Отслеживание активности компьютера

[Levi]

Добрый день.
Мой офисный компьютер отслеживается человеком, которому нечем заняться в своей жизни, кроме как лезть в жизнь других людей.
Способ отслеживания (интернет или локальная сеть) мне неизвестен. Неизвестна так же и программа, по которой отслеживаются мои действия за компьютером.
При первой проверке avz4 были выявлены вирусы, подозрительные/замаскированные файлы, файлы перехвата, которые способствовали передаче данных о моих действиях/активности за данным компьютером.
Файлы были удалены сразу же через avz4. 
При повторной, более расширенной проверке, таких подозрительных файлов было обнаружено в разы больше. Особенно, насторожили строки в проверке: >> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Вопросы в данной ситуации стандартные: как быть?что делать?как обрубить доступ данной программе?
Прошу у неравнодушных дельного совета, кому так же неприятны факты слежки. Спасибо заранее.

К теме прикрепляю лог с последней расширенной проверкой avz4.

 

 

 

Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Протокол антивирусной утилиты AVZ версии 4.46

Сканирование запущено в 23.04.2018 12:06:33

Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37

Загружены микропрограммы эвристики: 412

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 790760

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 6.3.9600,  "Windows 8.1 Single Language", дата инсталляции 19.11.2014 16:45:09 ; AVZ работает с правами администратора (+)

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata

Функция kernel32.dll:ReadConsoleInputExA (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A4F8E->74771960

Перехватчик kernel32.dll:ReadConsoleInputExA (1095) нейтрализован

Функция kernel32.dll:ReadConsoleInputExW (1096) перехвачена, метод ProcAddressHijack.GetProcAddress ->752A4FC1->74771990

Перехватчик kernel32.dll:ReadConsoleInputExW (1096) нейтрализован

 Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C840->7293B720

Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован

Функция ntdll.dll:NtSetInformationFile (549) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C560->7293B540

Перехватчик ntdll.dll:NtSetInformationFile (549) нейтрализован

Функция ntdll.dll:NtSetValueKey (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C8F0->7293C900

Перехватчик ntdll.dll:NtSetValueKey (580) нейтрализован

Функция ntdll.dll:ZwCreateFile (1651) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C840->7293B720

Перехватчик ntdll.dll:ZwCreateFile (1651) нейтрализован

Функция ntdll.dll:ZwSetInformationFile (1930) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C560->7293B540

Перехватчик ntdll.dll:ZwSetInformationFile (1930) нейтрализован

Функция ntdll.dll:ZwSetValueKey (1961) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F2C8F0->7293C900

Перехватчик ntdll.dll:ZwSetValueKey (1961) нейтрализован

 Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74FF8DC0->7293B490

Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован

Функция user32.dll:SetWindowsHookExW (2303) перехвачена, метод ProcAddressHijack.GetProcAddress ->75004600->72990DB0

Перехватчик user32.dll:SetWindowsHookExW (2303) нейтрализован

 Анализ advapi32.dll, таблица экспорта найдена в секции .text

 Анализ ws2_32.dll, таблица экспорта найдена в секции .text

 Анализ wininet.dll, таблица экспорта найдена в секции .text

Функция wininet.dll:InternetAlgIdToStringA (254) перехвачена, метод APICodeHijack.JmpTo[72601068]

 >>> Код руткита в функции InternetAlgIdToStringA нейтрализован

Функция wininet.dll:InternetAlgIdToStringW (255) перехвачена, метод APICodeHijack.JmpTo[72601170]

 >>> Код руткита в функции InternetAlgIdToStringW нейтрализован

 Анализ rasapi32.dll, таблица экспорта найдена в секции .text

 Анализ urlmon.dll, таблица экспорта найдена в секции .text

 Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.4 Поиск маскировки процессов и драйверов

 Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

 Количество найденных процессов: 24

 Количество загруженных модулей: 318

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

 Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

 В базе 317 описаний портов

 На данном ПК открыто 81 TCP портов и 35 UDP портов

 Проверка завершена, подозрительные порты не обнаружены

7. Эвристичеcкая проверка системы

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помощнику

Проверка завершена

9. Мастер поиска и устранения проблем

 >>  Разрешен автозапуск с HDD

 >>  Разрешен автозапуск с сетевых дисков

 >>  Разрешен автозапуск со сменных носителей

Проверка завершена

Просканировано файлов: 342, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 23.04.2018 12:07:39

Сканирование длилось 00:01:09

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 

можно использовать сервис http://virusdetector.ru/

Изменено 23 апреля, 2018 пользователем Levi

[Mark D. Pearlstone]

Порядок оформления запроса о помощи