Шпион в компьютере. Блокирует работу мыши и клавиатуры. Сам открывает,закрывает сайты, копается в диске С. Пишет сообщения в виде угроз (скорее всего подросток развлекается). Активность шпиона 2-3 часа в сутки, потом работаю на компе свободно. Логи вложены.

радмином пользуетесь? если да, меняйте/ставьте сложный ПАРОЛЬ если нет, деинсталлируйте
меняйте пароли на платежные системы и онлайнбанкинги

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\ipz.tmp','');
QuarantineFile('C:\WINDOWS\system32\ipz2.exe','');
QuarantineFile('C:\WINDOWS\system32\cam2_sv.exe','');
QuarantineFile('C:\WINDOWS\system32\runkgb.lnk','');
DeleteFile('C:\WINDOWS\system32\runkgb.lnk');
DeleteFile('C:\WINDOWS\system32\cam2_sv.exe');
DeleteFile('C:\WINDOWS\system32\ipz2.exe');
DeleteFile('C:\WINDOWS\system32\ipz.tmp');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\cam2_sv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Program Files\KGB\Mpk.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Program Files\KGB\MpkView.exe');
DeleteFileMask('C:\Program Files\KGB', '*', true);
DeleteDirectory('C:\Program Files\KGB');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\MPK', '*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\MPK');
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
ExecuteRepair(3);
ExecuteRepair(4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT
+
Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?

C:\WINDOWS\system32\rebuild.exe - этот файл вам знаком ?

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rghost.ru/), Zalil (http://zalil.ru/), Dump.Ru (http://dump.ru/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.

Перед тем как делать новые логи, повторите скрипт AVZ из поста 2, я его поправила

Все выполнено.

inn8787, пока не всё, ждём ещё лог полного сканирования MBAM

++ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?
+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

+ not-a-virus:Server-FTP.Win32.SFH.a устанавливали ?
KGBSpy использовали ?
C:\WINDOWS\system32\rebuild.exe - этот файл вам знаком ? »
Мне не знакомо. Когда произошло вторжение в комп, дочка смотрела мультики с диска, говорит, что ничего не нажимала.

Перед тем как делать новые логи, повторите скрипт AVZ из поста 2, я его поправила »
пожалуйста повторите скрипт и переделайте логи

Логи переделаны.

архив с именем virusinfo_files_<имя_ПК>.zip »

http://webfile.ru/6397357

а радмин ваш? сами пользуетесь?

+ к вопросу выше

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве (http://safezone.cc/forum/showpost.php?p=134172&postcount=2)

Обнаруженные ключи в реестре: 4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.


После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

+ Пожалуйста посмотрите, что прописано в свойствах ярлыка
C:\WINDOWS\system32\runkgb.lnk

---------------------------------
Remote Administrator - not-a-virus:RemoteAdmin.Win32.RAdmin.22,
Remote Office Manager - not-a-virus:RemoteAdmin.Win32.ROM.ap,
not-a-virus:Server-FTP.Win32.SFH.a, а также программа
C:\Program Files\Common Files\Hide Wizard
если вам не знакомы, то для их удаления выполните скрипт (если что-то из этого ваше предупредите и уберу из скрипта).

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
QuarantineFile('C:\WINDOWS\system32\runkgb.lnk','');
QuarantineFileF('C:\Program Files\radmin\','*', true,'',0 ,0);
QuarantineFile('C:\WINDOWS\system32\ROMwln.dll','');
DeleteFile('C:\WINDOWS\system32\ROMwln.dll');
DeleteFileMask('C:\Program Files\radmin\', '*', true);
DeleteDirectory('C:\Program Files\radmin\', '');
QuarantineFileF('C:\Program Files\Common Files\Hide Wizard\','*', true,'',0 ,0);
DeleteFileMask('C:\Program Files\Common Files\Hide Wizard\', '*', true);
DeleteDirectory('C:\Program Files\Common Files\Hide Wizard\', '');
QuarantineFileF('C:\Program Files\hfs','*', true,'',0 ,0);
DeleteFileMask('C:\Program Files\hfs', '*', true);
DeleteDirectory('C:\Program Files\hfs', '');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Отключите AVZPM

Установите SP3 (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru) (может потребоваться активация) + все новые обновления (http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru) для Windows

Установите Internet Explorer 8 (http://www.microsoft.com/rus/windows/internet-explorer/default.aspx) (даже если им не пользуетесь)

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.