Перейти к содержанию
Правила раздела

Слежка за компьютером

Morgatt

Автор Morgatt
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Morgatt

Morgatt

Опубликовано
Опубликовано

Здравствуйте,
У меня такая проблема
Несколько дней назад у меня 3 раза перезагружался комп(брат сказал)
Меня тогда не было дома,и я не сильно придал этому значение,однако,вечером того же дня у меня был изменен пароль от почты и некоторых игровых аккаунтов
Я был очень встревожен и обратился к моему другу,который немного разбирался в компьютерах(общались с ним обычно через TeamSpeak,на нашем общем канала)
в момент когда я ему рассказывал об этом, к нам зашли 3 неизвестных и выдали всю информацию насчет моих данных
Я начал задавать им вопросы и параллельно включил проверку на вирусы,на это один из них ответил:"Зачем ты антивирусник включил"
И дальше они говорили все процессы которые я делал,вплоть до того какого цвета на мне футболка(вебкамера была направлена на меня)


Прошу помочь мне!!!!

Morgatt

Morgatt

Опубликовано
  • Автор
Опубликовано

Извините,но в данный момент я не могу сидеть с компьютера,на котором возникла проблема

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
@Morgatt, без выполнения правил останетесь без помощи, а тема будет закрыта.
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

Мне нужно создать новую тему?

Не нужно. Ждите консультантов.
Morgatt

Morgatt

Опубликовано
  • Автор
Опубликовано

 

Мне нужно создать новую тему?

Не нужно. Ждите консультантов.

 

Cпасибо!

mike 1

mike 1

Опубликовано
Опубликовано
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe','');
 QuarantineFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe','');
 QuarantineFile('C:\Users\Егор\AppData\Roaming\SearchIndexer\desktopsearchservice.exe','');
 QuarantineFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll','');
 DeleteFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Desk 365 RunAsStdUser','64');
 DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\desktopsearchservice.exe','32');
 DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe','32');
 DeleteFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchIndexer','command');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 DeleteFileMask('C:\Users\Егор\appdata\roaming\searchindexer', '*', true, ' ');
 DeleteFileMask('C:\Users\Егор\AppData\Roaming\newnext.me', '*', true, ' ');
 DeleteDirectory('C:\Users\Егор\appdata\roaming\searchindexer');     
 DeleteDirectory('C:\Users\Егор\AppData\Roaming\newnext.me');    
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R3 - URLSearchHook: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file)
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll
O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll
O3 - Toolbar: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file)
O4 - HKLM\..\Run: [SearchProtectAll] C:\Program Files (x86)\SearchProtect\bin\cltmng.exe
O4 - HKCU\..\Run: [SearchProtect] C:\Users\Егор\AppData\Roaming\SearchProtect\bin\cltmng.exe
O4 - HKUS\S-1-5-18\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'Default user')
 
Сделайте новые логи
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Morgatt

Morgatt

Опубликовано
  • Автор
Опубликовано

Cпасибо большое,

А как это поможет избавиться от "слежки"

thyrex

thyrex

Опубликовано
Опубликовано

Вы пришли за помощью? Вот и выполняйте то, что Вам прописали.

 

А заодно распросите брата, какие патчи, моды, кряки и подобное он устанавливал

Morgatt

Morgatt

Опубликовано
  • Автор
Опубликовано

 

Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe','');
 QuarantineFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe','');
 QuarantineFile('C:\Users\Егор\AppData\Roaming\SearchIndexer\desktopsearchservice.exe','');
 QuarantineFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll','');
 DeleteFile('C:\Users\Егор\AppData\Roaming\newnext.me\nengine.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Desk 365 RunAsStdUser','64');
 DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\desktopsearchservice.exe','32');
 DeleteFile('C:\Users\Егор\appdata\roaming\searchindexer\moduleinno.exe','32');
 DeleteFile('C:\Users\Егор\appdata\roaming\search~1\search~1.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchIndexer','command');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SearchProtect');
 DeleteFileMask('C:\Users\Егор\appdata\roaming\searchindexer', '*', true, ' ');
 DeleteFileMask('C:\Users\Егор\AppData\Roaming\newnext.me', '*', true, ' ');
 DeleteDirectory('C:\Users\Егор\appdata\roaming\searchindexer');     
 DeleteDirectory('C:\Users\Егор\AppData\Roaming\newnext.me');    
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R3 - URLSearchHook: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file)
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll
O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll
O3 - Toolbar: (no name) - {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} - (no file)
O4 - HKLM\..\Run: [SearchProtectAll] C:\Program Files (x86)\SearchProtect\bin\cltmng.exe
O4 - HKCU\..\Run: [SearchProtect] C:\Users\Егор\AppData\Roaming\SearchProtect\bin\cltmng.exe
O4 - HKUS\S-1-5-18\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'Default user')
 
Сделайте новые логи
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Не нашел только две последние строки

 

O4 - HKUS\S-1-5-18\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'система')

O4 - HKUS\.DEFAULT\..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe (User 'Default user')

 

Это критично?

 

Вы пришли за помощью? Вот и выполняйте то, что Вам прописали.

 

А заодно распросите брата, какие патчи, моды, кряки и подобное он устанавливал

Кстати,насчет этого хакеры решили подшутить и скинули мне саму ссылку,я не стал на нее заходить,но у меня она осталась

С ней что-то  стоит сделать?

Вот отчет

Спасибо еще раз.

AdwCleanerR0.txt

thyrex

thyrex

Опубликовано
Опубликовано

Просьба: не цитируйте полностью сообщения, на которые отвечаете.

 

Где новые логи по правилам?

 

 

 


но у меня она осталась С ней что-то  стоит сделать?
пришлите мне в личные сообщения
mike 1

mike 1

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".


  • По окончанию сканирования снимите галочки со следующих строк:




Папка Найдено : C:\Program Files (x86)\Mail.Ru

Папка Найдено : C:\Users\Егор\AppData\Local\Mail.Ru

Папка Найдено : C:\Users\Егор\AppData\Local\MailRu

Папка Найдено : C:\Users\Егор\AppData\LocalLow\Mail.Ru

Папка Найдено : C:\Users\Егор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru



  • Нажмите кнопку "Clean" и дождитесь окончания удаления.


  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.


  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...