Перейти к содержанию
Правила раздела

winserver.exe после открытия украли несколько аккаунтов

denissevostanov

От denissevostanov
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

denissevostanov Новичок

denissevostanov

Опубликовано
Опубликовано

решил провести чистку и наткнулся на файл winserver.exe в папке windows/media я начал сканирование системы через hitmanpro определил как вирус после этого были попытки поместить в карантин после этого всего увидел что был украден аккаунт стим и взломан аккаунт гугл пытался удалить без успешно заново появлялся через некоторое время начал сканировать его еще раз но он уже не определялся как вирус и теперь не знаю могу ли я как прежне пользоваться пк

Ссылка на комментарий
Поделиться на другие сайты
denissevostanov Новичок

denissevostanov

Опубликовано
  • Автор
Опубликовано

после открытия файла winserver.exe по пути windows/media украли аккаунт в стим и гугл после этого просканировал через hitmanpro обнурижил winserver.exe пытался удалить восстонавливался через некоторое время еще раз просканировал уже обнаружил уже не как вирус хочу узнать можно ли использовать в прежнем режиме?

CollectionLog-2023.02.02-00.27.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
denissevostanov Новичок

denissevostanov

Опубликовано
  • Автор
Опубликовано

FRST и Addition

logs.zip

 

снова image.thumb.png.a130734fb73d07e218e3d68bb3463c0c.png

 

через notepad++ удалил все строки теперь определяется не как вирус 

 

можно считать что проблема решена?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Кое-какой мусор ещё нужно почистить.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

App-Torrent-Igruha 1.6.0

Bonjour

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {078cad0e-ad96-11ec-a997-f4b5202eb269} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {8a5b91dd-08b5-11ec-a8fa-f4b5202eb269} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {a0aa5fe5-ab13-11ec-a989-f4b5202eb269} - "D:\windows\AutoRun.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {697565B3-FCF4-462B-929F-A1E27C103BD1} - System32\Tasks\systemfile => C:\Users\Анна\AppData\Local\Temp\Windows\systemfile.exe (Нет файла) <==== ВНИМАНИЕ
C:\Users\Анна\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
CHR Notifications: Profile 1 -> hxxps://1.eu.rvwgm2wrld4.xyz; hxxps://adslivetraining.com; hxxps://aternos.org; hxxps://dlmuzornet16527047111950.bezrukov.fun; hxxps://eu.gtrxlnd2.com; hxxps://eu.plnd36.com; hxxps://eu.rplnd36.com; hxxps://eu.rvwgm2wrld4.xyz; hxxps://gameguardian.ru; hxxps://moneyz.fun; hxxps://ntgdfc.com; hxxps://rbngdm.com; hxxps://ru.malwarebytes.com; hxxps://web.telegram.org; hxxps://www18.nathanaeldan.pro; hxxps://www45.nathanaeldan.pro; hxxps://www5.nathanaeldan.pro; hxxps://www56.nathanaeldan.pro; hxxps://www61.nathanaeldan.pro; hxxps://www65.nathanaeldan.pro; hxxps://www66.nathanaeldan.pro; hxxps://www71.nathanaeldan.pro; hxxps://www91.freddyoctavio.pro; hxxps://www96.nathanaeldan.pro; hxxps://www98.nathanaeldan.pro
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1206.2 - AVAST Software) Hidden
AVG Update Helper (HKLM-x32\...\{EDB7AEE7-E932-4836-AE50-D3B0B7766CB5}) (Version: 1.8.1188.1 - AVG Technologies) Hidden
CCleaner Update Helper (HKLM-x32\...\{E4EAC0E2-A80B-479F-BA45-DCDA595C9A93}) (Version: 1.8.1187.1 - Piriform Software) Hidden
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [660]
AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [660]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [660]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [660]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [660]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6178]
AlternateDataStreams: C:\Users\Анна\Application Data:NT [40]
AlternateDataStreams: C:\Users\Анна\Application Data:NT2 [660]
AlternateDataStreams: C:\Users\Анна\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Анна\AppData\Roaming:NT2 [660]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

Avast Update Helper

AVG Update Helper

CCleaner Update Helper

Удалите вместе с бесполезным HitmanPro 3.8

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      От Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • KL FC Bot
      Коды аутентификации от сервиса, в котором у вас нет аккаунта | Блог Касперского
      От KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • qvotop
      Падает скорость интернета при открытии кс2
      От qvotop
      Здравствуйте. Неделю назад заметил такую проблему, что, когда открываю кс2, падает скорость интернета. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, он нашёл какой-то Trojan.Win64.Agent.qwlfvi. Эта штука появилась после того, как я скачивал от человека, которому доверял, уникализатор фотографий и как раз вроде после этого началась вот такая фигня. Ещё до завершения проверки я через антивирус удалил этот объект, но плашка о том, что один объект не обработан ещё висит (и ссылка идёт на тот объект, который я уже удалил). Я бы сюда прикрепил этот архив с уникализатором, но он весит 94 мб, а тут максимум 5мб 

      CollectionLog-2024.08.02-20.39.zip
    • Grig
      несколько серверов зашифрованы blackbit
      От Grig
      Не очень добрый день
      сегодня с утра перестало работать несколько служб. Обнаружили на серверах файлы Cpriv.BlackBit. Серверы были выключены. Файлы зашифрованные пока выслать не могу. Подскажите как правильно действовать далее.
×
×
  • Создать...