Как вычислить руткит на собственном компьютере?

Дело было 4 дня назад. Зайдя домой мельком глянул на компьютер жены, там красным по белому gmail предупреждал о смене пароля аккаунта. Я резко вмешался и поменял пасс обратно, включил двух факторную аутификацию и заодно глянул сессии ip, там красовался 189.33.44.246. Выяснять источник я не стал т.к. один хрен без анноимайзера или прокси в наше время никто никуда не полезет. Вместо этого, проверил почту на телефоне — тот предательски сообщил о неверном пароле уже на моем основном аккаунте, я напрягся и в темпе вальса к стационару. Пароль на своем аккаунте я восстановил через смс к нему подключались с 212.156.58.182. Рабочий gmail тоже ушел, его удалось вернуть только сегодня. Так же мне поменяли пароли и слили bitcoin с Mtgox, deepbit.net, slush pool.

На данный момент все 3 компа просканированы на малаварь 2-McAfee и 1- Nod32, Rootkit reliever, Sophos Anti-Rootkit, tdsskiller. Результат нулевой.

До атаки ни один компьютер не эксплуатировался без антивируса, все пароли на моих аккаунтах были не короче 10 символов с буквами и цифрами (брутафорс по словарю исключаю) и разные. За свой ноутбук и стационар могу сказать, что все скачанные файлы сканировались на вирусы перед открытием, сайты сомнительного содержания не посещались. Исключения в антивирусах проверил-нет.

Телефон исключаю т.к. на рабочий аккаунт и пулы я с него не заходил.

Из подозрений. На компьютере жены, в папке firefox была обнаружена папка dumbva0z на 500Мб с базой sql-я вроде. Но ни одного срабатывания антивируса или другого сканера.

Что посоветуете?

Заранее всем спасибо!


P.S.: Кто дочитал — молодец!

Никогда не разрешаю браузеру запоминать важные пароли, все пароли храню в голове.

P.P.S.: Включайте двух факторную аутификацию.

Жена, не причем — она не в теме (про биткоин)!

UPD: Всем огромное спасибо за помощь, ну и лучей! А я просто переставлю свои системы и впредь буду аккуратнее.
  • Вопрос задан
  • 3382 просмотра
Пригласить эксперта
Ответы на вопрос 8
osby
@osby
Возможно, это не руткит, а кто-то перехватывает ваш трафик. Проверьте, правильный ли mac-адрес вашего шлюза в arp-кэше.
Ответ написан
Evengard
@Evengard
CureIt пробовали?
Ответ написан
m08pvv
@m08pvv
Есть вероятность, что зловред тихо выполнил своё дело и тихо удалился.
Ответ написан
Попробуйте SpyBot Search & Destroy

После установки обновите все базы и запустите полную проверку.
Ответ написан
@nerudo
Загружались с liveCD, надеюсь, для проверки?
Ответ написан
@LightKeeper
Скорее всего атака не сетевая. Аутентификация в gmail происходит по https протоколу, если бы было вмешательство в него, браузер бы об этом громко закричал. Судя по тому, что слиты и другие пароли, это что-то локальное, и может быть простое (например самодельный кейлогер, который шлет на емейл логи нажимаемых клавиш, или плагин для браузера), естественно, антивирусы это вам не найдут, если атака была конкретно на вас.
Ответ написан
@mx2000
1. купите жене второй компьютер либо сделайте ей отдельную систему в VM'ке.

2. насколько я понял, юзается windows. Храните critical stuff на компьютере под, например, FreeBSD :)

3. сделайте себе персональный гейт на почту, тогда пароли от настоящих почтовых акков стянуть станет практически невозможно.
Ответ написан
Perkov
@Perkov
Punto Switcher есть?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы