Вирус

[vlasov123]

в 20 числах апреля поймал майнеры ,у вас на форуме фиксил их(не говорю что хэлперы имеют отношения к этому,просто описываю ситуацию) ,потом 3 мая у меня в стиме увели много скинов,(2хфакторка стоит и т.д) и на почте фильтр поставили что ты письмо от стима посылалось сразу в корзину(тоже двухфакторка стоит)и отвязали аккаунт в эпик гейм сторе ,в азв куча красного перехвачено,помогите пожалуйста
https://virusinfo.info/showthread.ph...79#post1527679 тема что было до этого

- - - - -Добавлено - - - - -

Функция kernel32.dll:ReadConsoleInputExA (1163) перехвачена, метод ProcAddressHijack.GetProcAddress ->750DF251->762ADDA0
Функция kernel32.dll:ReadConsoleInputExW (1164) перехвачена, метод ProcAddressHijack.GetProcAddress ->750DF284->762ADDD0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FB6F60->762B1C80
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1366) перехвачена, метод ProcAddressHijack.GetProcAddress ->76FB7CE4->75E08F60
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dllrocessSocketNotifications (37) перехвачена, метод ProcAddressHijack.GetProcAddress ->75170407->726BDCB0
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:I_NetServerAuthenticateKerberos (61) перехвачена, метод ProcAddressHijack.GetProcAddress ->74A6CB98->74A37F50
Функция netapi32.dll:NetFreeAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->74A6D73D->748A46D0
Функция netapi32.dll:NetGetAadJoinInformation (132) перехвачена, метод ProcAddressHijack.GetProcAddress ->74A6D76C->748A4A50

[Info_bot]

Уважаемый(ая) vlasov123, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\highv\OneDrive\Рабочий стол\µTorrent.lnk"     -> ["C:\Users\highv\AppData\Roaming\uTorrent\uTorrent.exe"]
>>>  "C:\Users\highv\OneDrive\Рабочий стол\Discord.lnk"      -> ["C:\Users\highv\AppData\Local\Discord\Update.exe"  =>> --processStart Discord.exe]
>>>  "C:\Users\highv\OneDrive\Рабочий стол\Zoom.lnk"         -> ["C:\Users\highv\AppData\Roaming\Zoom\bin\Zoom.exe"]
>>>  "C:\Users\highv\OneDrive\Рабочий стол\Total Commander 64 bit.lnk"           -> ["C:\Program Files\totalcmd\TOTALCMD64.EXE"]
>>>  "C:\Users\highv\OneDrive\Рабочий стол\Telegram.lnk"     -> ["C:\Users\highv\AppData\Roaming\Telegram Desktop\Telegram.exe"

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

[vlasov123]

Вот сыллка на скрин с авз https://ibb.co/rkchsvZ ибо не удается закрепить изображение в сообщении,перехватов стало больше(((
Перед созданием темы и отправки логов, я переусиановил виндовс

[Vvvyg]

Не смотрите на перехваты функций в AVZ, тем более, устаревшей версии. В состав autologger входит актуальная, 5.73, там такого не увидите.

Нет вирусов. Могли выманить пароль на фишинговом сайте, через зловредное мобильное приложение.
Если используете Microsoft Edge - удалите расширения браузера, которые недавно устанавливали.
Смените пароли на всех ресурсах, где возможно, используйте 2FA.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[vlasov123]

Все действия они сделали с моего ПК (по логам рамблера с которого читали письма и переходили по сыллкам для отвязки)так же в стиме никого кроме меня не входило в аккаунт,т.е каким то образом без моего ведома при только моём входе они это сделали,у меня везде стояла двухфакторная авторизация что в раблере(в котором читали письма о смене почты и переходили по сыллкам для смены) что в Эпик геймсе(где так же все поменяли и отвязали акк)и там же в стиме (откуда вывели вещи)
win32/conteban Дефендер видит и не может удалить!

[Vvvyg]

win32/conteban Дефендер видит и не может удалить!

Не вижу такого по логам, покажите скриншотом.

Если инцидент был 3 мая, а система [пере]установлена, судя по логам AVZ, 12 мая, то мы ничего и не найдём, смысла в логах нет никакого.

[vlasov123]

https://ibb.co/5kjvv3q
при том что сам файл удален,дефендер все равно ругается,И при нажании удалить или поместить в карантин ничего не происходит.я при переустановке системы ,системный диск форматировал,и вот при проверке контебан нашло на другом диске((

[Vvvyg]

Загрузите систему в безопасном режиме.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
S3 MpKsl86073542; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E5812B82-20C2-4459-A507-44786D8C2694}\MpKslDrv.sys [X]
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что с проблемой.

[vlasov123]

Вот,плашка пропала с дефендера,поставил на полное сканирование

[Vvvyg]

Ждём результаты.
Ничего активного нет, может, что по закромам найдётся.

[vlasov123]

не нашло вроде

[Vvvyg]

Система чистая, свежеустановленная. Что было во время инцидента, теперь уже не узнаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[vlasov123]

Спасибо!!!