В работе Вредоносное ПО ворует аккаунт Steam

Переводчик Google
Oprichnik

Oprichnik

Новый пользователь
Сообщения
26
Реакции
0
Здравствуйте, подцепил вирус который забирает аккаунт стим даже после смены пароля через службу поддержки. Прошу у Вас помощи
 

Вложения

Будем считать, что были украдены все пароли использовавшиеся на этом пк. После лечения нужно все поменять
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\Reference Assemblies\LogiRegistryService.exe', '');
 QuarantineFile('C:\Users\Артём Нестеров\AppData\Local\UnrealEngineLauncher\MoUsoCoreWorker.exe', '');
 QuarantineFile('C:\Users\Артём Нестеров\AppData\Local\User Data\conhost.exe', '');
 QuarantineFile('c:\users\артём нестеров\appdata\roaming\windowshelper\svchost32.exe', '');
 DeleteFile('C:\Program Files (x86)\Reference Assemblies\LogiRegistryService.exe', '64');
 DeleteFile('C:\Users\Артём Нестеров\AppData\Local\UnrealEngineLauncher\MoUsoCoreWorker.exe', '32');
 DeleteFile('C:\Users\Артём Нестеров\AppData\Local\UnrealEngineLauncher\MoUsoCoreWorker.exe', '64');
 DeleteFile('C:\Users\Артём Нестеров\AppData\Local\User Data\conhost.exe', '32');
 DeleteFile('c:\users\артём нестеров\appdata\roaming\windowshelper\svchost32.exe', '32');
 DeleteFile('C:\Users\Артём Нестеров\AppData\Roaming\WindowsHelper\svchost32.exe', '64');
 DeleteSchedulerTask('conhost');
 DeleteSchedulerTask('LogiRegistryService');
 DeleteSchedulerTask('MicrosoftEdgeUpdateBase');
 DeleteSchedulerTask('MoUsoCoreWorker');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O2 - HKLM\..\BHO: GBHO.BHO - {45d30484-7ded-43d9-957a-d2fd1f046511} - (no file)
O3 - HKLM\..\Toolbar: Smart Backup - {1d09c093-f71e-43c3-b948-19316cbd695e} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\              
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\             
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

проведем сканирование KVRT
 
Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Скачайте вложенный архив и извлеките из него файл fixlist.txt. Поместите этот файл на Рабочий стол рядом с исполняемым файлом
    C:\Users\Артём Нестеров\Desktop\FRST64.exe
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Ребят, после перезагрузки антивируса. Рабочий стол просто исчер

Остался один курсор(

Можно как-то откатить или теперь Винду переустанавливать?
 

Вложения

  • IMG_20260421_190623.webp
    IMG_20260421_190623.webp
    27.6 KB · Просмотры: 10
Последнее редактирование:
Стандартная распальцовка срабатывает? ctrl+alt+del или win+r? Если запуститься окно выполнить, попробуйте запустить задачу explorer. Если появится рабочий стол, то можно восстановить точку восстановления

"Восстановление системы" - Служба поддержки Майкрософт

Узнайте, как использовать восстановление системы в Windows.
support.microsoft.com support.microsoft.com
 
Последнее редактирование:
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу