Давно скачивал какое то ПО и отключал касперский, запустил файл и сразу открывалось куча окон в одном из них заметил сайт стима, я забил на это удалил файл и через время якобы я купил какую то вещь на полный баланс стима (около 71 рубля было, и якобы я купил за 68 рублей что то), сейчас друг скидывает мол я написал ему сообщение с фейк ссылкой стима.
Решена Недавно загрузил ПО, возникли проблемы с вирусом
- Автор темы prozcrayz
- Дата начала
Переводчик Google
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
пока видны последствия работы майнера. Во вложении архив, а в нем твики реестра которые нужно применить. После перезагрузить компьютер.
И потом
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
И потом
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
Тут нужно менять данные для входа в стим, у вас украли учетную запись. При том нужно сменить не только пароль, но способы восстановления пароля + установить двухфакторную идентификацию.
В стиме?
Твики реестра применил, но 3 из них вышли с ошибкой.
После нажатия "Сканировать" через время появилось окно "Failed to update (1)", нажал "ОК" и все заработало. (Запускал второй раз потому что не смог найти файлы)
Да сообщение с фейк ссылкой было отправлено в стиме
После нажатия "Сканировать" через время появилось окно "Failed to update (1)", нажал "ОК" и все заработало. (Запускал второй раз потому что не смог найти файлы)
Да сообщение с фейк ссылкой было отправлено в стиме
Последнее редактирование модератором:
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
после скрипта, запустите их еще раз из безопасного режима
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ HKU\S-1-5-21-2807580563-1285779368-1930336120-1000\...\Run: [EPSDNMON] => "" (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {CF9A6F1E-7CDD-412A-A545-92F2DBE734CC} - System32\Tasks\Remove AdwCleaner Application => c:\windows\system32\CMD.EXE [289792 2022-05-06] (Microsoft Windows -> Microsoft Corporation) -> /C DEL /F /Q "C:\Users\User\Desktop\adwcleaner\adwcleaner.exe" S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2022-05-06] (Microsoft Windows -> Microsoft Corporation) S3 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2025-02-22] (Microsoft Windows -> Microsoft Corporation) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Скачайте Farbar Service Scanner
Запустите.
Убедитесь, что отмечены пункты:
- Internet Services
- Windows Firewall
- System Restore
- Security Center/Action Center
- Windows Update
- Windows Defender
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
возвращайте себе аккуант. Еще проверьте к какому телефону привязка.
Аккаунт у меня и доступ к нему есть и был всегда. Телефон и почта мои. Сейчас выполню скрипт
Отчеты
Все те же 3 ошибки на тех же 3 файлах
Последнее редактирование:
Подобное и с ВК, там тоже писали от моего лица рекламу на какой то сайт, отключал сервисы и т.п., подключал двухфакторную защиту, ставил отпечаток пароль менял в сумме 5 раз но безуспешно, из всех устройств выходил в общем раз 5 все делал и в итоге просто удалил учетную запись но с возможность восстановления, периодически захожу и все равно вижу что добавляют в чаты.
Заметно что вкладки браузера начали долго загружаться, из явных наверное все.
Не совсем понял вопроса
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
А проверяли привязанный телефон, пути восстановления пароля. После захвата, оставляют лазейку обычно.
в логе вижу, записи для отключения автоматического обновления
Код:
Task: {DCD74AD8-0FE7-401D-BD1F-BBCA47E0D78E} - System32\Tasks\Disable Update Center => %ComSpec% -> %SystemRoot%\Control_OSServices\UpdateCenter\/C IF /I "%PROCESSOR_ARCHITECTURE%"=="x86" (%SystemRoot%\Control_OSServices\UpdateCenter\Wub.exe /D /P) ELSE (%SystemRoot%\Control_OSServices\UpdateCenter\Wub_x64.exe /D /P)И теперь нужно понять, откуда это... сборщик образа windows постарался, сами отключали или вредонос.
Скачайте Malwarebytes. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
Последнее редактирование:
Все мое, там вход уже без пароля, по коду с телефона.
честно об этом не знаю, сколько пользуюсь ПК всегда была эта проблема, что отключалось автоматическое обновление Windows
вроде оно (активировалась бесплатная пробная премиум версия на 14 дней, вдруг что то можно с ней сделать)
Последнее редактирование:
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
вроде оно (активировалась бесплатная пробная премиум версия на 14 дней, вдруг что то можно с ней сделать) - пусть побудет, кашу не испортит
если сами устанавливали BRIGHTDATA, то оставляйте.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Карантин" ("Quarantine") - смотрите, что удаляете.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Подробнее читайте в руководстве.
И в принципе можно проверять работу системы
если сами устанавливали BRIGHTDATA, то оставляйте.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Карантин" ("Quarantine") - смотрите, что удаляете.
