Добрый день, сегодня в steam из друзей кинули ссылку как бы на новую игру
ну я ничего не подозревая скачал архив zalil.ru/32####60
при запуске экзешника повалились ошибки ну я и забил на это дело
через пол часа у меня угнали стим 2 емейла и ориджин
кое как востановил 2 почты с ориджином написал в сапорт стима

так вот есть хацкеры посмотрите пожалуйста экзешник, где он сохраняет свой мусор или как работает
а то пароли были везде разные хз как мошенник их все получил

Выполните правила (http://forum.oszone.net/thread-98169.html)

куреит все нормально говорит
сделал по инструкции, прикрепил к посту логи

Сейчас гляну логи.

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\Windupdt\svchost.exe','');
QuarantineFile('C:\Users\Admin\Desktop\Connect.exe','');
QuarantineFileF('C:\Windows\system32\Windupdt','*.*',true,'',0,0);
DeleteFile('C:\Windows\system32\Windupdt\svchost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','windows');
DeleteFileMask('C:\Windows\system32\Windupdt', '*.*', true);
DeleteDirectory('C:\Windows\system32\Windupdt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



ПК перезагрузится. Выполните скрипт в AVZ:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).


Сделайте новые логи AVZ & RSIT


Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe-random.php), установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

Connect.exe программа нашего провайдера через нее запускаю интернет, это точно не троян :)

Тогда удалите из скрипта следующие стороки:

QuarantineFile('C:\Users\Admin\Desktop\Connect.exe','');

Анализ Вашего трояна:

создает файл:

"C:\WINDOWS\system32\Windupdt\svchost.exe"

для автозапуска прописывает пути в ветки реестра:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit\"C:\WINDOWS\system32\userinit.exe,"/"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Windupdt\svchost.exe"

и/или

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windows\"C:\WINDOWS\system32\Windupdt\svchost.exe"

создает папку для хранения логов:

C:\Documents and Settings\User\Local Settings\Temp\dclog

крадет сохраненные пароли из браузеров и куков, и затем отправляет на следующие ftp-серверы:

ftp.land.ru
bboott.no-ip.info

Разослал образец по вирлабам

На данный момент должен детектится:
AhnLab - по упаковщику
DrWeb - как Trojan.PWS.UFR.1013
McAfee - по облачному сканированию
FortiClient - по упаковщику

мы его в прошлом шаге удалили или нужно что то предпринять, снова запускать авз и рсит?

мы его в прошлом шаге удалили или нужно что то предпринять, снова запускать авз и рсит? »
...

Сделайте новые логи AVZ & RSIT

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению »

Malwarebytes' Anti-Malware лог прикрепил

Найденные MBAM файлы проверьте на Virustotal

Ждем повторных логов AVZ и RSIT

удалил для верности этот хлам всеравно не нужен уже
осталось только
Обнаруженные ключи в реестре: 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Действие не было предпринято.
я незнаю что это
логи авз и рсит будут чуть попозже

HKCU\Software\DC3_FEXEC (Malware.Trace) »

Это тоже нужно удалить:

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~Agent-AFU/detailed-analysis.aspx

был бы признателен за скрипт для удаления, или же просто строчку из реестра стереть и готово?




прикрепил новые логи

это что за help.txt)))

промазал :D

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('C:\Windows\SYSWOW64\Windupdt','*.*',true,'',0,0);
DeleteFileMask('C:\Windows\SYSWOW64\Windupdt', '*.*', true);
DeleteDirectory('C:\Windows\SYSWOW64\Windupdt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



ПК перезагрузится. Выполните скрипт в AVZ:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).


Сделайте новые логи AVZ & RSIT

Выслал карантин и новые логи прикрепил

К сожалению скрипт не справился, найдите и удалите папку:

C:\Windows\SYSWOW64\Windupdt или C:\Windows\System32\Windupdt вручную.

Так же скопируйте следующий текст в блокнот, сохраните как fix.reg и запустите:

Windows Registry Editor Version 5.00

[-HKCU\Software\DC3_FEXEC]

проблемы еще какие наблюдаются?

C:\Windows\SYSWOW64\Windupdt
у меня нет такой папки она даже не скрыта, хотя по этому пути заходит в эту папку, она пустая, но в дериктории сустем32 ее нет =\

я незнаю какие проблемы могут быть
мне бы все трояны кейлогеры и всякую нечисть вывести чтоб опять не угнали почту да стим

вы мне точно текст предоставили, ибо ветка в реестре еще есть?