PDM.Keylogger kernel mode

[Babaiko]

Добрый день!

В кратце такая история: примерно неделю назад мне взломали почту на яндексе, и сколько бы раз я не менял пароль (судя из журнала учета посещений), злоумышленник всё равно попадал в почту, и делал восстановление различных аккаунтов к сайтам, где была привязана моя почта. Так же по глупости, я забыл удалить письмо с почты в котором содержались данные от арендованного сервера, и там тоже он наделал делов. Но суть не в этом, проблема в том, что ваш антивирус (так же и антивирусы других компании, не обнаружили у меня на компьютере ничего подозрительного), в итоге чтобы не рисковать, я полностью переустановил Windows. Так же в первую очередь сразу установил ваш антивирус, всё просканировал и у меня появилось предупреждение, что возможно есть PDM.Keylogger kernel mode, проштудировав ваш форум, вроде как прояснилось, что это возможно драйвера на клавиатуру. Всё равно я сделал диагностику компьютера и прикрепил все протоколы. И если не сложно, можете мне объяснить, возможно я чего то не понимаю, как можно попасть в почту, если на компьютере нету никаких вирусов?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Tiare]

Babaiko, здравствуйте.

 

Сделайте лог RSIT

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

 

К компьютеру кроме вас доступ кто-то еще имеет? Заходите на почту только со своего компьютера, или еще откуда-то (с работы, например и т.п.)?

[Babaiko]

Нет, кроме меня, никто не имеет больше доступ к компьютеру. В почту захожу только со своего ПК и только дома (правда сеть у меня через wifi, но на нём у меня пароль, который я тоже сменил после первого взлома). Логи прикрепил

info.txt

log.txt

mbam_log_2012_01_14__17_15_33_.txt

[Roman_Five]

деинсталлируйте MBAM

 

ничего необычного...

[Tiare]

Babaiko, т.к. вы систему недавно переустановили, сейчас не возможно определить каким образом в прошлый раз у вас были похищены пароли...

 

Сейчас вам следует обратить внимание на след. моменты:

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)

 

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помощнику

 

>> Разрешен автозапуск со сменных носителей

Все это повышает уязвимость вашей системы, поэтому желательно исправить.

 

+ Почитайте

Ваша информация в Интернете: о чем вам необходимо знать

Защита своей конфиденциальности в Интернете

Что такое кража личных данных?

Десять непреложных законов безопасности

[Babaiko]

Понял. Всем спасибо