Код:
Значение реестра: 4
RiskWare.Base64Encoded.Registry, HKU\S-1-5-21-2807580563-1285779368-1930336120-1000\SOFTWARE\gogoduck|E785E38AF8A00A2D0B6E99A11E8C1D0B8D353F195456152D874E605AFA3E5190, Проигнорировано пользователем, 5822, 1033533, 1.0.99531, , ame, , ,
RiskWare.Base64Encoded.Registry, HKU\S-1-5-21-2807580563-1285779368-1930336120-1000\SOFTWARE\gogoduck|5760B67A9770A2E2AD169602451B98F314B9348C913CE991C61B97A8C61D2EE8, Проигнорировано пользователем, 5822, 1033533, 1.0.99531, , ame, , ,
RiskWare.Base64Encoded.Registry, HKU\S-1-5-21-2807580563-1285779368-1930336120-1000\SOFTWARE\gogoduck|2F26DE43B761E708FB29346DEAEAE2D4CA0136A0529F2B0DD1B18DDC4851D24F, Проигнорировано пользователем, 5822, 1033533, 1.0.99531, , ame, , ,
RiskWare.Base64Encoded.Registry, HKU\S-1-5-21-2807580563-1285779368-1930336120-1000\SOFTWARE\gogoduck|300C06829F904A1C8F53DC5AD3307FD61ECCF36888EED66D612BD6A2BC6B14BB, Проигнорировано пользователем, 5822, 1033533, 1.0.99531, , ame, , ,
Trojan.Agent.E, C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE, Проигнорировано пользователем, 1462, 717813, 1.0.99531, , ame, , ,
PUP.Optional.BrightData, C:\PROGRAMDATA\BRIGHTDATA\B5F277BE9E9B996633E463EE548565B6BBFBE374\TEMP\LUM_SDK32.DLL.OLD, Проигнорировано пользователем, 6266, 1293179, 1.0.99531, , ame, , AD57886D45FE92158E4429F185FC1D91, 2EB503F36814D9BA281C7F423F5E76B05B1BDE7B03D631A5D703BE5A36065DA2
PUP.Optional.BrightData, C:\PROGRAMDATA\BRIGHTDATA\B5F277BE9E9B996633E463EE548565B6BBFBE374\IDLE_REPORT.EXE, Проигнорировано пользователем, 6266, 1293093, 1.0.99531, , ame, , DDB7556B90D6B912CBC5B96ADE855BA1, DB1B3DC9925ACCE3D02B620F1110A4CA8FC78813AC5079B3D40C95C56E686508
PUP.Optional.BrightData, C:\PROGRAMDATA\BRIGHTDATA\B5F277BE9E9B996633E463EE548565B6BBFBE374\BRIGHTDATA.EXE, Проигнорировано пользователем, 6266, 1293093, 1.0.99531, , ame, , AD027044465902BC8A6E85056D3E2011, E7BC43667B3573755ABBACB09E1B47168BFF77B10387803B6F867D44645ED659
PUP.Optional.BrightData, C:\PROGRAMDATA\BRIGHTDATA\B5F277BE9E9B996633E463EE548565B6BBFBE374\TEMP\NET_UPDATER32.EXE.OLD, Проигнорировано пользователем, 6266, 1293179, 1.0.99531, , ame, , ABB2D54BE34B00319DDBB7E2CF9C56C2, 7483355D2ED08762E1FAC20CFED4D928CA9E02F0D47A69CDC5E237EF556FE3CB
PUP.Optional.BrightData, C:\PROGRAMDATA\BRIGHTDATA\B5F277BE9E9B996633E463EE548565B6BBFBE374\BRD_SDK32_CLR.DLL, Проигнорировано пользователем, 6266, 1293093, 1.0.99531, , ame, , C6030E74A4597DA324A77DA97CB33ADA, 44147C861E95842B7CF885AFDD84935E28566514B3DCCF6A1F8FB97DF21AA21C
Malware.AI.2778105455, C:\USERS\USER\DOWNLOADS\MULTIROBLOX (2).EXE, Проигнорировано пользователем, 1000000, 0, 1.0.99531, 9320E96CBF641472A596866F, dds, 03370264, 9E7AAFB606520FADE29B10AB77A19427, E56BE69D13DA6C4CCBF6CF3659E56D812A3345B6EBB1B8967B01EC84EF2B6EC1
Malware.AI.2778105455, C:\USERS\USER\DOWNLOADS\MULTIROBLOX.EXE, Проигнорировано пользователем, 1000000, 0, 1.0.99531, 9320E96CBF641472A596866F, dds, 03370264, 9E7AAFB606520FADE29B10AB77A19427, E56BE69D13DA6C4CCBF6CF3659E56D812A3345B6EBB1B8967B01EC84EF2B6EC1После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Подробнее читайте в руководстве.
И в принципе можно проверять работу системы
Завершал, куча раз. Выходил менял пароль блокировал, все по 6 раз примерно, сейчас буду ждать вдруг повторится. Никаких устройств кроме моих нету. По времени тоже никто не заходит, вижу только свои входы и сессии.
Сейчас разблокировал страницу ВК. Вдруг что повторится сразу сообщу, но надеюсь что не придется возвращаться. Вам в любом случае огромное спасибо!!!
Последнее редактирование:
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
И я бы хотел посмотреть на результаты работы
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
Это уже нужно крутить настройки самого вк. Сделали примерно как описывается на видео
https://www.youtube.com/watch?v=EOIbvrilyws
https://www.youtube.com/watch?v=EOIbvrilyws
Последнее редактирование:
- Сообщения
- 26,334
- Решения
- 19
- Реакции
- 14,016
Случаем вам api не подключили?
cloud.vk.com
Управление доступом по API | VK Cloud
Статья описывает как активировать доступ к VK Cloud API.