Троян очистка
 

Добрый день, сегодня в steam из друзей кинули ссылку как бы на новую игру
ну я ничего не подозревая скачал архив zalil.ru/32####60
при запуске экзешника повалились ошибки ну я и забил на это дело
через пол часа у меня угнали стим 2 емейла и ориджин
кое как востановил 2 почты с ориджином написал в сапорт стима

так вот есть хацкеры посмотрите пожалуйста экзешник, где он сохраняет свой мусор или как работает
а то пароли были везде разные хз как мошенник их все получил

Выполните правила

куреит все нормально говорит
сделал по инструкции, прикрепил к посту логи

Сейчас гляну логи.

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

ПК перезагрузится. Выполните скрипт в AVZ:

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT

• Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
• Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
• После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

Connect.exe программа нашего провайдера через нее запускаю интернет, это точно не троян :)

Тогда удалите из скрипта следующие стороки:

Анализ Вашего трояна:

создает файл:

для автозапуска прописывает пути в ветки реестра:

и/или

создает папку для хранения логов:

крадет сохраненные пароли из браузеров и куков, и затем отправляет на следующие ftp-серверы:

Разослал образец по вирлабам

На данный момент должен детектится:
AhnLab - по упаковщику
DrWeb - как Trojan.PWS.UFR.1013
McAfee - по облачному сканированию
FortiClient - по упаковщику

мы его в прошлом шаге удалили или нужно что то предпринять, снова запускать авз и рсит?

...

Malwarebytes' Anti-Malware лог прикрепил

Найденные MBAM файлы проверьте на Virustotal

Ждем повторных логов AVZ и RSIT

удалил для верности этот хлам всеравно не нужен уже
осталось только
Обнаруженные ключи в реестре: 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Действие не было предпринято.
я незнаю что это
логи авз и рсит будут чуть попозже

Это тоже нужно удалить:

http://www.sophos.com/en-us/threat-c...-analysis.aspx

был бы признателен за скрипт для удаления, или же просто строчку из реестра стереть и готово?




прикрепил новые логи

это что за help.txt)))

промазал :D

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

ПК перезагрузится. Выполните скрипт в AVZ:

Архив quarantine.zip из папки с AVZ отошлите через веб-форму.


Сделайте новые логи AVZ & RSIT

Выслал карантин и новые логи прикрепил

К сожалению скрипт не справился, найдите и удалите папку:

C:\Windows\SYSWOW64\Windupdt или C:\Windows\System32\Windupdt вручную.

Так же скопируйте следующий текст в блокнот, сохраните как fix.reg и запустите:

проблемы еще какие наблюдаются?

C:\Windows\SYSWOW64\Windupdt
у меня нет такой папки она даже не скрыта, хотя по этому пути заходит в эту папку, она пустая, но в дериктории сустем32 ее нет =\

я незнаю какие проблемы могут быть
мне бы все трояны кейлогеры и всякую нечисть вывести чтоб опять не угнали почту да стим

вы мне точно текст предоставили, ибо ветка в реестре еще есть?

скопируйте следующий текст в блокнот, сохраните как fix.cmd и запустите:

затем проверьте доступность папки

спасибо папки удалились
осталась бяка в реестре

Удаляйте вручную

кажется все, не знаю тот ли это был троян который мне скинули или нет
но спасибо за помощь!

Ознакомьтесь с этими рекомендациями

спс, и последний вопрос, куда можно отослать сам ехешник прогрммы которая стащила пароли для проверки и получения информации?

Если это тот который вы сначала выкладывали в 1-ом сообщении, то я уже его скачал - предоставил Вам анализ и разослал по вирлабам

а увидел, спасибо вам еще раз за помощь, надеюсь похетителю все воздастся
тему можно прикрыть