Автор |
Сообщение |
koshak13 Гуру |
|
такое дело у меня такое ощушение сто батя с другова компа палит все что я делаю через нет
как определить и обезвредить |
|
|
|
|
Genbor Крокодил Гена Предупреждений : 1
|
|
|
|
|
Andron_ Гуру Предупреждений : 4
|
|
выдерни батин кабель из розетки. |
|
|
|
|
Сайт АльтернативщеГ |
|
|
|
|
Guu-chan Гуру |
|
koshak13 писал(а): |
такое дело у меня такое ощушение сто батя с другова компа палит все что я делаю через нет
как определить и обезвредить |
Лог Хайджека, пожалуйста. Do a system scan and save a logfile. Выскочит окошко блокнота, его содержимое копируем прямо в ответ.
А потом - лог АВЗ. "Файл --- Исследование системы" Будет получен в виде html. Его приаттачить к сообщению.
Хайджек можно скачать здесь:
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
А АВЗ здесь:
http://z-oleg.com/avz4.zip
Весят они мало - в общей сумме не больше пяти мегабайт. Но если что специально даю прямые ссылки - можно и на Сибнете оставить заявку.
А потом будем разбираться.
ЗЫ. кстати, а с чего у тебя подобные подозрения возникли? Лучше поподробнее расписать симптомы. |
|
|
|
|
OMEGA m.a.r.m.a.n |
|
koshak13
Меньше по порно сайтам лазить будешь |
|
|
|
|
koshak13 Гуру |
|
Guu-chan писал(а): |
кстати, а с чего у тебя подобные подозрения возникли? Лучше поподробнее расписать симптомы. |
ммм ну недавно батя мне расписал буквально по минутам че я в кампе делал неприятна |
|
|
|
|
koshak13 Гуру |
|
OMEGA
я и нелазаю |
|
|
|
|
koshak13 Гуру |
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:46, on 02.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Alex\DISTR\KbrdHook\KbrdHook.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\WebDrive\webdrive.exe
C:\WINDOWS\system\sysctrl.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TrafInsp\TiSvc.exe
C:\Program Files\WebDrive\wdService.exe
C:\Documents and Settings\Alex\Рабочий стол\Новая папка\Новая папка\WsStat.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ReGet Software\ReGet Deluxe\ReGetDx.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.adslclub.ru/new/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: TBSB00196 - {1236D836-E9BA-4175-894F-2072A14D5A26} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGet Software\ReGet Deluxe\IEBar.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WebDriveTray] C:\Program Files\WebDrive\webdrive.exe /trayicon
O4 - HKLM\..\Run: [System] C:\WINDOWS\system\sysctrl.exe /a
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [StreamSentinel] C:\Documents and Settings\Alex\Рабочий стол\StreamSentinel.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKLM\..\Policies\Explorer\Run: [KHRunKey] C:\Alex\DISTR\KbrdHook\KbrdHook.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adsl_koshak13.lnk = ?
O4 - Startup: WsStat.lnk = ?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\wmadvisor.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C9C44F4-065B-4869-8EE0-8A3E7AD1B459}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{467C0E5F-F6E7-4916-9AB5-14D863109B9C}: NameServer = 217.70.106.5 217.70.96.34
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Traffic Inspector (TrafInspSrv) - SMART-SOFT - C:\Program Files\TrafInsp\TiSvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WebDrive Service (WebDriveService) - South River Technologies, LLC - C:\Program Files\WebDrive\wdService.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - http://www.adslclub.ru/forum/images/smiles/406.gif
O24 - Desktop Component 1: (no name) - http://www.adslclub.ru/forum/images/smiles/409.gif
O24 - Desktop Component 2: (no name) - http://www.adslclub.ru/forum/images/smiles/402.gif
O24 - Desktop Component 3: (no name) - http://www.adslclub.ru/forum/images/smiles/vampire.gif
O24 - Desktop Component 4: (no name) - http://www.adslclub.ru/forum/images/smiles/408.gif
--
End of file - 6105 bytes
и куды ето деть=) |
|
|
|
|
Backdor Почетный флудер |
|
koshak13 писал(а): |
такое дело у меня такое ощушение сто батя с другова компа палит все что я делаю через нет |
не повезло малость... вот за мной бы палили! это ж пипец! |
|
|
|
|
Guu-chan Гуру |
|
koshak13
Лог АВЗ, пожалуйста. Без него я не смогу начать лечение. Хотя и так вижу, что у вас тут целый букет... скорее всего, у вас на компе установлена программа типа Parent Control. Но есть и еще одна вирусня...хм...сначала вынесем то, что за тобой следит, а потом вылечим и amvo |
|
|
|
|
Backdor Почетный флудер |
|
Guu-chan писал(а): |
не только бэкдор... |
ЗЫ
Backdoor - утилита удаленного администрирования, это для справки
Andron_ писал(а): |
учитывая массовую продажу камрадом семейного добра |
Это верно подметил |
|
|
|
|
Guu-chan Гуру |
|
Backdor писал(а): |
ЗЫ
Backdoor - утилита удаленного администрирования, это для справки |
Для справки - слежку за компьютером с помощью нее тоже можно вести преспокойно.
Без данных о компьютере, загруженных процессах и прочем, бэкдор был бы абсолютно бесполезен, ибо управление вслепую ни к чему не ведет.
Бэкдор не только открывает порт, по которому злоумышленник может посылать компу команды, но еще и пересылает по нему логи с информацией, созданной о компьютере.
В том числе и о том, когда какой процесс и файл запускался. Логи браузера, информацию о конфигурации системы - все, что может понадобиться.
Но это так, для справки. |
|
|
|
|
Guu-chan Гуру |
|
Алсо, to Кошак13.
ЛОГ АВЗ БЫСТРО, БЛДЖАД!
Без него я ничего делать не собираюсь. Ибо это будет все равно, что удалять гланды через задницу. Неудобно и долго. |
|
|
|
|
Guu-chan Гуру |
|
Backdor писал(а): |
Guu-chan
Да все нормально, просто мой ник... кхм... малость схож с названием вируса Horoshiy |
Вот именно, что малость. И опять же, бэкдор - это не вирус. И пишется как Backdoor. С двумя "о". Буквально можно перевести как "дверь для возвращения", литературно "черный ход".
Это тоже для справки. |
|
|
|
|
koshak13 Гуру |
|
|
|
|
woddy Гуру Предупреждений : 1
|
|
Цитата: |
KbrdHook – программа - клавиатурный шпион. Главная функция программы – создание отчета о всех нажатых клавишах клавиатуры и мыши в системе. Программа имеет понятный интерфейс, гибкую систему настроек. Спектр использования программы достаточно широк: контроль за работой Вашего компьютера, учет работы пользователей на Вашем компьютере, восстановление утраченного пароля, текста и так далее.
Важно: Программу категорически запрещено использовать в целях похищения чужой информации, функция скрытого режима работы программы предназначена исключительно для надзора за собственным компьютером! |
|
|
|
|
|
Richard Ferlow Гуру Предупреждений : 2
|
|
Доктор блин
Раз уж так крут, пора бы по запущенным процессам определять
C:\Alex\DISTR\KbrdHook\KbrdHook.exe - клавиатурный шпион. |
|
|
|
|
koshak13 Гуру |
|
|
|
|
Backdor Почетный флудер |
|
koshak13
Richard Ferlow писал(а): |
C:\Alex\DISTR\KbrdHook\KbrdHook.exe |
вынеси ЭТО |
|
|
|
|
|