Решена Программы-шпионы от МВД?

Статус
В этой теме нельзя размещать новые ответы.

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте! Есть такая ситуация: к клиентке приехали представители силовых структур, предъявили ордер, проверили личные вещи работающих (дамские сумочки), забрали 2 ноутбука, сняли жесткий диск с одного из компьютеров и уехали. Перед этим долго выпытывали пароль на вход в систему на один из компов и в итоге его получили... Через несколько дней клиентке удалось вернуть все это оборудование (в основном посредством связей с высшим офицерским составом в этой же структуре)... Задача клиентки стоит так: надо узнать, не поставили ли люди, забравшие технику (или те, которые с ними связаны) некое шпионское ПО, которое в дальнейшем будет "сбрасывать" скрины или другую информацию своим хозяевам. Реально или нереально это увидеть? Логи по правилам во вложении. Если нужно, логи каких программ нужны еще? Если не в том разделе тему разместил - поправьте...
 

Вложения

  • CollectionLog-2017.01.24-08.15.zip
    72.3 KB · Просмотры: 5

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Razey,здравствуйте программа TeamViewer - сами устанавливали?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Здравствуйте, Кирилл! Спасибо! TeamViewer ставил сам. Запрошенные логи FRST во вложении.
 

Вложения

  • FRST.zip
    35.1 KB · Просмотры: 3

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Скрытая установка мAmazon 1Button App и Amazon Assistant вам известны?
Удалите расширение Mazilla Quiknowledge
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Amazon 1Button App (x32 Version: 2.3.4 - Amazon) Hidden <==== ATTENTION
Amazon Assistant (HKLM-x32\...\Amazon Assistant) (Version: 2.3.4 - Amazon) <==== ATTENTION
AlternateDataStreams: C:\Users\Admin\Downloads\2Y9062193.pdf:$CmdZnID [26]
AlternateDataStreams: C:\Users\Admin\Downloads\Kupibilet_ru_3382123043 (1).pdf:$CmdZnID [26]
AlternateDataStreams: C:\Users\Admin\Downloads\Kupibilet_ru_3382123043 (2).pdf:$CmdZnID [26]
AlternateDataStreams: C:\Users\Admin\Downloads\Kupibilet_ru_3382123043.pdf:$CmdZnID [26]
FF Extension: (Quiknowledge) - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com [2015-06-10] [not signed]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
2014-11-10 09:28 - 2015-04-10 01:28 - 0000095 _____ () C:\Users\Admin\AppData\Roaming\WB.CFG
2014-05-13 23:39 - 2014-05-13 23:39 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-11-30 19:43 - 2016-11-30 19:43 - 0239104 ____N () C:\Users\Admin\AppData\Local\Temp\rn32.dll
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
мAmazon 1Button App и Amazon Assistant
нет, не известны

Удалите расширение Mazilla Quiknowledge
не смог удалить - его там (в расширениях) нет

fixlog.txt и AdwCleaner[S1].txt во вложении.

запустить не удалось, выдал следующее сообщение:
Невозможно создать папку C:\Users\Admin\AppData\Local\Temp\SecurityCheck". Отказано в доступе.
 

Вложения

  • Fixlog.txt
    3.3 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    18 KB · Просмотры: 3

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
нет, не известны

Тогда удалите если не нужны.
MiPony 2.0.2 - тоже,содержит Adware

- Удалите в AdwCleaner всё кроме папок от mail.ru и rambler - если rambler и программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Сделайте свежий лог Adwcleaner
+

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 
Последнее редактирование:

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Антивирус отключите на время сбора л
отключал, даже удалил и перезагрузился - то же самое...

не смог найти их в "Программы и компоненты"

логи OTM и AdwCleaner'a сделал - во вложении...
логи OTM забыл вложить... вот...
 

Вложения

  • AdwCleaner[C0].txt
    17.8 KB · Просмотры: 2
  • AdwCleaner[S2].txt
    15.7 KB · Просмотры: 1
  • AdwCleaner[S3].txt
    2.2 KB · Просмотры: 2
  • OTL_logs.rar
    505.5 KB · Просмотры: 3

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    killallprocesses
    :OTL
    O15 - HKU\S-1-5-21-1836768230-2093935040-3906407843-1000\..Trusted Domains: amazon.com ([]https in Trusted sites)
    
    :Commands
    [CREATERESTOREPOINT] 
    [EMPTYTEMP]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
запустить не удалось, выдал следующее сообщение:
Невозможно создать папку C:\Users\Admin\AppData\Local\Temp\SecurityCheck". Отказано в доступе.
Так и не получилось?
 
Последнее редактирование:

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Скрипт выполнен, лог во вложении.

По поводу 2-го: так и ее получилось. Я сделал больше: сначала отключил антивирус - ошибка вылетела та же; затем удалил антивирус и перезагрузился - то же... Уже после только поставил антивирус и сделал лог OTL...
 

Вложения

  • 02012017_073811.log
    4.4 KB · Просмотры: 3

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Razey, по логам чисто,как по вашим субъективным ощущениям ПК?

Для удаления OTL by OldTimer необходимо нажть на кнопку CleanUp и перезагрузить компьютер.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Файл - Деинсталлировать.
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 

Razey

Ветеран
Сообщения
709
Реакции
31
Баллы
508
Насчет hardware закладок, akok, спасибо! Но тут 2 момента: комп - ноутбук, с этим тут сложнее и вроде следов вскрытия нет (буду смотреть); второй - то, что люди вели себя достаточно по-хамски и, как выяснилось, их "наняли" конкуренты владелицы, чтобы ее"припугнуть" и "снять денег"... Как они получили ордер тоже вопрос, т.к. никто из их руководства и не знал, куда и зачем поехали (м.б. между делом сунули на подпись и т.д.). Более того, в этих структурах все "зоны" поделены и т.д., а тут они заехали явно не в "свои владения", что тоже было отмечено, когда уже с ними начали разбираться (уже свои же)... Т.е. на данный момент все в офисе отделались легким испугом... Удручает то, что это центр столицы... А что может быть на окраинах...

Кирилл, по субъективным - нет ничего... Те, которые ставят (или те, с которыми ставят :) ) так не работают. Они мягче, интеллигентнее, незаметнее, аккуратнее, что-ли... У меня такое ощущение... AdwCleaner и OTL удалил!

ВСЕМ СПАСИБО!!! Можно закрывать тему.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Удручает то, что это центр столицы... А что может быть на окраинах...
Ну в центре Сибири - для нас это дикость какая то...

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу