Чуть не влип

Тема в разделе "Компьютеры и электроника", создана пользователем Алсмир, 22 сен 2010.

  1. Алсмир

    Алсмир Авторитет

    Регистрация:
    9 сен 2008
    Сообщения:
    1,399
    Адрес:
    Санкт-Петербург
    Реальное имя:
    Александр
    Машина:
    Jazz Sport 2008
    Запускаю сегодня с утра компьютер и ничего не понимаю.
    Рабочий стол пуст и предлагают ознакомиться с Виндами.
    Но при этом все потихоньку грузится в нижнюю панельку.
    В том числе Мейл.ру-агент, котрый правда для входа запросил логин-пароль.
    Зашел в него, посмотрел почту.
    Но когда остальные программы стали запрашивать пароли, я уже призадумался, поскольку мне это очень не понравилось.
    После некоторых раздумий я понял, что каким-то образом стал новым пользователем.
    Заглянув в панель управления, в учетные записи пользователей я обнаружил там нового, неизвестного мне пользователя (автоматического :) ).
    Проверив почту на компьютере антивирусом и ничего не найдя, я удалил этого нового пользователя и перезагрузился.
    В результате оказался в своем обычном аккаунте. :d264:
    После работы запущу антивирус на весь компьютер, может быть найду и убью гада, который это сделал.
     
  2. watergad

    watergad Опытный

    Регистрация:
    11 мар 2009
    Сообщения:
    336
    Адрес:
    Переславль
    Реальное имя:
    Юрий
    Машина:
    Jazz 2006 Elegance CVT
    Срочно смените все пароли, какие вводили - и сделайте это с другого компьютера.
    Такое поведение характерно для троянов с возможностью удаленного доступа, нередко это всё сопровождается различными перехватчиками клавиатуры на вводимый текст.
    Велика вероятность, что никто не будет копаться в этом тексте, но мало ли...
     
  3. Динамит

    Динамит Старейшина

    Регистрация:
    7 апр 2009
    Сообщения:
    2,275
    Адрес:
    Москва - КлинОМ
    Реальное имя:
    Jazzfitman
    Машина:
    Хонда
    скачай AVZ и проверь комп

    что антивирь стоит

     
  4. Алсмир

    Алсмир Авторитет

    Регистрация:
    9 сен 2008
    Сообщения:
    1,399
    Адрес:
    Санкт-Петербург
    Реальное имя:
    Александр
    Машина:
    Jazz Sport 2008
    Др.Веб.
     
  5. Ян

    Ян Старейшина

    Регистрация:
    23 авг 2008
    Сообщения:
    4,933
    Адрес:
    Москва, самое южное Бутово (Щербинка)
    Реальное имя:
    Ян
    Машина:
    Был Jazz Sport, теперь Subaru Forester
    "Пробиваемые" порты, через которые дрянь пробраться может, только файервол прикрыть сможет.
     
  6. Динамит

    Динамит Старейшина

    Регистрация:
    7 апр 2009
    Сообщения:
    2,275
    Адрес:
    Москва - КлинОМ
    Реальное имя:
    Jazzfitman
    Машина:
    Хонда
    комодо+аваст или нод вам в помощь

     
  7. watergad

    watergad Опытный

    Регистрация:
    11 мар 2009
    Сообщения:
    336
    Адрес:
    Переславль
    Реальное имя:
    Юрий
    Машина:
    Jazz 2006 Elegance CVT
    +1

    Сам антивирусом не пользуюсь вообще, а вот файрволлом - обязательно.
    И не только снаружи дрянь пробиться, а и наружу чтоб ничего не вылезло - ни из своего софта, ни, в случае чего, если заведется что-нибудь.
     
  8. АрТур

    АрТур Старейшина Партнер клуба

    Регистрация:
    24 авг 2008
    Сообщения:
    2,404
    Адрес:
    Севастополь, Площадь Восставших.
    Реальное имя:
    АрТур
    Машина:
    Subaru forester tS 031/100
    Просто обнови Др Веб до версии с фаерволом.Лицензия.3й год.
    Это не дорого 900р в год - спокойная жизнь )))
    Всего с 96г, но тогда партизанил как все)))

    Программные модули: Версия 6.0.2.07290
    Dr.Web (R) Virus-Finding Engine
    drweb32.dll (5.00.2.03300)
    Dr.Web (R) Scanning Engine
    dwengine.exe (6.0.2.06210 (Build 7884))
    Dr.Web (R) Windows Action Center Integration
    dwsewsc.exe (6.0.2.06210 (Build 7884))
    Dr.Web File System Monitor
    spiderg3.sys (6.0.2.7190)
    Dr.Web Protection for Windows
    dwprot.sys (6.0.3.07260)
    SpIDer Agent for Windows
    spideragent.exe (6.0.2.07290)
    SpIDer Agent admin-mode module for Windows
    spideragent_adm.exe (6.0.2.07290)
    SpIDer Agent settings module for Windows
    spideragent_set.exe (6.0.2.07290)
    SpIDer Gate ® for Window
    spidergate.exe (6.0.1.08040)
    SpIDer Gate settings module for Windows
    spidergate_set.exe (6.0.1.08040)
    SpIDer Mail ® for Windows Workstation
    spiderml.exe (6.0.1.08130)
    SpIDer Mail ® for Windows Workstation settings module
    spml_set.exe (6.0.1.08130)
    Dr.Web Winsock Provider Hook
    drwebsp.dll (6.0.0.08180)
    Dr.Web© Scanner for Windows
    drweb32w.exe (6.00.5.08310)
    Dr.Web (R) Console Scanner
    dwscancl.exe (6.0.2.06210 (Build 7884))
    Dr.Web ® Shell Extension
    drwsxtn.dll (6.00.0.02270)
    Dr.Web Update for Windows
    drwebupw.exe (6.00.3.07270)
    Dr.Web Helper
    drwreg.exe (6.00.5.08190)
    Dr.Web Firewall ® for Windows service
    frwl_svc.exe (6.0.1.08091)
    Dr.Web Firewall ® for Windows notify module
    frwl_notify.exe (6.0.1.08091)

