Чуть не влип

Алсмир · 22 Сен 2010

Запускаю сегодня с утра компьютер и ничего не понимаю.
Рабочий стол пуст и предлагают ознакомиться с Виндами.
Но при этом все потихоньку грузится в нижнюю панельку.
В том числе Мейл.ру-агент, котрый правда для входа запросил логин-пароль.
Зашел в него, посмотрел почту.
Но когда остальные программы стали запрашивать пароли, я уже призадумался, поскольку мне это очень не понравилось.
После некоторых раздумий я понял, что каким-то образом стал новым пользователем.
Заглянув в панель управления, в учетные записи пользователей я обнаружил там нового, неизвестного мне пользователя (автоматического

).
Проверив почту на компьютере антивирусом и ничего не найдя, я удалил этого нового пользователя и перезагрузился.
В результате оказался в своем обычном аккаунте. :d264:
После работы запущу антивирус на весь компьютер, может быть найду и убью гада, который это сделал.

watergad · 22 Сен 2010

Срочно смените все пароли, какие вводили - и сделайте это с другого компьютера.
Такое поведение характерно для троянов с возможностью удаленного доступа, нередко это всё сопровождается различными перехватчиками клавиатуры на вводимый текст.
Велика вероятность, что никто не будет копаться в этом тексте, но мало ли...

Динамит · 22 Сен 2010

скачай AVZ и проверь комп

что антивирь стоит

Алсмир · 22 Сен 2010

Др.Веб.

Ян · 22 Сен 2010

"Пробиваемые" порты, через которые дрянь пробраться может, только файервол прикрыть сможет.

Динамит · 22 Сен 2010

комодо+аваст или нод вам в помощь

watergad · 22 Сен 2010

Ян написал(а):
"Пробиваемые" порты, через которые дрянь пробраться может, только файервол прикрыть сможет.

+1

Сам антивирусом не пользуюсь вообще, а вот файрволлом - обязательно.
И не только снаружи дрянь пробиться, а и наружу чтоб ничего не вылезло - ни из своего софта, ни, в случае чего, если заведется что-нибудь.

АрТур · 25 Сен 2010

Просто обнови Др Веб до версии с фаерволом.Лицензия.3й год.
Это не дорого 900р в год - спокойная жизнь )))
Всего с 96г, но тогда партизанил как все)))

Программные модули: Версия 6.0.2.07290
Dr.Web (R) Virus-Finding Engine
drweb32.dll (5.00.2.03300)
Dr.Web (R) Scanning Engine
dwengine.exe (6.0.2.06210 (Build 7884))
Dr.Web (R) Windows Action Center Integration
dwsewsc.exe (6.0.2.06210 (Build 7884))
Dr.Web File System Monitor
spiderg3.sys (6.0.2.7190)
Dr.Web Protection for Windows
dwprot.sys (6.0.3.07260)
SpIDer Agent for Windows
spideragent.exe (6.0.2.07290)
SpIDer Agent admin-mode module for Windows
spideragent_adm.exe (6.0.2.07290)
SpIDer Agent settings module for Windows
spideragent_set.exe (6.0.2.07290)
SpIDer Gate ® for Window
spidergate.exe (6.0.1.08040)
SpIDer Gate settings module for Windows
spidergate_set.exe (6.0.1.08040)
SpIDer Mail ® for Windows Workstation
spiderml.exe (6.0.1.08130)
SpIDer Mail ® for Windows Workstation settings module
spml_set.exe (6.0.1.08130)
Dr.Web Winsock Provider Hook
drwebsp.dll (6.0.0.08180)
Dr.Web© Scanner for Windows
drweb32w.exe (6.00.5.08310)
Dr.Web (R) Console Scanner
dwscancl.exe (6.0.2.06210 (Build 7884))
Dr.Web ® Shell Extension
drwsxtn.dll (6.00.0.02270)
Dr.Web Update for Windows
drwebupw.exe (6.00.3.07270)
Dr.Web Helper
drwreg.exe (6.00.5.08190)
Dr.Web Firewall ® for Windows service
frwl_svc.exe (6.0.1.08091)
Dr.Web Firewall ® for Windows notify module
frwl_notify.exe (6.0.1.08091)
Dr.Web Firewall ® for Windows settings module
frwl_set.exe (6.0.1.08091)
Dr.Web Application Filter Driver
drwebaf.sys (6.0.1.08091)
Dr.Web Packet Filter Driver
drwebpf.sys (6.0.1.08091)
DrWeb (R) Quarantine Manager
dwqrui.exe (6.0.2.06210 (Build 7884))
Dr.Web Adds-on unpacker
drwadins.exe (6.00.0.02270)
Вирусные базы:
Всего вирусных записей: 1646341
Последнее обновление: 24.09.2010 15:23

