Morgatt 0 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Здравствуйте,У меня такая проблемаНесколько дней назад у меня 3 раза перезагружался комп(брат сказал)Меня тогда не было дома,и я не сильно придал этому значение,однако,вечером того же дня у меня был изменен пароль от почты и некоторых игровых аккаунтовЯ был очень встревожен и обратился к моему другу,который немного разбирался в компьютерах(общались с ним обычно через TeamSpeak,на нашем общем канала)в момент когда я ему рассказывал об этом, к нам зашли 3 неизвестных и выдали всю информацию насчет моих данныхЯ начал задавать им вопросы и параллельно включил проверку на вирусы,на это один из них ответил:"Зачем ты антивирусник включил"И дальше они говорили все процессы которые я делал,вплоть до того какого цвета на мне футболка(вебкамера была направлена на меня)Прошу помочь мне!!!! Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Порядок оформления запроса о помощи http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
Morgatt 0 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 Порядок оформления запроса о помощи http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Извините,но в данный момент я не могу сидеть с компьютера,на котором возникла проблема Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 @Morgatt, без выполнения правил останетесь без помощи, а тема будет закрыта. Цитата Ссылка на сообщение Поделиться на другие сайты
Morgatt 0 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 Вот файл логов @Morgatt, без выполнения правил останетесь без помощи, а тема будет закрыта. Мне нужно создать новую тему? CollectionLog-2014.08.17-10.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Мне нужно создать новую тему?Не нужно. Ждите консультантов. Цитата Ссылка на сообщение Поделиться на другие сайты
Morgatt 0 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 Мне нужно создать новую тему?Не нужно. Ждите консультантов. Cпасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe',''); QuarantineFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe',''); QuarantineFile('C:\Users\Егор\AppData\Roaming\SearchIndexer\desktopsearchservice.exe',''); QuarantineFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll',''); DeleteFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll','32'); DeleteFile('C:\Windows\system32\Tasks\Desk 365 RunAsStdUser','64'); DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\desktopsearchservice.exe','32'); DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe','32'); DeleteFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchIndexer','command'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect'); DeleteFileMask('C:\Users\Егор\appdata\roaming\searchindexer', '*', true, ' '); DeleteFileMask('C:\Users\Егор\AppData\Roaming\newnext.me', '*', true, ' '); DeleteDirectory('C:\Users\Егор\appdata\roaming\searchindexer'); DeleteDirectory('C:\Users\Егор\AppData\Roaming\newnext.me'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R3 - URLSearchHook: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file) O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll O3 - Toolbar: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file) O4 - HKLM\..\Run: [SearchProtectAll] C:\Program Files (x86)\SearchProtect\bin\cltmng.exe O4 - HKCU\..\Run: [SearchProtect] C:\Users\Егор\AppData\Roaming\SearchProtect\bin\cltmng.exe O4 - HKUS\S-1-5-18\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'система') O4 - HKUS\.DEFAULT\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'Default user') Сделайте новые логи Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Morgatt 0 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 Cпасибо большое, А как это поможет избавиться от "слежки" Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Вы пришли за помощью? Вот и выполняйте то, что Вам прописали. А заодно распросите брата, какие патчи, моды, кряки и подобное он устанавливал Цитата Ссылка на сообщение Поделиться на другие сайты
Morgatt 0 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe',''); QuarantineFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe',''); QuarantineFile('C:\Users\Егор\AppData\Roaming\SearchIndexer\desktopsearchservice.exe',''); QuarantineFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll',''); DeleteFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll','32'); DeleteFile('C:\Windows\system32\Tasks\Desk 365 RunAsStdUser','64'); DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\desktopsearchservice.exe','32'); DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe','32'); DeleteFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchIndexer','command'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect'); DeleteFileMask('C:\Users\Егор\appdata\roaming\searchindexer', '*', true, ' '); DeleteFileMask('C:\Users\Егор\AppData\Roaming\newnext.me', '*', true, ' '); DeleteDirectory('C:\Users\Егор\appdata\roaming\searchindexer'); DeleteDirectory('C:\Users\Егор\AppData\Roaming\newnext.me'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R3 - URLSearchHook: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file) O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll O3 - Toolbar: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file) O4 - HKLM\..\Run: [SearchProtectAll] C:\Program Files (x86)\SearchProtect\bin\cltmng.exe O4 - HKCU\..\Run: [SearchProtect] C:\Users\Егор\AppData\Roaming\SearchProtect\bin\cltmng.exe O4 - HKUS\S-1-5-18\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'система') O4 - HKUS\.DEFAULT\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'Default user') Сделайте новые логи Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Не нашел только две последние строки O4 - HKUS\S-1-5-18\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'система') O4 - HKUS\.DEFAULT\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'Default user') Это критично? Вы пришли за помощью? Вот и выполняйте то, что Вам прописали. А заодно распросите брата, какие патчи, моды, кряки и подобное он устанавливал Кстати,насчет этого хакеры решили подшутить и скинули мне саму ссылку,я не стал на нее заходить,но у меня она осталась С ней что-то стоит сделать? Вот отчет Спасибо еще раз. AdwCleanerR0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Просьба: не цитируйте полностью сообщения, на которые отвечаете. Где новые логи по правилам? но у меня она осталась С ней что-то стоит сделать? пришлите мне в личные сообщения Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: Папка Найдено : C:\Program Files (x86)\Mail.Ru Папка Найдено : C:\Users\Егор\AppData\Local\Mail.Ru Папка Найдено : C:\Users\Егор\AppData\Local\MailRu Папка Найдено : C:\Users\Егор\AppData\LocalLow\Mail.Ru Папка Найдено : C:\Users\Егор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 августа, 2014 Share Опубликовано 17 августа, 2014 В присланном файле Trojan.Win32.Inject.ogyc Цитата Ссылка на сообщение Поделиться на другие сайты
Morgatt 0 Опубликовано 17 августа, 2014 Автор Share Опубликовано 17 августа, 2014 Отчет и логи AdwCleanerS0.txt CollectionLog-2014.08.17-17.21.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.