[решено] Возможна ли кража данных?

SolarSpark · Отправлено: **13:35, 27-11-2012** | #2

Привет
1. троян
2. Если не пользуете удаленку, маловероятно. Вирусня в основном тырит пароли.
Пожалуйста

SolarSpark · Отправлено: **14:10, 27-11-2012** | #3

я бы на вашем месте проверилась. Выполните диагностику полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей

funky_funky · Отправлено: **19:01, 27-11-2012** | #4

SolarSpark, диагностику провеел, прикрепляю.
И еще вопрос, удаленный доступ у меня отключен, а вот удаленный помощник был включен. Через удаленный помощник можно было бы слить какие-нибудь файлы с компьютера?

SolarSpark · Отправлено: **21:03, 27-11-2012** | #5

1. Обновите Internet Explorer до IE8

2. Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\docume~1\1441~1\locals~1\temp\dbustrcm.sys','');
 DeleteFile('c:\docume~1\1441~1\locals~1\temp\dbustrcm.sys');
 DeleteService('dbustrcm');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

4. Если не выбирали поиском и главной webaltaПофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=123044
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=123048
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

5.AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

6.Избавьтесь от лишних тулбаров методом деинсталляции через установку/удаление программ

Код:

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll

7.Обновите базы AVZ и Сделайте повторные логи AVZ + RSIT

8.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удалять!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

9.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Изменить параметры проверки";
Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
Подтвердите изменение настроек нажатием кнопки "ОК";
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания консультанта ничего не не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

funky_funky · Отправлено: **16:46, 28-11-2012** | #6

SolarSpark, Все выполнил, прикрепляю лог TDSS и Malware.

SolarSpark · Отправлено: **19:18, 28-11-2012** | #7

Я же выделила

Цитата SolarSpark:

Самостоятельно ничего не удалять! »

вы не выполнили

Цитата SolarSpark:

5.AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. »

Цитата SolarSpark:

7.Обновите базы AVZ и Сделайте повторные логи AVZ + RSIT »

funky_funky · Отправлено: **12:02, 29-11-2012** | #8

SolarSpark, Все, доделал.

SolarSpark · Отправлено: **16:13, 29-11-2012** | #9

вы скрипт и фикс выполняли?

у меня ощущение, что нет, IE не обновили

выполните скрипт и фикс, лог RSIT повторите
+
Все найденные в AVZ строки с webalta удалите.
+

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

funky_funky · Отправлено: **18:28, 29-11-2012** | #10

SolarSpark, IE обновлён, скрипты выполнил.

Security Check by glax24 version 0.1.3.37 beta
WebSite: www.safezone.cc
DataLog 29.11.2012 20:23:33
Program directory: C:\Documents and Settings\Ас\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.9
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Автоматическое обновление отключено
Дата установки обновлений: 2010-08-02 17:16:23
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 5.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiVirusFirewallInstall-------------
McAfee Security Scan Plus v.3.0.207.4
-------------OtherUtilities-----------------------
CCleaner (remove only)
LanSpy
-------------Java---------------------------------
-------------AppleProduction----------------------
QuickTime
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.91
Mozilla Firefox 3.06
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления
Rambler Nichrome v.19.0.1084.46
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.23.0.1271.91
-------------EndLog-------------------------------