В работе Есть подозрения на наличие вируса, в последнее время мой аккаунт в steam несколько раз был сворован, без оповещения, что на аккаунт кто-либо заходил

[Jojoke]

Устройства с которых был произведён вход по всей видимости мой же ноутбук, поскольку был вход с моего ноутбука, но локация входа Китай(я не пользуюсь VPN с такой локацией)

Далее я проверил ноутбук на наличие вирусов, но полная проверка файлов и Micrfosoft defender не выявили вредоносных программ, поэтому я воспользовался HighjackThis+ и прикрепляю логи здесь

 

[Sandor]

Здравствуйте!

1. Деинсталлируйте прекративший поддержку

Skype 2.2.24
Skype, версия 8.115

2. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('NEPc6q47ch');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\NEPc6q47ch', '');
 DeleteFile('C:\Users\user\AppData\Local\Programs\BlueStacks\Мир Кораблей.lnk');
 DeleteFile('C:\Users\user\AppData\Local\Programs\BlueStacks\Мир Танков.lnk');
 DeleteFile('C:\Users\user\AppData\Local\Programs\Zoom\Мир Кораблей.lnk');
 DeleteFile('C:\Users\user\AppData\Local\Programs\Zoom\Мир Танков.lnk');
 DeleteFile('C:\Users\user\AppData\Local\Temp\NEPc6q47ch', '64');
 DeleteService('NEPc6q47ch');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Jojoke]

Спасибо вам за помощь!

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-273358823-1999632400-2997233649-1001\...\MountPoints2: {5a21753d-1e47-11ef-b8f4-b7102affd19b} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-273358823-1999632400-2997233649-1001\...\MountPoints2: {b8de4582-e70e-11f0-ba24-047c16a70aaa} - "D:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {C11B9440-9052-44AF-95E5-D57EC0E9E0FF} - System32\Tasks\Red Giant Service => C:\Program Files (x86)\Google\Red Giant Service.exe  (Нет файла)
  Task: {685E83F9-26C3-412F-B89B-8BE0917539BC} - System32\Tasks\RstMwService => C:\Users\user\AppData\Local\CrashReportClient\RstMwService.exe  (Нет файла)
  Task: {EFC7186F-E4F2-42C2-9CB5-B40E0FF84AD2} - System32\Tasks\ZoogVPNRunner => "C:\Program Files (x86)\ZoogVPN\ZoogVPN.exe"  (Нет файла)
  ProxyServer: [S-1-5-21-273358823-1999632400-2997233649-1001] => 127.0.0.1:2080
  RemoveProxy:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-273358823-1999632400-2997233649-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  U4 AppMgmt; отсутствует ImagePath
  S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  S3 cpuz159; \??\C:\WINDOWS\temp\cpuz159\cpuz159_x64.sys [X] <==== ВНИМАНИЕ
  U4 CscService; отсутствует ImagePath
  U4 napagent; отсутствует ImagePath
  U4 p2pimsvc; отсутствует ImagePath
  U4 p2psvc; отсутствует ImagePath
  U4 PeerDistSvc; отсутствует ImagePath
  U4 PNRPsvc; отсутствует ImagePath
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8198]
  FirewallRules: [{81C159D2-FD80-4A03-B29C-055E12EB5E68}] => (Allow) LPort=32683
  FirewallRules: [{2D0E3331-D9B1-49E1-8AB5-7AEA7228A3A2}] => (Allow) LPort=33683
  FirewallRules: [{54DB965D-6E38-41BD-A55E-FB6037588327}] => (Allow) LPort=26822
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В системе установлена Malwarebytes. Сделайте полное сканирование и прикрепите отчёт.

 

[Jojoke]

Отчеты от программ

 

[Sandor]

Явных признаков заражения, кроме ложных ярлыков игр, по логам не замечено.

На скриншоте дата - октябрь 2024 года. С тех пор ещё были подобные проявления?

 

[Jojoke]

вот нашёл более новый случай, я так же НЕ пользуюсь VPN с локацией США
это относится к этой же проблеме или это может быть что-то совершенно другое?