украли акаунт стим

**EminZav** · 10.08.2019, 23:34

в браузере стало выходить окно с рекламой, и не могу получить доступ к акаунту, на почту гугл заходили с другого места...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.08.2019, 23:35

Уважаемый(ая) EminZav, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 12.08.2019, 05:11

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - HKCU\..\Run: [8362160] = C:\Users\eminz\AppData\Local\Temp\is-VLFFL.tmp\Beats.exe /VERYSILENT
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: Microsoft LocalManager [2860328539] - C:\ProgramData\{24328268-2432-2432-243282688124}\csrss.exe
O22 - Task: Windows Service - C:\ProgramData\WMI Provider Host\\Wmi64Update.exe (file missing)
O22 - Task: fvfgcfsgevabo - C:\Windows\system32\msiexec.exe /quiet /i "C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi" WEBID=PP_MN_P3 TKNME=fvfgcfsgevabo
O22 - Task: fzrstrziklqryfr - C:\Windows\system32\msiexec.exe /quiet /i "C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi" WEBID=PP_MN_P3 TKNME=fzrstrziklqryfr

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\ProgramData\WMI Provider Host\Wmi64Update.exe','');
 TerminateProcessByName('c:\users\eminz\appdata\local\temp\is-vlffl.tmp\beats.exe');
 TerminateProcessByName('c:\users\eminz\appdata\local\temp\is-tk5hb.tmp\beats.tmp');
 TerminateProcessByName('c:\programdata\{24328268-2432-2432-243282688124}\csrss.exe');
 TerminateProcessByName('c:\programdata\wmi provider host\wmi64update.exe');
 QuarantineFile('C:\ProgramData\{24328268-2432-2432-243282688124}\csrss.exe','');
 QuarantineFile('C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi','');
 QuarantineFile('C:\Users\eminz\AppData\Roaming\amd64_microsoft-windows-l..componentsinstaller\TSWorkspace.exe','');
 QuarantineFile('C:\Users\eminz\AppData\Local\Temp\is-VLFFL.tmp\Beats.exe','');
 QuarantineFile('C:\Users\eminz\AppData\Local\Temp\is-2T7BK.tmp\idp.dll','');
 QuarantineFile('c:\programdata\wmi provider host\wmi64update.exe','');
 QuarantineFile('c:\programdata\{24328268-2432-2432-243282688124}\csrss.exe','');
 QuarantineFile('c:\users\eminz\appdata\local\temp\is-tk5hb.tmp\beats.tmp','');
 QuarantineFile('c:\users\eminz\appdata\local\temp\is-vlffl.tmp\beats.exe','');
 DeleteFile('c:\users\eminz\appdata\local\temp\is-vlffl.tmp\beats.exe','32');
 DeleteFile('c:\users\eminz\appdata\local\temp\is-tk5hb.tmp\beats.tmp','32');
 DeleteFile('c:\programdata\{24328268-2432-2432-243282688124}\csrss.exe','32');
 DeleteFile('c:\programdata\wmi provider host\wmi64update.exe','32');
 DeleteFile('C:\Users\eminz\AppData\Local\Temp\is-2T7BK.tmp\idp.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8362160');
 DeleteFile('C:\Users\eminz\AppData\Local\Temp\is-VLFFL.tmp\Beats.exe','32');
 DeleteFile('C:\Users\eminz\AppData\Roaming\amd64_microsoft-windows-l..componentsinstaller\TSWorkspace.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\-2-4-97-1015822504-1176170007-1017796221-2895\{FNAX33DP-B34A-GZHA-CY8-CERBQ7LNHDG}','64');
 DeleteFile('C:\Windows\system32\Tasks\fvfgcfsgevabo','64');
 DeleteFile('C:\Users\eminz\AppData\Roaming\ncxxxytiasem\obgewboavkuokva.msi','32');
 DeleteFile('C:\Windows\system32\Tasks\fzrstrziklqryfr','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft LocalManager [2860328539]','64');
 DeleteFile('C:\ProgramData\{24328268-2432-2432-243282688124}\csrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Windows Service','64');
 DeleteFile('C:\ProgramData\WMI Provider Host\Wmi64Update.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**EminZav** · 12.08.2019, 09:29

проблемма с карантином (Ошибка загрузки. Данный файл уже был загружен)

SQ · 12.08.2019, 23:45

значит карантин пустой.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

украли акаунт стим (заявка № 223378)

Опции темы