Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

winserver.exe после открытия украли несколько аккаунтов

denissevostanov

Автор denissevostanov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

denissevostanov Новичок

denissevostanov

Опубликовано
Опубликовано

решил провести чистку и наткнулся на файл winserver.exe в папке windows/media я начал сканирование системы через hitmanpro определил как вирус после этого были попытки поместить в карантин после этого всего увидел что был украден аккаунт стим и взломан аккаунт гугл пытался удалить без успешно заново появлялся через некоторое время начал сканировать его еще раз но он уже не определялся как вирус и теперь не знаю могу ли я как прежне пользоваться пк

Ссылка на комментарий
Поделиться на другие сайты
denissevostanov Новичок

denissevostanov

Опубликовано
  • Автор
Опубликовано

после открытия файла winserver.exe по пути windows/media украли аккаунт в стим и гугл после этого просканировал через hitmanpro обнурижил winserver.exe пытался удалить восстонавливался через некоторое время еще раз просканировал уже обнаружил уже не как вирус хочу узнать можно ли использовать в прежнем режиме?

CollectionLog-2023.02.02-00.27.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
denissevostanov Новичок

denissevostanov

Опубликовано
  • Автор
Опубликовано

FRST и Addition

logs.zip

 

снова image.thumb.png.a130734fb73d07e218e3d68bb3463c0c.png

 

через notepad++ удалил все строки теперь определяется не как вирус 

 

можно считать что проблема решена?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Кое-какой мусор ещё нужно почистить.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

App-Torrent-Igruha 1.6.0

Bonjour

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {078cad0e-ad96-11ec-a997-f4b5202eb269} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {8a5b91dd-08b5-11ec-a8fa-f4b5202eb269} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {a0aa5fe5-ab13-11ec-a989-f4b5202eb269} - "D:\windows\AutoRun.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {697565B3-FCF4-462B-929F-A1E27C103BD1} - System32\Tasks\systemfile => C:\Users\Анна\AppData\Local\Temp\Windows\systemfile.exe (Нет файла) <==== ВНИМАНИЕ
C:\Users\Анна\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
CHR Notifications: Profile 1 -> hxxps://1.eu.rvwgm2wrld4.xyz; hxxps://adslivetraining.com; hxxps://aternos.org; hxxps://dlmuzornet16527047111950.bezrukov.fun; hxxps://eu.gtrxlnd2.com; hxxps://eu.plnd36.com; hxxps://eu.rplnd36.com; hxxps://eu.rvwgm2wrld4.xyz; hxxps://gameguardian.ru; hxxps://moneyz.fun; hxxps://ntgdfc.com; hxxps://rbngdm.com; hxxps://ru.malwarebytes.com; hxxps://web.telegram.org; hxxps://www18.nathanaeldan.pro; hxxps://www45.nathanaeldan.pro; hxxps://www5.nathanaeldan.pro; hxxps://www56.nathanaeldan.pro; hxxps://www61.nathanaeldan.pro; hxxps://www65.nathanaeldan.pro; hxxps://www66.nathanaeldan.pro; hxxps://www71.nathanaeldan.pro; hxxps://www91.freddyoctavio.pro; hxxps://www96.nathanaeldan.pro; hxxps://www98.nathanaeldan.pro
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1206.2 - AVAST Software) Hidden
AVG Update Helper (HKLM-x32\...\{EDB7AEE7-E932-4836-AE50-D3B0B7766CB5}) (Version: 1.8.1188.1 - AVG Technologies) Hidden
CCleaner Update Helper (HKLM-x32\...\{E4EAC0E2-A80B-479F-BA45-DCDA595C9A93}) (Version: 1.8.1187.1 - Piriform Software) Hidden
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [660]
AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [660]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [660]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [660]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [660]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6178]
AlternateDataStreams: C:\Users\Анна\Application Data:NT [40]
AlternateDataStreams: C:\Users\Анна\Application Data:NT2 [660]
AlternateDataStreams: C:\Users\Анна\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Анна\AppData\Roaming:NT2 [660]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

Avast Update Helper

AVG Update Helper

CCleaner Update Helper

Удалите вместе с бесполезным HitmanPro 3.8

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • B_KACKE
      зашифровало сервер 1с и несколько машин в сети
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Valery030425
      Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК
      Автор Valery030425
      В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST
      Pictures (1).zip
    • KL FC Bot
      Как защитить аккаунты соцсетей от взлома с подменой SIM-карты | Блог Касперского
      Автор KL FC Bot
      «Разыгрываю 10 миллионов! Участвуйте в проекте по ссылке в профиле!» — популярный блогер внезапно запускает масштабную раздачу денег в Instagram*. В сторис — бодрый голос, знакомое лицо, уверенный тон. Все выглядит слишком хорошо, чтобы быть правдой.
      На самом деле никакого проекта нет. Блогер ничего не запускала. Просто ее аккаунт угнали. Мошенники пошли дальше стандартных уловок: не только украли доступ и опубликовали ссылку на «розыгрыш», а из старых видео склеили новое и озвучили с помощью нейросетей. Читайте историю большого взлома, чтобы узнать, как крадут аккаунты в Instagram* с помощью подмены SIM-карты и что с этим делать.
      PR-кампания мошенников идеальна, но есть нюанс
      С популяризацией нейросетей жулики внезапно «поумнели». Если раньше, взломав блогера, они просто размещали ссылки на фишинговый сайт и надеялись, что аудитория клюнет на это, то теперь они устраивают полноценную PR-кампанию от лица жертвы. Вот, что мошенники сделали на этот раз.
      Одно короткое видео. Написали сценарий, озвучили его сгенерированным голосом блогера, а видеоряд собрали из нарезки уже опубликованных рилсов. Пост с текстом. Опубликовали фото, в качестве подписи добавили слезодавительный рассказ о нелегком запуске «проекта», постарались сохранить авторский стиль. Четыре сторис. Нашли старые сторис, где блогер упоминает свой реальный проект, добавили в них ссылку на фишинговый сайт и выложили снова. Все это дает стойкое ощущение легитимности «проекта» — ведь примерно по такой же схеме с использованием всех форматов контента блогеры на самом деле анонсируют свои начинания. Мошенники не поленились и добавили даже отзывы «благодарной аудитории». Фейковые, конечно же.
      Отзывы якобы реальных людей должны побудить аудиторию активнее участвовать в проекте
       
      View the full article
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Mago8
      Вылетают все аккаунты каждые 5-30 минут
      Автор Mago8
      Здравствуйте! Я сейчас работаю репетитором и постоянно сижу в компьютере в браузерах яндекс/гугл и разных аккаунтах тетрики, гугл и яндекс. Последние 2 недели заметила, что аккаунты постоянно вылетают, сил больше нет. Прямо вовремя занятия аккаунт в тетрике вылетает и просит заново ввести пароль спустя 5 минут со входа, в поддержку обратилась - пожимают плечами и говорят почистить куки/кэш (чистила).
      Но ладно если бы только с платформой была такая история. За день раз 5-10 вылетают также аккаунты гугл (где в гугл таблицах у меня расписание с учениками) и яндекс аккаунт тоже вылетает... . Пробовала менять браузер - и в яндексе и в гугл одинаковая история. Пробовала менять пароль и в гугл и яндекс, и смотреть не сидит ли кто-то еще в моем аккаунте - не помогло. Пробовала на самом компьютере найти вирус/уязвимость через касперского - говорит все в порядке.
      Помогите пожалуйста - умоляю!!! Буду безумно благодарна, даже за помощь заплатить готова если нужно!!!
×
×
  • Создать...