Вирус

в 20 числах апреля поймал майнеры ,у вас на форуме фиксил их(не говорю что хэлперы имеют отношения к этому,просто описываю ситуацию) ,потом 3 мая у меня в стиме увели много скинов,(2хфакторка стоит и т.д) и на почте фильтр поставили что ты письмо от стима посылалось сразу в корзину(тоже двухфакторка стоит)и отвязали аккаунт в эпик гейм сторе ,в азв куча красного перехвачено,помогите пожалуйста
[url]https://virusinfo.info/showthread.php?t=228139&p=1527679#post1527679[/url] тема что было до этого

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Функция kernel32.dll:ReadConsoleInputExA (1163) перехвачена, метод ProcAddressHijack.GetProcAddress ->750DF251->762ADDA0
Функция kernel32.dll:ReadConsoleInputExW (1164) перехвачена, метод ProcAddressHijack.GetProcAddress ->750DF284->762ADDD0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FB6F60->762B1C80
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FB7CE4->75E08F60
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:ProcessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->75170407->726BDCB0
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:I_NetServerAuthenticateKerberos (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->74A6CB98->74A37F50
Функция netapi32.dll:NetFreeAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->74A6D73D->748A46D0
Функция netapi32.dll:NetGetAadJoinInformation (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->74A6D76C->748A4A50

Уважаемый(ая) [B]vlasov123[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\highv\OneDrive\Рабочий стол\µTorrent.lnk" -> ["C:\Users\highv\AppData\Roaming\uTorrent\uTorrent.exe"]
>>> "C:\Users\highv\OneDrive\Рабочий стол\Discord.lnk" -> ["C:\Users\highv\AppData\Local\Discord\Update.exe" =>> --processStart Discord.exe]
>>> "C:\Users\highv\OneDrive\Рабочий стол\Zoom.lnk" -> ["C:\Users\highv\AppData\Roaming\Zoom\bin\Zoom.exe"]
>>> "C:\Users\highv\OneDrive\Рабочий стол\Total Commander 64 bit.lnk" -> ["C:\Program Files\totalcmd\TOTALCMD64.EXE"]
>>> "C:\Users\highv\OneDrive\Рабочий стол\Telegram.lnk" -> ["C:\Users\highv\AppData\Roaming\Telegram Desktop\Telegram.exe"[/CODE]Отчёт о работе прикрепите.

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Вот сыллка на скрин с авз [url]https://ibb.co/rkchsvZ[/url] ибо не удается закрепить изображение в сообщении,перехватов стало больше(((
Перед созданием темы и отправки логов, я переусиановил виндовс

Не смотрите на перехваты функций в AVZ, тем более, устаревшей версии. В состав autologger входит актуальная, 5.73, там такого не увидите.

Нет вирусов. Могли выманить пароль на фишинговом сайте, через зловредное мобильное приложение.
Если используете Microsoft Edge - удалите расширения браузера, которые недавно устанавливали.
Смените пароли на всех ресурсах, где возможно, используйте 2FA.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Все действия они сделали с моего ПК (по логам рамблера с которого читали письма и переходили по сыллкам для отвязки)так же в стиме никого кроме меня не входило в аккаунт,т.е каким то образом без моего ведома при только моём входе они это сделали,у меня везде стояла двухфакторная авторизация что в раблере(в котором читали письма о смене почты и переходили по сыллкам для смены) что в Эпик геймсе(где так же все поменяли и отвязали акк)и там же в стиме (откуда вывели вещи)
win32/conteban Дефендер видит и не может удалить!

[QUOTE=vlasov123;1527984]win32/conteban Дефендер видит и не может удалить![/QUOTE]
Не вижу такого по логам, покажите скриншотом.

Если инцидент был 3 мая, а система [пере]установлена, судя по логам AVZ, 12 мая, то мы ничего и не найдём, смысла в логах нет никакого.

[url]https://ibb.co/5kjvv3q[/url]
при том что сам файл удален,дефендер все равно ругается,И при нажании удалить или поместить в карантин ничего не происходит.я при переустановке системы ,системный диск форматировал,и вот при проверке контебан нашло на другом диске((

Загрузите систему в безопасном режиме.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
S3 MpKsl86073542; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E5812B82-20C2-4459-A507-44786D8C2694}\MpKslDrv.sys [X]
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.

Вот,плашка пропала с дефендера,поставил на полное сканирование

Ждём результаты.
Ничего активного нет, может, что по закромам найдётся.

не нашло вроде

Система чистая, свежеустановленная. Что было во время инцидента, теперь уже не узнаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Спасибо!!!