PDA

Показать полную графическую версию : [решено] Троян украл пароли.


bear!
20-06-2012, 07:25
Здравствуйте.
По глупости недооценил этой штуки. Надеялся на UAC Windows 7, Avira с обновлениями, да и сам Windows 7 всегда обновлялся.

Утянули пароль от gmail.com. Даже не знаю на что способен троян, возможно он вообще пароли от всего украл. Теперь вопросы.

1. Есть ли большая вероятность что украли пароль от LastPass? Были дополнения на Опере и Хроме.
2. Когда этот троян добавят в список вирусов (хотя бы в Dr.Web CureIt!)
3. Какие действия предпринять? (Сменил пароль для гугл, но злоумышленник все равно имеет доступ к нему. Сейчас сменил опять, уже с Alkid Live CD).
4. Alkid Live CD USB Full 2010-06-10 не подвергается, так сказать контролю со стороны трояна? (честно говоря я не знаю, троян ли это вообще)
5. Ну и советы. Я даже не знаю, когда компьютер без Alkid Live CD запускать и имеют ли к компьютеру еще доступ или нет.

Того кто украл я нашел. IP, skype, Icq, ник и имя. Цель его была украсть игровой аккаунт Steam.

alex_sev
20-06-2012, 09:15
Подготовьте логи по правилам (http://forum.oszone.net/thread-98169.html)

bear!
20-06-2012, 14:57
alex_sev, добавил.

alex_sev
20-06-2012, 15:24
Пока страшного не видно, по-видимому троян самоудалился после того как завершил свои дела.

Давайте проверимся еще так:

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

bear!
20-06-2012, 15:40
alex_sev, спасибо за ответ. А что если я найду тот файл, под который шифровался троян? Его добавят в базу? Или распотрошат и тогда будет легче понять, что он сделал. Я прыгаю с лайв сиди в Windows 7 и отрубаю интернет, чтобы он еще чего-нибудь не отослал.
Когда загружусь с сэвен опять, я проверю ту ссылку, но как прислать ее? В открытую — не хотелось бы распротранять, а скачать опять его на компьютер не хотелось бы.

Хотя наверное уже нет. Я очистил через ATF Cleaner всю историю.

alex_sev
20-06-2012, 16:09
Запакуйте подозрительный файл в архив с паролем virus.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

bear!
20-06-2012, 19:57
alex_sev, если я скачаю этот файл в Live CD (версию я писал уже), ничего не утечет опять? (ну да, да, наверное слишком глупый вопрос)

Прикрепил.
Пиратской продукцией стараюсь не пользоваться, это старые файлы :)

alex_sev
20-06-2012, 23:53
Вы логи тоже из-под LiveCD делали?

bear!
21-06-2012, 06:19
alex_sev, нет конечно. Заходил в Windows.

bear!
21-06-2012, 07:23
Вирус BackDoor.Cybergate.1
Проверил через онлайн-сканер. Также отправил его на проверку.

bear!
22-06-2012, 22:35
Я так понял никто не ответит здесь.

alex_sev
23-06-2012, 10:39
А что Вы еще хотите услышать, скорее всего данный троян был создан специально под Вас, чтобы украсть именно пароль от игры, он свое дело сделал - в логах чисто

bear!
24-06-2012, 17:42
alex_sev, да в этом и дело, что я не уверен, что он удален. Я переустановил Windows, надеюсь этого достаточно, если уж антивирусы его не нашли (или уже нечего было искать)
он свое дело сделал - в логах чисто » Означает ли это, что его нет на компьютере?

alex_sev
25-06-2012, 09:27
Означает ли это, что его нет на компьютере? »
Означает, что его нет в активном состоянии на компьютере:
- Не запущен
- Не прописан в автозапуске
- Запустить можно только вручную

(или уже нечего было искать) »
Самый верный вариант - многие трояны ворующие пароли после удачного дела самоудаляются




© OSzone.net 2001-2012