Скорее всего зараженным сайтом должен быть тот, на который постоянно заходят играющие люди. ЦГМ например
Можно всем пострадавшим составить список частопосещаемых сайтов. Совпадающие сайты и будут подозреваемыми.
На сайте это тоже все написать и составить список возможных препятствий, таких как ввод пароля с виртуальной клавы.
И еще хорошо бы понять полное действие трояна. Работает ли он автоматом при попадании на комп и первом же запуске Кипера. В таком случае все будет проще.
Но если за ним следит человек и выбирает активировать его или нет, то дело хуже.
Так же непонятно, как он ведет себе, если (как у меня ,например) кипер работает 24-7.
Так же на сайте можно накатать предварительный ФАК по защите со ссылками, скринами и описанием, что где отключить и как настроить.