@kbcrfc

Компьютер в доменной сети. Я сотрудник IT-отдела, есть админская доменная учетка. Для безопасности работаю под локальной учеткой, компьютер в домен не ввожу.

Проблема сначала была у нескольких пользователей, операционки разные от XP до 8.1 профф. 32*64бита. И уже больше 2 месяцев на моем компьютере. Перестановка винды, замена мышки дают только временный эффект.

Проявляется в периодическом смещении указателя мышки, её подтормаживании, срабатывания кликов через раз-два.

Активные подтормаживания происходят только при включенном интернет соединении. Смещения иногда и без сети.
- Например, открываешь, закрываешь окно, а указатель сам перемещается вниз экрана (обычно влево). Если делаю, вероятно, что-то интересное для того, кто следит (редактирую, копирую текстовые документы, сканирую, отправляю их по электронке), курсор смещается чаще. Вот и сейчас, начал печатать это текст в ворде. Сначала всё норм было, вдруг начались глюки мышки.
- Или мышка начинает подтормаживать (не каждый твой клик срабатывает). Вероятно, когда подключается взломщик.
- Подключаешь эту же мышь к другому компьютеру, она работает идеально.
- У некоторых пользователей проблема проходит сама через несколько дней. Вероятно, к их работе и документации взломщики теряют интерес.
- Еще проявление вируса, вероятно после удаленного подключения эффект: на рабочем столе вокруг значка, на который кликнул последним, рамка-квадратная тонкая. Убирается F5, но если опять кликнешь на любой значок она снова появляется и так до перезагрузки.
- Заметил, что первые попытки подключиться к моему ПК вручную велись по одному сценарию: у одного из пользователей что-то случалось, он звонил, вызвал меня; по возвращению у меня начинала глючить мышка, как указано выше, даже без перезагрузки. Потом, вероятно метод усовершенствовали.

Моя версия: после подключения к сети к компьютеру подключаются удаленно, сбрасывают на него исполняемый файл, запускают его. И после перезагрузки вирус-шпион (клиент-сервер) устанавливается и заражает уже MBR, нулевой сектор диска, флешки и т.д. Сидит постоянно в оперативке и передает на сервак с которого его запустили все клики мышки, логины, пароли, документы. Так же есть возможность подключения к ПК жертвы удаленно, типа mstsc и там уже делают что хотят.
Сисадмины из центрального офиса не в курсе (или так говорят мне) Очень надеюсь, что это наши СБшники смотрят эффективность работы сотрудников по заданию руководства. Пока не каких последствий радикальных не было.

Вопрос в том, как защитится от удаленного подключения, кроме как отключением кабеля сети? Фаеволы, антивирусы, закрытие входящих портов неэффективны.
Есть свободные системники, могу поставить сервер-шлюз любой какой скажите, настроить как посоветуете. Плиииз HELP!

Думаю, что мало кому известно, что это за метод взлома и вирус-шпион. Но может истинным спецам будет полезно.

Что я делал:
1) Менял по очереди мышки. Был 3шт usb разных производителей. С заменой мышки смещения курсора прекращаются на незначительное время. От 2-3 дней до 2 недель (возможно, пока тот, кто удаленно ломает не обрат внимание и не перепишет драйвер и т.п.)
Поставил б/у PS/2 мышку. Всё было нормально больше месяца. Потом, вероятно написали что-то, драйвер или способ взлома изменили и т.п.
2) Сбрасывал BIOS (батарейка, перемычка, оставлял так на выходные).
3) Обновлял BIOS утилитой ASUS, несколько раз до разных версий.
4) Акронисом удалял разделы жесткого диска, создавал новые в других файловых системах (EXT2-4 и других), форматировал.
5) Деинициализировал жесткий диск из под Live-CD утилитой LLFTOOL, делал низкоуровневое форматирование (так что установщик 7ки перестает его видеть, пока в Акронисе ни инициализируешь).
6) Ставил лицензионные и др. операционки: винда от XP до 10ки (32*64бита).
7) В винде фаеволами разными или брандмауэром закрывал все входящие соединения.
8) Отключал удаленный доступ. Отключал автозапуск (через реестр и др). Отключал DCOM (в службе компонентов), там же отключал для всех учеток удаленный доступ в безопасности COM. Отключал NetBIOS.
9) Только после этого подключал интернет кабель.
10) После установки операционки ставил только лицензионный софт, причем только онлайн, никаких съемных носителей, старых документов.
11) Антивирусы разные пробовал, в том числе Каспер лиценз. Сканировал разными утилитами (AVZ, утилиты касперского, веба и др.)
12) Поставил Linux (Ubuntu, КDE). Толку нет.
13) Результат один и тот же. Через одну или несколько перезагрузок мышь начинает периодически глючить. Обязательно нужна перезагрузка.
14) Вирус или программа загрузочная, сидит в оперативке, т.е. если не сбросишь BIOS не обесточишь системник и не подождешь некоторое время пока оперативка не обнулится, то этот вирус действует даже в Live-CD и в BIOS (UEFI, Системная плата P8B75-M) заметен (мышка подтормаживает). Но если сбросишь – все нормально.
15) На XP интересный эффект. Если переставляешь винду пользуясь другой мышкой и клавой, а потом подключаешь ту что была изначально, то курсор мышки начинает трястись (амплитуда 2-3 см), через некоторое время это проходит.

0