ПОМОГИТЕ найти ШПИОНА на компе!

[bird-irina]

Ребята привет! Вся надежда на Вас!! Дело в том, к нам на работу примерно раз в месяц приходит сисадмин, он каким-то образом ломает мои почтовые ящики и читает почту. За вскрытие личных данных и её предачи в третьи лица есть статья. Но как найти на компе шпиона? Видимо всё, что я набираю с клавиатуры, записывается в какую-то папку на компе. Как её найти? Сисадмин, это человек, который слишком болезненно отреагировал на мой отказ в плане каких-то отношений, постоянно звонит и меня обзывает, мешает работать и вчера прислал мне мою же переписку с моим (теперь уже бывшим) молодым человеком. От моего имени сисадмин писал гадости моим друзьям и родственникам, открывал и вёл форумы, публиковал мои фото на сайтах интим-услуг. И написал мне, что сколько бы ящиков я не делала, сколько бы паролей не меняла, он ВСЕГДА будет читать мою почту. Помогите!!

[Saule]

Но как найти на компе шпиона?

Попробуйте скачать HijackThis.

Затем нужно будет его включить и нажать на кнопку с надписью - Do a systemscan and save a logfile.

Он выдаст лог, который просто скопируйте сюда на форум.

[Darhazer]

Если думаеш у тебе Keylogger, то скачай Blazingtools Personal Antispy и провер систему. Если напишет что у тебе есть keylogger, но не можеш определить программу, которая записиваеть то, что вводиш, дай нам Screenshot :sm(100):

Но если подключение к Интернет идет через другого компютера (рутера), возможно чтоб там следили то, что вводиш :sm(100):

[bird-irina]

а как происходит взлом мыла, если человек знает мой логин???

Попробуйте скачать HijackThis.

Затем нужно будет его включить и нажать на кнопку с надписью - Do a systemscan and save a logfile.

Он выдаст лог, который просто скопируйте сюда на форум.

ВОТ Я СКОПИРОВАЛА. ЧТО ЭТО???

Logfile of HijackThis v1.99.1

Scan saved at 12:32:58, on 27.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[Saule]

ВОТ Я СКОПИРОВАЛА. ЧТО ЭТО???

Logfile of HijackThis v1.99.1

Scan saved at 12:32:58, on 27.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Хотелось бы видеть абсолютно весь лог, а не только его заглавие :sm(100):

[bird-irina]

Хотелось бы видеть абсолютно весь лог, а не только его заглавие :sm(100):

Logfile of HijackThis v1.99.1

Scan saved at 13:02:51, on 27.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe

C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE

C:\Program Files\Informatic\ORFO 2004\orfagent.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\The Bat!\thebat.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

c:\temp\Rar$EX00.781\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metalprices.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IE 4.x-6.x BHO for Internet Download Accelerator - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - C:\PROGRA~1\IDA\idaiehlp.dll

O3 - Toolbar: IDA Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\IDA\idabar.dll

O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ОРФО Агент.lnk = C:\Program Files\Informatic\ORFO 2004\orfagent.exe

O8 - Extra context menu item: &SaveChm - C:\Program Files\SaveChm\SaveChm.vbs

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Download ALL with IDA - C:\Program Files\IDA\idaieall.htm

O8 - Extra context menu item: Download with IDA - C:\Program Files\IDA\idaie.htm

O8 - Extra context menu item: Translate with Lingvo - res://C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: SaveChm - {34F8C0D0-06F7-4f71-9E8E-190337851167} - C:\Program Files\SaveChm\SaveChm.vbs

O9 - Extra 'Tools' menuitem: SaveChm - {34F8C0D0-06F7-4f71-9E8E-190337851167} - C:\Program Files\SaveChm\SaveChm.vbs

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Program Files\IDA\ida.exe

O9 - Extra 'Tools' menuitem: &Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Program Files\IDA\ida.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{89FFA1E3-032B-46ED-BB1C-7230F0A181BD}: NameServer = 213.158.0.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{B81380A2-33FC-48AF-A3B9-DF0DE0BD0A35}: NameServer = 192.168.0.1

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

[Saule]

Чистый лог :sm(100):

Но скажите, у этого человека есть доступ к вашему компьютеру, если он сисадмин?

[bird-irina]

Чистый лог :)

Но скажите, у этого человека есть доступ к вашему компьютеру, если он сисадмин?

а как Вы узнали, что лог чистый? это вообще что значит?? доступ к моему компу есть. он постоянно читает мою почту. как взламывает? что за кэш? (слышала)

[Saule]

а как Вы узнали, что лог чистый? это вообще что значит?? доступ к моему компу есть. он постоянно читает мою почту. как взламывает? что за кэш? (слышала)

Чистый лог означает, что на этом компьютере нет никаких вредоносных или подозрительных программ.

И я не поняла немного о доступе. Он есть у него или нету? То есть он приходит раз в месяц к вам на работу, потому что работает в этой же фирме и у него есть там какие-то обязанности, связанные с теми компьютерами, один из которых вы и используете?

Или же вы говорите о "взломе" своего домашнего компьютера, к которому этот сисадмин никогда не приблежался?

[bird-irina]

Чистый лог означает, что на этом компьютере нет никаких вредоносных или подозрительных программ.

И я не поняла немного о доступе. Он есть у него или нету? То есть он приходит раз в месяц к вам на работу, потому что работает в этой же фирме и у него есть там какие-то обязанности, связанные с теми компьютерами, один из которых вы и используете?

Или же вы говорите о "взломе" своего домашнего компьютера, к которому этот сисадмин никогда не приблежался?

рабочий комп. и взламывает почту. и вообще что за программы по взлому у него? стоит сделать ящик новый он уже пароль знает

[Father]

рабочий комп. и взламывает почту. и вообще что за программы по взлому у него? стоит сделать ящик новый он уже пароль знает

Так, вероятно, ваша почта в локальной сети, а все у него на сервере лежит, где он все и читает. Во-первых: не стоит на рабочих машинах вести личную переписку, дабы не давать повода для компромата. А по существу: напишите на него докладную на имя начальника, где изложите все указанные вами действия и сообщите, что сомневаетесь в его надежности поскольку, если он вас шантажирует, то он очевидная угроза вашей компании вообще: сегодня вы ему не понравились, а завтра зарплата не устроит, так либо конкурентам может все слить, либо шефа подставить!

[Сыр]

Я взял бы планку повыше начальника - милицию. Все это уголовно наказуемо.

Во-первых это статья 138 УК РФ часть 2

Во-вторых это статья 273 УК РФ часть 1 или 272 часть 2, это нужно расследовать.

В-третьих это статья 137 УК РФ часть 2

Он от тебя что-нибудь требует за то, что бы он не смотрел твои письма? Деньги?

В таком случае это еще попадает и под статью 163 УК РФ часть 1

постоянно звонит и меня обзывает

Это статья 130 УК РФ часть 1

писал гадости моим друзьям и родственникам

Статья 129 УК РФ часть 1

публиковал мои фото на сайтах интим-услуг

Статья 129 УК РФ часть 1

Я конечно не юрист, но надеюсь тебе все это поможет...

Изменено 28 декабря, 2005 пользователем Сыр

[bird-irina]

Я взял бы планку повыше начальника - милицию. Все это уголовно наказуемо.

Во-первых это статья 138 УК РФ часть 2

Во-вторых это статья 273 УК РФ часть 1 или 272 часть 2, это нужно расследовать.

В-третьих это статья 137 УК РФ часть 2

Он от тебя что-нибудь требует за то, что бы он не смотрел твои письма? Деньги?

В таком случае это еще попадает и под статью 163 УК РФ часть 1

Это статья 130 УК РФ часть 1

Статья 129 УК РФ часть 1

Статья 129 УК РФ часть 1

Я конечно не юрист, но надеюсь тебе все это поможет...

СПАСИБО!

[1-0]

Ситуация действительно сложная. И, если админ не дурак, то скорее всего, даже обладай Вы физическим доступом к компу админа и его паролями, Вы вряд ли сможете как-то оградить себя от вторжений в Вашу переписку.

Совсем не факт, что шпион, следящий за входящей-исходящей информацией на/с Вашего компа, установлен именно на Вашей машине.

Он может быть и не установлен на рутере, а может вообще висеть на коммутаторе.

Вот поэтому и лог HijackThis Вам выдал чистый. Да и вообще шпион может никак не проявлять себя в запущенных процессах на Вашем компе, а лишь время от времени, к примеру, в зависимости от настроек.

Поэтому вряд ли поможет смена паролей, машины, рабочего места в пределах организации, пока этот админ там работает.

ИМХО, выход в Вашей ситуации, боюсь, действительно один: выводить проблему на уровень руководства и подключать правоохранительные органы.

[Saule]

Если этот человек работает у вас сисадмином, то способов, читать вашу почту у него может быть огромное кол-во, так как все условия для этого у него есть. Вам действительно нужно попытаться пожаловаться начальству. А также проконсультироваться у какого-нибудь специалиста по юридическим делам (узнайте какие доказательства нужно предоставить и как вообще за это можно по закону наказать).

А что касается дальнейшей безопасности, то в первую очередь вам нужна какая-нибудь программа, которая постоянно будет удалять все следы ваших интернет-действий, кэш (временные интернет файлы), кукисы, index.dat-файлы, историю браузера, историю ваших последних документов, содержимое мусорного ведра и т.д.

Например, бесплатная программа:

Free Internet Window Washer.

Платные, но возможна триал-версия на нес-ко дней:

FlashClean,

Keep Your Privacy,

Fast Eraser.

Что касаеться фотографий и других документов, которые вам нужны и вы не можете их удалять с компьютера, но беспокоитесь за их сохранность, то их также возможно прятать с помощью специальных программ, которые ставят маски на ваши папки, криптуют и делают их совершенно невидимыми для посторонних глаз.

Я сама использую одну из таких - Universal Shield.

Или почитайте, например, об этой программе - SecureWord.

А если же вы всё-таки считаете, что он ворует вашу почту с помощью шпиона, запущенного на вашем компьютере, то помочь может только правильно настроенный файрвол, который будет контролировать абсолютно все ваши порты и соединения.

[igirodessa1]

я полностью согласен с Saule нужен только хороший firewall который как минимум покажет с какого компа к вам залезли в машину а дальше дело техники