Как определить наличие программы-шпиона на компе?
да ладно, у меня был знакомый профессор, он прознал что на выборы ректора идет пидар, и как истовый католик, зарегил ящег анономный и прямо со своего рабочего компа рассылал по адресам универа воззвание что пидары атакуют
в заголовке анонимного песьма сразу высвечивалось что-то типа его имя компа, которое у нас в сети было его полное имя
вот это я понимаю шпиона поставили на комп
в заголовке анонимного песьма сразу высвечивалось что-то типа его имя компа, которое у нас в сети было его полное имя
вот это я понимаю шпиона поставили на комп
попробуй Ctrl+Shift+Escape надавить для начала и сделать нам принтскрин всех процессов, мож найдется че подозрительное.
А ваще ты разделом промахнулась все ж, наверное
А ваще ты разделом промахнулась все ж, наверное
Вообще-то надежных методов нахождения шпионов нет. Шпион всегда может сэмулировать систему без него. Просто полная эмуляция очень трудна, поэтому у каждого шпиона есть способ обнаружения. Но универсального анти-шпиона написать нельзя (шпион может просто найти анти-шпион по сигнатурам и "отключить").
Вот адресочек, который поможет справиться с некоторыми шпионами: http://technet.microsoft.com/ru-ru/sysinternals/bb897445.aspx
Вот адресочек, который поможет справиться с некоторыми шпионами: http://technet.microsoft.com/ru-ru/sysinternals/bb897445.aspx
Скачай это : hijack this
И это wireshark
hjthis найдет список всего что в автозапуске, определенных разделах реестра и в системных папках. Если запостить лог этой программы знающим людям (тм тебе могут указать на подозрительное.
wireshark собирает статистику по пакетикам исходящим из твоего компа. Если от тебя постоянно идут http пакеты на адреса, которые не открыты в бравзере, не имеют отношения к аськам и прочим программам официально запущенным на твоем компе - повод насторожиться.
И это wireshark
hjthis найдет список всего что в автозапуске, определенных разделах реестра и в системных папках. Если запостить лог этой программы знающим людям (тм тебе могут указать на подозрительное.
wireshark собирает статистику по пакетикам исходящим из твоего компа. Если от тебя постоянно идут http пакеты на адреса, которые не открыты в бравзере, не имеют отношения к аськам и прочим программам официально запущенным на твоем компе - повод насторожиться.
Кстати, какие IDS под винду есть? Интересует как сетевые, так и защита от модификации данных и проверка руткитов.
Но перед их применением, разумеется, нужно переставить систему, чтобы получить гарантированно чистую.
Но перед их применением, разумеется, нужно переставить систему, чтобы получить гарантированно чистую.
развлекается рассылкой писем c чужих почтовых ящиков.Для этого не нужно что-либо у кого-то выкрадывать или шпионить за кем-то. Протокол SMTP, который используется для доставки e-mail позволяет указать в графе отправителя любое сочетание вида пользователь@хост.
спасибо.
мне все процессы кажутся подозрительными
поняла, что нужно снова обращаться к айтишникам
мне все процессы кажутся подозрительными
поняла, что нужно снова обращаться к айтишникам
аа, айтишники все-тки на твоей стороне? 
тогда есть смысл, конечно
я просто сразу немного не так понял
тогда есть смысл, конечноя просто сразу немного не так понял
мало что понимаю в технических тонкостях, в общем замдира, использовав удаленный доступ, отправил с рабочего компа коммерческого дира идиотско письмо.
Для этого не нужно что-либо у кого-то выкрадывать или шпионить за кем-то. Протокол SMTP, который используется для доставки e-mail позволяет указать в графе отправителя любое сочетание вида пользователь@хост.
отдел IT-безопасности обещал найти "хулигана", то внезапно "потерял след" - официальная версия. Неофициально ребята сообщили, кто это сделал, намекнув, что под коммерческого директора начальство роет большую яму.
знающим людям (тм)Можно сразу на http://www.hijackthis.de/, а потом уже тревожить гугл и знающих людей на предмет подозрительных вхождений.
если есть права, поставь себе касперского 8.0 (бета версия бесплатная на сайте есть он фиксирует попытки управлять твоим компом удаленно. Правда это в то время пока ты сидишь за компом.
Вопрос: как определить наличие программы-шпиона? Хочу антишпиона.проверь какие программы установлены
жесть, прямо мыльная опера. Что будет во второй серии?
// быдло...
// быдло...
вот. надеюсь, что я все сделал правильно:
hjthis найдет список всего что в автозапуске, определенных разделах реестра и в системных папках. Если запостить лог этой программы знающим людям (тм тебе могут указать на подозрительное.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:11:28, on 03.02.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\ABBYY Lingvo 12\LvAgent.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Users\Яна\AppData\Roaming\Mail.Ru\Agent\magent.exe
C:\Program Files\Punto Switcher\punto.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\Windows\helppane.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=40316
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.samsungcomputer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Users\Яна\AppData\Roaming\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 12\Lvagent.exe" /STARTUP
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MAgent] C:\Users\Яна\AppData\Roaming\Mail.Ru\Agent\MAgent.exe -CU
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\punto.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [Yupdate!] "C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe"
O4 - HKCU\..\Run: [YandexOnline] "C:\Program Files\Yandex\Online\online.exe" -AutoStart
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4
Ничего подозрительного в списке процессов не замечено. А можешь сделать такой же лог процессов других пользователей (системы)? Или лучше сразу лог avz.
а я точно не единственный пользователь системы? какие еще пользователи могут быть на моем ноуте? учетная запись одна. или ...? как это определить.
я гуманитарий женского пола.
Или лучше сразу лог avz.
я гуманитарий женского пола.
http://www.z-oleg.com/secur/avz/download.php
Это такой антивирус от одного сотрудника Kaspersky Labs.
Другие пользователи — это сама операционная система, её внутренние процессы.
Это такой антивирус от одного сотрудника Kaspersky Labs.
Другие пользователи — это сама операционная система, её внутренние процессы.
Вообще, если вернуться к исходной теме, не думаю, что "начальство" без it-отдела будет само устанавливать на машины сотрудников хитрые труднодетектируемые руткиты. min-подобного софта не замечено, если нет уверенности, что это не паранойя, можно на этом и остановиться.
пожалуй, этого достаточно.
если нет уверенности, что это не паранойя, можно на этом и остановиться.
а мигания - это, наверное, автосохрание вордовских файлов, они постоянно открыты.
Всем большое спасибо!
Оставить комментарий
Sashencia
На работе, когда начальство (будь оно не ладно) сканирует монитор (просматривает) твоего компа - монитор своеобразно "мигает".Чего-то и домашний ноут стал странно "подмигивать"
В свое время просила атишников с работы установить мне пару программ, может они чего лишнего поставили?
Ребята айтишники хорошие у нас, но начальство сильно больное: в частности зам.гендира развлекается рассылкой писем c чужих почтовых ящиков.
Так однажды с рабочего ящики коммерческого директора в субботу утром (нерабочий день) ушло письмо со словами "вы все дураки", адресованное гендиру и его заму.
Айтишникам, вычислившим "шалуна", коим оказался зам. ген.дира, приказали молчать.
Ну, они, как уже было сказано, ребята хорошие - по большому секрету зама выдали. Можно было считать эту выходку зама неудачной шуткой, но коммерческого директора в связи с этой «шуткой» пытаются подвести под увольнение по статье.
Вопрос: как определить наличие программы-шпиона? Хочу антишпиона.