    Dr.Web Firewall ® for Windows settings module
    frwl_set.exe (6.0.1.08091)

    Dr.Web Application Filter Driver
    drwebaf.sys (6.0.1.08091)
    Dr.Web Packet Filter Driver
    drwebpf.sys (6.0.1.08091)
    DrWeb (R) Quarantine Manager
    dwqrui.exe (6.0.2.06210 (Build 7884))
    Dr.Web Adds-on unpacker
    drwadins.exe (6.00.0.02270)
    Вирусные базы:
    Всего вирусных записей: 1646341
    Последнее обновление: 24.09.2010 15:23
     
  9. Алсмир

    Алсмир Авторитет

    Регистрация:
    9 сен 2008
    Сообщения:
    1,399
    Адрес:
    Санкт-Петербург
    Реальное имя:
    Александр
    Машина:
    Jazz Sport 2008
    Спасибо всем за советы, но все равно остаются вопросы.
    1. Если живет троян и/или кейлоггер в основном аккаунте,
    то зачем было создавать новый аккаунт и передавать на него вход?
    2. Если между компьютером и кабельным модемом стоит маршрутизатор (+штатный файервол), то стоит ли ставить новый файервол и как оно все будет взаимодействовать?
    Стоит лицензионная ХР, лицензионный Др.Веб и все постоянно обновляется.

    Программные модули:

    Dr.Web (R) Virus-Finding Engine
    drweb32.dll (5.00.2.03300)

    Dr.Web (R) Scanning Engine
    dwengine.exe (6.0.2.06210 (Build 7884))

    Dr.Web (R) Windows Action Center Integration
    dwsewsc.exe (6.0.2.06210 (Build 7884))

    Dr.Web File System Monitor
    spiderg3.sys (6.0.2.7190)

    Dr.Web Protection for Windows
    dwprot.sys (6.0.3.07260)

    SpIDer Agent for Windows
    spideragent.exe (6.0.2.07290)

    SpIDer Agent admin-mode module for Windows
    spideragent_adm.exe (6.0.2.07290)

    SpIDer Agent settings module for Windows
    spideragent_set.exe (6.0.2.07290)

    SpIDer Mail ® for Windows Workstation
    spiderml.exe (6.0.1.08130)

    SpIDer Mail ® for Windows Workstation settings module
    spml_set.exe (6.0.1.08130)

    Dr.Web Winsock Provider Hook
    drwebsp.dll (6.0.0.08180)

    Dr.Web© Scanner for Windows
    drweb32w.exe (6.00.5.08310)

    Dr.Web (R) Console Scanner
    dwscancl.exe (6.0.2.06210 (Build 7884))

    Dr.Web ® Shell Extension
    drwsxtn.dll (6.00.0.02270)

    Dr.Web Update for Windows
    drwebupw.exe (6.00.3.07270)

    Dr.Web Helper
    drwreg.exe (6.00.5.08190)

    DrWeb (R) Quarantine Manager
    dwqrui.exe (6.0.2.06210 (Build 7884))

    Dr.Web Adds-on unpacker
    drwadins.exe (6.00.0.02270)


    Вирусные базы:

    Всего вирусных записей: 1649060
    Последнее обновление: 26.09.2010 8:43
     
  10. watergad

    watergad Опытный

    Регистрация:
    11 мар 2009
    Сообщения:
    336
    Адрес:
    Переславль
    Реальное имя:
    Юрий
    Машина:
    Jazz 2006 Elegance CVT
    Аккаунт создается для того, чтобы дать ему права на удаленный доступ - так можно зайти на компьютер извне, а команды, которые выполняются удаленно, не будут маячить у вас на экране.
    Кейлоггер вычислить либо через диспетчер задач/process explorer, либо подождать, пока DrWeb научится его вычислять. Ну и, кроме того, если установлен DrWeb - велика вероятность, что тревога ложная.
    Кроме того, у компьютера не должно быть, к примеру, пользователя Administrator с пустым паролем и админскими правами, и т.п.
    Файрволлы работают каскадно, по принципу "что дошло - то фильтрую", т.е. напортить что-либо именно сочетанием файрволлов на компьютере и на маршрутизаторе нельзя. Другой вопрос, нужно ли, действительно, ставить второй файрволл. Если есть возможность хорошо настроить тот файрволл - то достаточно и этого. Например, зарубить все соединения служб Windows с внешним миром, если они вам не нужны (lsass, svchost, system...) - оставить только нужное: web, DNS, remote desktop...
    P.S. а, да, точно - минус файрволла на маршрутизаторе - это невозможность привязать правила блокирования к приложению, т.к. рутер не знает, какой софт инициировал соединение.
    :good: