[решено] Возможна ли кража данных? - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Возможна ли кража данных? (http://forum.oszone.net/showthread.php?t=247800)

Возможна ли кража данных?

Доброго времени суток.
Вопрос такой. На компьютер была произведена вирусная атака, взломан аккаунт на Одноклассниках, Контакте и др., антивирус нашел следы вируса Bicololo.A
На рабочем столе в то время находился запароленный архив с конфиденциальными данными.
Интересует следующее:
1. Что это за зверь такой - Bicololo.A?
2. Возможно ли попадание архива с данными в чужие руки с помощью вирусной атаки, и вообще, в принципе, возможно ли тайно скопировать файлы с одного компьютера на другой через интернет?
Спасибо.

Привет
1. троян
2. Если не пользуете удаленку, маловероятно. Вирусня в основном тырит пароли.
Пожалуйста

я бы на вашем месте проверилась. Выполните диагностику полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей

SolarSpark, диагностику провеел, прикрепляю.
И еще вопрос, удаленный доступ у меня отключен, а вот удаленный помощник был включен. Через удаленный помощник можно было бы слить какие-нибудь файлы с компьютера?

1. Обновите Internet Explorer до IE8

2. Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;

QuarantineFile('c:\docume~1\1441~1\locals~1\temp\dbustrcm.sys','');

 DeleteFile('c:\docume~1\1441~1\locals~1\temp\dbustrcm.sys');

 DeleteService('dbustrcm');

 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then

 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');

 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

4. Если не выбирали поиском и главной webaltaПофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=123044

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=123048

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

5.AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

6.Избавьтесь от лишних тулбаров методом деинсталляции через установку/удаление программ

Код:

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)

O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll

7.Обновите базы AVZ и Сделайте повторные логи AVZ + RSIT

8.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удалять!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

9.

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Изменить параметры проверки";
Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
Подтвердите изменение настроек нажатием кнопки "ОК";
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания консультанта ничего не не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

SolarSpark, Все выполнил, прикрепляю лог TDSS и Malware.

Я же выделила

Цитата:

Цитата SolarSpark

Самостоятельно ничего не удалять! »

вы не выполнили

Цитата:

Цитата SolarSpark

5.AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. »

Цитата:

Цитата SolarSpark

7.Обновите базы AVZ и Сделайте повторные логи AVZ + RSIT »

SolarSpark, Все, доделал.

вы скрипт и фикс выполняли?

у меня ощущение, что нет, IE не обновили

выполните скрипт и фикс, лог RSIT повторите
+
Все найденные в AVZ строки с webalta удалите.
+

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

SolarSpark, IE обновлён, скрипты выполнил.

Security Check by glax24 version 0.1.3.37 beta
WebSite: www.safezone.cc
DataLog 29.11.2012 20:23:33
Program directory: C:\Documents and Settings\Ас\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.9
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Автоматическое обновление отключено
Дата установки обновлений: 2010-08-02 17:16:23
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 5.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiVirusFirewallInstall-------------
McAfee Security Scan Plus v.3.0.207.4
-------------OtherUtilities-----------------------
CCleaner (remove only)
LanSpy
-------------Java---------------------------------
-------------AppleProduction----------------------
QuickTime
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.91
Mozilla Firefox 3.06
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления
Rambler Nichrome v.19.0.1084.46
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.23.0.1271.91
-------------EndLog-------------------------------

ок)

смените пароли

выполните обновления по ссылкам из лога Security Check, они помогут защитить вашу систему от вторжений через уязвимости

Если жалоб больше нет, то ставьте префикс темы РЕШЕНО и прощаемся

SolarSpark, спасибо за помощь! До свидания!