Доброго времени суток.
Вопрос такой. На компьютер была произведена вирусная атака, взломан аккаунт на Одноклассниках, Контакте и др., антивирус нашел следы вируса Bicololo.A
На рабочем столе в то время находился запароленный архив с конфиденциальными данными.
Интересует следующее:
1. Что это за зверь такой - Bicololo.A?
2. Возможно ли попадание архива с данными в чужие руки с помощью вирусной атаки, и вообще, в принципе, возможно ли тайно скопировать файлы с одного компьютера на другой через интернет?
Спасибо.

Привет
1. троян
2. Если не пользуете удаленку, маловероятно. Вирусня в основном тырит пароли.
Пожалуйста

я бы на вашем месте проверилась. Выполните диагностику (http://forum.oszone.net/thread-98169.html) полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей

SolarSpark, диагностику провеел, прикрепляю.
И еще вопрос, удаленный доступ у меня отключен, а вот удаленный помощник был включен. Через удаленный помощник можно было бы слить какие-нибудь файлы с компьютера?

1. Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

2. Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\docume~1\1441~1\locals~1\temp\dbustrcm.sys','');
DeleteFile('c:\docume~1\1441~1\locals~1\temp\dbustrcm.sys');
DeleteService('dbustrcm');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

4. Если не выбирали поиском и главной webaltaПофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yandex.ru/yandsearch?clid=123044
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=123048
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

5.AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

6.Избавьтесь от лишних тулбаров методом деинсталляции через установку/удаление программ

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll


7.Обновите базы AVZ и Сделайте повторные логи AVZ + RSIT

8.Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удалять!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

9. Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe; Нажмите кнопку "Изменить параметры проверки"; Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули"; Подтвердите изменение настроек нажатием кнопки "ОК"; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). Самостоятельно без указания консультанта ничего не не удаляйте!!! После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

SolarSpark, Все выполнил, прикрепляю лог TDSS и Malware.

Я же выделила
Самостоятельно ничего не удалять! »

вы не выполнили 5.AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. »

7.Обновите базы AVZ и Сделайте повторные логи AVZ + RSIT »

SolarSpark, Все, доделал.

вы скрипт и фикс выполняли?

у меня ощущение, что нет, IE не обновили

выполните скрипт и фикс, лог RSIT повторите
+
Все найденные в AVZ строки с webalta удалите.
+
Загрузите SecurityCheck by glax24 отсюда (http://safezone.cc/forum/krfilesmanager.php?do=file&dlfileid=36) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?t=19945).

SolarSpark, IE обновлён, скрипты выполнил.


Security Check by glax24 version 0.1.3.37 beta
WebSite: www.safezone.cc
DataLog 29.11.2012 20:23:33
Program directory: C:\Documents and Settings\Ас\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.9
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Автоматическое обновление отключено
Дата установки обновлений: 2010-08-02 17:16:23
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 5.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiVirusFirewallInstall-------------
McAfee Security Scan Plus v.3.0.207.4
-------------OtherUtilities-----------------------
CCleaner (remove only)
LanSpy
-------------Java---------------------------------
-------------AppleProduction----------------------
QuickTime
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления (http://get.adobe.com/ru/flashplayer/)
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления (http://get.adobe.com/ru/flashplayer/)
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления (http://get.adobe.com/reader/)
-------------Browser------------------------------
Google Chrome v.23.0.1271.91
Mozilla Firefox 3.06
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления (http://www.opera.com/browser/)
Rambler Nichrome v.19.0.1084.46
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.23.0.1271.91
-------------EndLog-------------------------------

ок)

смените пароли

выполните обновления по ссылкам из лога Security Check, они помогут защитить вашу систему от вторжений через уязвимости

Если жалоб больше нет, то ставьте префикс темы РЕШЕНО и прощаемся

SolarSpark, спасибо за помощь! До свидания!