Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Шпион в компьютере. Блокирует работу мыши и клавиатуры. (http://forum.oszone.net/showthread.php?t=254858)

inn8787 25-02-2013 03:16 2098346
Шпион в компьютере. Блокирует работу мыши и клавиатуры.
 
Шпион в компьютере. Блокирует работу мыши и клавиатуры. Сам открывает,закрывает сайты, копается в диске С. Пишет сообщения в виде угроз (скорее всего подросток развлекается). Активность шпиона 2-3 часа в сутки, потом работаю на компе свободно. Логи вложены.

SolarSpark 25-02-2013 13:04 2098525
радмином пользуетесь? если да, меняйте/ставьте сложный ПАРОЛЬ если нет, деинсталлируйте
меняйте пароли на платежные системы и онлайнбанкинги

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\WINDOWS\system32\ipz.tmp','');
QuarantineFile('C:\WINDOWS\system32\ipz2.exe','');
QuarantineFile('C:\WINDOWS\system32\cam2_sv.exe','');
QuarantineFile('C:\WINDOWS\system32\runkgb.lnk','');
 DeleteFile('C:\WINDOWS\system32\runkgb.lnk');
 DeleteFile('C:\WINDOWS\system32\cam2_sv.exe');
 DeleteFile('C:\WINDOWS\system32\ipz2.exe');
 DeleteFile('C:\WINDOWS\system32\ipz.tmp');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\cam2_sv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Program Files\KGB\Mpk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Program Files\KGB\MpkView.exe');
DeleteFileMask('C:\Program Files\KGB', '*', true);
 DeleteDirectory('C:\Program Files\KGB');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\MPK', '*', true);
  DeleteDirectory('C:\Documents and Settings\All Users\Application Data\MPK');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

regist 25-02-2013 14:11 2098561
+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?

C:\WINDOWS\system32\rebuild.exe - этот файл вам знаком ?

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

SolarSpark 25-02-2013 14:42 2098576
Перед тем как делать новые логи, повторите скрипт AVZ из поста 2, я его поправила

inn8787 25-02-2013 14:57 2098582
Все выполнено.

regist 25-02-2013 15:00 2098584
inn8787, пока не всё, ждём ещё лог полного сканирования MBAM

+
Цитата:
Цитата regist
+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?
+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

inn8787 25-02-2013 15:03 2098587
Цитата:
Цитата regist
+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?
C:\WINDOWS\system32\rebuild.exe - этот файл вам знаком ? »
Мне не знакомо. Когда произошло вторжение в комп, дочка смотрела мультики с диска, говорит, что ничего не нажимала.

SolarSpark 25-02-2013 15:04 2098588
Цитата:
Цитата SolarSpark
Перед тем как делать новые логи, повторите скрипт AVZ из поста 2, я его поправила »
пожалуйста повторите скрипт и переделайте логи

inn8787 25-02-2013 15:40 2098608
Логи переделаны.

inn8787 25-02-2013 15:44 2098613
Цитата:
Цитата regist
архив с именем virusinfo_files_<имя_ПК>.zip »
http://webfile.ru/6397357

SolarSpark 25-02-2013 16:00 2098629
а радмин ваш? сами пользуетесь?

regist 25-02-2013 17:26 2098695
+ к вопросу выше

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

+ Пожалуйста посмотрите, что прописано в свойствах ярлыка
Код:
C:\WINDOWS\system32\runkgb.lnk
---------------------------------
Remote Administrator - not-a-virus:RemoteAdmin.Win32.RAdmin.22,
Remote Office Manager - not-a-virus:RemoteAdmin.Win32.ROM.ap,
not-a-virus:Server-FTP.Win32.SFH.a, а также программа
Код:
C:\Program Files\Common Files\Hide Wizard
если вам не знакомы, то для их удаления выполните скрипт (если что-то из этого ваше предупредите и уберу из скрипта).

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
 QuarantineFile('C:\WINDOWS\system32\runkgb.lnk','');
 QuarantineFileF('C:\Program Files\radmin\','*', true,'',0 ,0);
 QuarantineFile('C:\WINDOWS\system32\ROMwln.dll','');
 DeleteFile('C:\WINDOWS\system32\ROMwln.dll');
 DeleteFileMask('C:\Program Files\radmin\', '*', true);
 DeleteDirectory('C:\Program Files\radmin\', '');
 QuarantineFileF('C:\Program Files\Common Files\Hide Wizard\','*', true,'',0 ,0);
 DeleteFileMask('C:\Program Files\Common Files\Hide Wizard\', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\Hide Wizard\', '');
 QuarantineFileF('C:\Program Files\hfs','*', true,'',0 ,0);
 DeleteFileMask('C:\Program Files\hfs', '*', true);
 DeleteDirectory('C:\Program Files\hfs', '');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Отключите AVZPM

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.


Время: 05:47.

Время: 05:47.
© OSzone.net 2001-