Trend Micro\HiJackThis.
Заранее спасибо,

[thyrex]

Сколько Вы будете прикреплять старый лог?

[program90]

я же говорю я прикрепляю тот лог который лежит в папке программы hijackthis. Запускаю программу, сканирование, потом выбираю пункты профиксить. перезагружаю компьютер. беру лог файл из папки программы и отправляю сюда.
Что я могу еще сделать?

[Bratez]

Запускаю программу, сканирование, потом выбираю пункты профиксить. перезагружаю компьютер. <*> беру лог файл из папки программы и отправляю сюда.
Что я могу еще сделать?

<*> - вот в этом месте нужно было сделать новый лог, т.е. выполнить заново п.3 раздела Диагностика правил.

[program90]

А что теперь делать, если после сканирования с помощью Hijackthis, в списке не осталось ни одного пункта из тех, которые написаны выше, в ответах на сообщение?
Спасибо,

[thyrex]

Еще что-то беспокоит?

[Bratez]

А что теперь делать, если после сканирования с помощью Hijackthis, в списке не осталось ни одного пункта из тех, которые написаны выше

Если проблем больше нет, то ничего

[program90]

Непонятно, увидели ли вы на компьютере программы-шпионы или нет? И есть ли вирусы?

[thyrex]

Вирусы были. Удалены

[program90]

А вы не могли бы подсказать, что именно это были за вирусы? Личные, или массовые? Т.е. мог ли кто-то их специально установить лично мне?
И что это были за вирусы? Был ли там keylogger?
Заранее спасибо

[thyrex]

Специально - вряд ли. К кейлоггерам не относятся

[program90]

Еще один вопрос:
Только что прошел на страницу с яндекса, а вместо яндекса загрузилась эта страница:
http://upd-browser.com/
мне показалось что это обновление firefox и нажал "установить". Что-то скачалось. Потом открылась страница с порнухой, которая не хотела закрываться. Теперь не знаю что там может быть.
Что это за сайт?
Он открылся когда прошел из яндекса со страницы результатов поиска по запросу "обработка select" или примерно такой запрос.
Заранее спасибо

[Bratez]

Вероятно, что-то новенькое подхватили.
Сделайте новый комплект логов по правилам.

[program90]

Здраствуйте,
Три вложения прикреплены ниже

[Bratez]

Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{62FF9E9C-CE0B-469A-8E12-55263D066F2A}: NameServer = 80.70.224.2,80.70.224.4

Больше ничего подозрительного не видно.
Рекомендуется установить SP3 и последующие обновления.

[program90]

Спасибо, SP3 нигде не найти. Придется windows переустанавливать.
А O17 - может ли быть что это я менял айпи шлюза в свойствах подключения, когда проблемы с интернетом были?