Решена Программы-шпионы от МВД?

Статус
В этой теме нельзя размещать новые ответы.

Razey

Опытный участник
Сообщения
729
Реакции
33
Здравствуйте! Есть такая ситуация: к клиентке приехали представители силовых структур, предъявили ордер, проверили личные вещи работающих (дамские сумочки), забрали 2 ноутбука, сняли жесткий диск с одного из компьютеров и уехали. Перед этим долго выпытывали пароль на вход в систему на один из компов и в итоге его получили... Через несколько дней клиентке удалось вернуть все это оборудование (в основном посредством связей с высшим офицерским составом в этой же структуре)... Задача клиентки стоит так: надо узнать, не поставили ли люди, забравшие технику (или те, которые с ними связаны) некое шпионское ПО, которое в дальнейшем будет "сбрасывать" скрины или другую информацию своим хозяевам. Реально или нереально это увидеть? Логи по правилам во вложении. Если нужно, логи каких программ нужны еще? Если не в том разделе тему разместил - поправьте...
 

Вложения

  • CollectionLog-2017.01.24-08.15.zip
    72.3 KB · Просмотры: 5
Razey,здравствуйте программа TeamViewer - сами устанавливали?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Здравствуйте, Кирилл! Спасибо! TeamViewer ставил сам. Запрошенные логи FRST во вложении.
 

Вложения

  • FRST.zip
    35.1 KB · Просмотры: 3
Скрытая установка мAmazon 1Button App и Amazon Assistant вам известны?
Удалите расширение Mazilla Quiknowledge
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
Amazon 1Button App (x32 Version: 2.3.4 - Amazon) Hidden <==== ATTENTION
Amazon Assistant (HKLM-x32\...\Amazon Assistant) (Version: 2.3.4 - Amazon) <==== ATTENTION
AlternateDataStreams: C:\Users\Admin\Downloads\2Y9062193.pdf:$CmdZnID [26]
AlternateDataStreams: C:\Users\Admin\Downloads\Kupibilet_ru_3382123043 (1).pdf:$CmdZnID [26]
AlternateDataStreams: C:\Users\Admin\Downloads\Kupibilet_ru_3382123043 (2).pdf:$CmdZnID [26]
AlternateDataStreams: C:\Users\Admin\Downloads\Kupibilet_ru_3382123043.pdf:$CmdZnID [26]
FF Extension: (Quiknowledge) - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com [2015-06-10] [not signed]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
2014-11-10 09:28 - 2015-04-10 01:28 - 0000095 _____ () C:\Users\Admin\AppData\Roaming\WB.CFG
2014-05-13 23:39 - 2014-05-13 23:39 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-11-30 19:43 - 2016-11-30 19:43 - 0239104 ____N () C:\Users\Admin\AppData\Local\Temp\rn32.dll
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
мAmazon 1Button App и Amazon Assistant
нет, не известны

Удалите расширение Mazilla Quiknowledge
не смог удалить - его там (в расширениях) нет

fixlog.txt и AdwCleaner[S1].txt во вложении.

запустить не удалось, выдал следующее сообщение:
Невозможно создать папку C:\Users\Admin\AppData\Local\Temp\SecurityCheck". Отказано в доступе.
 

Вложения

  • Fixlog.txt
    3.3 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    18 KB · Просмотры: 3
нет, не известны

Тогда удалите если не нужны.
MiPony 2.0.2 - тоже,содержит Adware

- Удалите в AdwCleaner всё кроме папок от mail.ru и rambler - если rambler и программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Сделайте свежий лог Adwcleaner
+

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 
Последнее редактирование:
Антивирус отключите на время сбора л
отключал, даже удалил и перезагрузился - то же самое...

не смог найти их в "Программы и компоненты"

логи OTM и AdwCleaner'a сделал - во вложении...
логи OTM забыл вложить... вот...
 

Вложения

  • AdwCleaner[C0].txt
    17.8 KB · Просмотры: 2
  • AdwCleaner[S2].txt
    15.7 KB · Просмотры: 1
  • AdwCleaner[S3].txt
    2.2 KB · Просмотры: 2
  • OTL_logs.rar
    505.5 KB · Просмотры: 3
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    killallprocesses
    :OTL
    O15 - HKU\S-1-5-21-1836768230-2093935040-3906407843-1000\..Trusted Domains: amazon.com ([]https in Trusted sites)
    
    :Commands
    [CREATERESTOREPOINT] 
    [EMPTYTEMP]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
запустить не удалось, выдал следующее сообщение:
Невозможно создать папку C:\Users\Admin\AppData\Local\Temp\SecurityCheck". Отказано в доступе.
Так и не получилось?
 
Последнее редактирование:
Скрипт выполнен, лог во вложении.

По поводу 2-го: так и ее получилось. Я сделал больше: сначала отключил антивирус - ошибка вылетела та же; затем удалил антивирус и перезагрузился - то же... Уже после только поставил антивирус и сделал лог OTL...
 

Вложения

  • 02012017_073811.log
    4.4 KB · Просмотры: 3
Razey, по логам чисто,как по вашим субъективным ощущениям ПК?

Для удаления OTL by OldTimer необходимо нажть на кнопку CleanUp и перезагрузить компьютер.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Файл - Деинсталлировать.
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.
 
Насчет hardware закладок, akok, спасибо! Но тут 2 момента: комп - ноутбук, с этим тут сложнее и вроде следов вскрытия нет (буду смотреть); второй - то, что люди вели себя достаточно по-хамски и, как выяснилось, их "наняли" конкуренты владелицы, чтобы ее"припугнуть" и "снять денег"... Как они получили ордер тоже вопрос, т.к. никто из их руководства и не знал, куда и зачем поехали (м.б. между делом сунули на подпись и т.д.). Более того, в этих структурах все "зоны" поделены и т.д., а тут они заехали явно не в "свои владения", что тоже было отмечено, когда уже с ними начали разбираться (уже свои же)... Т.е. на данный момент все в офисе отделались легким испугом... Удручает то, что это центр столицы... А что может быть на окраинах...

Кирилл, по субъективным - нет ничего... Те, которые ставят (или те, с которыми ставят :) ) так не работают. Они мягче, интеллигентнее, незаметнее, аккуратнее, что-ли... У меня такое ощущение... AdwCleaner и OTL удалил!

ВСЕМ СПАСИБО!!! Можно закрывать тему.
 
Удручает то, что это центр столицы... А что может быть на окраинах...
Ну в центре Сибири - для нас это дикость какая то...

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу