В работе Выскакивают сообщения одного типа.

[akok]

+++ После лечения смените пароли, у вас их украли.

 

[Александр-l]

, у вас их украли.

Пароли от чего, и как их могли украсть?

 

[akok]

От всего, что вы использовали на этом ПК. Злоумышленники имели полный доступ к ПК в включая снимки рабочего стола и запись действий. Может еще было ПО кражи паролей, но явно его не нашли. В общем нужно перестраховаться.

 

[Александр-l]

на этом ПК

А если это -- виртуальная машина и только на ней нашли вредоносную активность? Тем более, в этой машине я паролей не вводил.

 

[akok]

Если не вводили никаких чувствительных данных, то и улова нет

 

[Severnyj]

Может еще было ПО кражи паролей

Установщик Verse_loader - судя по всему содержит стилер паролей.

 

[Александр-l]

Деинсталлируйте также следующие программы:

Syncro отсутствует в списке установленных программ, а Geek показывает пустое окно. Это лечится как-то?

 

[Severnyj]

Если не удалили FRST то таким скриптом:

Start::
Syncro (HKLM\...\Syncro) (Version: 1.0.196.18235 - Servably, Inc.) Hidden
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите.

Программа появится в списке установки

 

[Severnyj]

Добрый день,


Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: BAT.Drop.2978, Trojan.Loader.2812, BackDoor.Siggen2.5635

Dr.Web добавил батник в базы. Можете просканировать виртуалку CureIt!

+++ сообщите, что с проблемами.

 

[Александр-l]

А интересно, "Verse_loader" отправляли на исследование в DrWeb? Да, и "startup..." -батники он пока не детектит.

 

[akok]

Отправляли