Алсмир · 26 Сен 2010

Спасибо всем за советы, но все равно остаются вопросы.
1. Если живет троян и/или кейлоггер в основном аккаунте,
то зачем было создавать новый аккаунт и передавать на него вход?
2. Если между компьютером и кабельным модемом стоит маршрутизатор (+штатный файервол), то стоит ли ставить новый файервол и как оно все будет взаимодействовать?
Стоит лицензионная ХР, лицензионный Др.Веб и все постоянно обновляется.

Программные модули:

Dr.Web (R) Virus-Finding Engine
drweb32.dll (5.00.2.03300)

Dr.Web (R) Scanning Engine
dwengine.exe (6.0.2.06210 (Build 7884))

Dr.Web (R) Windows Action Center Integration
dwsewsc.exe (6.0.2.06210 (Build 7884))

Dr.Web File System Monitor
spiderg3.sys (6.0.2.7190)

Dr.Web Protection for Windows
dwprot.sys (6.0.3.07260)

SpIDer Agent for Windows
spideragent.exe (6.0.2.07290)

SpIDer Agent admin-mode module for Windows
spideragent_adm.exe (6.0.2.07290)

SpIDer Agent settings module for Windows
spideragent_set.exe (6.0.2.07290)

SpIDer Mail ® for Windows Workstation
spiderml.exe (6.0.1.08130)

SpIDer Mail ® for Windows Workstation settings module
spml_set.exe (6.0.1.08130)

Dr.Web Winsock Provider Hook
drwebsp.dll (6.0.0.08180)

Dr.Web© Scanner for Windows
drweb32w.exe (6.00.5.08310)

Dr.Web (R) Console Scanner
dwscancl.exe (6.0.2.06210 (Build 7884))

Dr.Web ® Shell Extension
drwsxtn.dll (6.00.0.02270)

Dr.Web Update for Windows
drwebupw.exe (6.00.3.07270)

Dr.Web Helper
drwreg.exe (6.00.5.08190)

DrWeb (R) Quarantine Manager
dwqrui.exe (6.0.2.06210 (Build 7884))

Dr.Web Adds-on unpacker
drwadins.exe (6.00.0.02270)

Вирусные базы:

Всего вирусных записей: 1649060
Последнее обновление: 26.09.2010 8:43

watergad · 26 Сен 2010

Алсмир написал(а):
Спасибо всем за советы, но все равно остаются вопросы.
1. Если живет троян и/или кейлоггер в основном аккаунте,
то зачем было создавать новый аккаунт и передавать на него вход?

Аккаунт создается для того, чтобы дать ему права на удаленный доступ - так можно зайти на компьютер извне, а команды, которые выполняются удаленно, не будут маячить у вас на экране.
Кейлоггер вычислить либо через диспетчер задач/process explorer, либо подождать, пока DrWeb научится его вычислять. Ну и, кроме того, если установлен DrWeb - велика вероятность, что тревога ложная.
Кроме того, у компьютера не должно быть, к примеру, пользователя Administrator с пустым паролем и админскими правами, и т.п.

Алсмир написал(а):
2. Если между компьютером и кабельным модемом стоит маршрутизатор (+штатный файервол), то стоит ли ставить новый файервол и как оно все будет взаимодействовать?

Файрволлы работают каскадно, по принципу "что дошло - то фильтрую", т.е. напортить что-либо именно сочетанием файрволлов на компьютере и на маршрутизаторе нельзя. Другой вопрос, нужно ли, действительно, ставить второй файрволл. Если есть возможность хорошо настроить тот файрволл - то достаточно и этого. Например, зарубить все соединения служб Windows с внешним миром, если они вам не нужны (lsass, svchost, system...) - оставить только нужное: web, DNS, remote desktop...
P.S. а, да, точно - минус файрволла на маршрутизаторе - это невозможность привязать правила блокирования к приложению, т.к. рутер не знает, какой софт инициировал соединение.

Алсмир написал(а):
Стоит лицензионная ХР, лицензионный Др.Веб и все постоянно обновляется.

Чуть не влип

Алсмир

Авторитет

watergad

Опытный

Динамит

Старейшина

Алсмир

Авторитет

Ян

Старейшина

Динамит

Старейшина

watergad

Опытный

АрТур

Старейшина

Алсмир

Авторитет

watergad

Опытный