Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

winserver.exe после открытия украли несколько аккаунтов

denissevostanov

Автор denissevostanov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

denissevostanov Новичок

denissevostanov

Опубликовано
Опубликовано

решил провести чистку и наткнулся на файл winserver.exe в папке windows/media я начал сканирование системы через hitmanpro определил как вирус после этого были попытки поместить в карантин после этого всего увидел что был украден аккаунт стим и взломан аккаунт гугл пытался удалить без успешно заново появлялся через некоторое время начал сканировать его еще раз но он уже не определялся как вирус и теперь не знаю могу ли я как прежне пользоваться пк

Ссылка на комментарий
Поделиться на другие сайты
denissevostanov Новичок

denissevostanov

Опубликовано
  • Автор
Опубликовано

после открытия файла winserver.exe по пути windows/media украли аккаунт в стим и гугл после этого просканировал через hitmanpro обнурижил winserver.exe пытался удалить восстонавливался через некоторое время еще раз просканировал уже обнаружил уже не как вирус хочу узнать можно ли использовать в прежнем режиме?

CollectionLog-2023.02.02-00.27.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
denissevostanov Новичок

denissevostanov

Опубликовано
  • Автор
Опубликовано

FRST и Addition

logs.zip

 

снова image.thumb.png.a130734fb73d07e218e3d68bb3463c0c.png

 

через notepad++ удалил все строки теперь определяется не как вирус 

 

можно считать что проблема решена?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Кое-какой мусор ещё нужно почистить.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

App-Torrent-Igruha 1.6.0

Bonjour

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {078cad0e-ad96-11ec-a997-f4b5202eb269} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {8a5b91dd-08b5-11ec-a8fa-f4b5202eb269} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1284224733-2945810361-2883742537-1003\...\MountPoints2: {a0aa5fe5-ab13-11ec-a989-f4b5202eb269} - "D:\windows\AutoRun.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {697565B3-FCF4-462B-929F-A1E27C103BD1} - System32\Tasks\systemfile => C:\Users\Анна\AppData\Local\Temp\Windows\systemfile.exe (Нет файла) <==== ВНИМАНИЕ
C:\Users\Анна\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
CHR Notifications: Profile 1 -> hxxps://1.eu.rvwgm2wrld4.xyz; hxxps://adslivetraining.com; hxxps://aternos.org; hxxps://dlmuzornet16527047111950.bezrukov.fun; hxxps://eu.gtrxlnd2.com; hxxps://eu.plnd36.com; hxxps://eu.rplnd36.com; hxxps://eu.rvwgm2wrld4.xyz; hxxps://gameguardian.ru; hxxps://moneyz.fun; hxxps://ntgdfc.com; hxxps://rbngdm.com; hxxps://ru.malwarebytes.com; hxxps://web.telegram.org; hxxps://www18.nathanaeldan.pro; hxxps://www45.nathanaeldan.pro; hxxps://www5.nathanaeldan.pro; hxxps://www56.nathanaeldan.pro; hxxps://www61.nathanaeldan.pro; hxxps://www65.nathanaeldan.pro; hxxps://www66.nathanaeldan.pro; hxxps://www71.nathanaeldan.pro; hxxps://www91.freddyoctavio.pro; hxxps://www96.nathanaeldan.pro; hxxps://www98.nathanaeldan.pro
S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1206.2 - AVAST Software) Hidden
AVG Update Helper (HKLM-x32\...\{EDB7AEE7-E932-4836-AE50-D3B0B7766CB5}) (Version: 1.8.1188.1 - AVG Technologies) Hidden
CCleaner Update Helper (HKLM-x32\...\{E4EAC0E2-A80B-479F-BA45-DCDA595C9A93}) (Version: 1.8.1187.1 - Piriform Software) Hidden
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [660]
AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [660]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [660]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [660]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [660]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6178]
AlternateDataStreams: C:\Users\Анна\Application Data:NT [40]
AlternateDataStreams: C:\Users\Анна\Application Data:NT2 [660]
AlternateDataStreams: C:\Users\Анна\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Анна\AppData\Roaming:NT2 [660]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

Avast Update Helper

AVG Update Helper

CCleaner Update Helper

Удалите вместе с бесполезным HitmanPro 3.8

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PetyaKroos
      украли аккаунт дискорд,телеграм,стим
      Автор PetyaKroos
      Недавно за неделю взломали сразу три аккаунта
      один в дискорде,один в телеграме,один в стиме
      Зашли в телеграм и рассылали + удаляли что хотели - кодов нигде не получал для авторизации
      Зашли в дискород и отправляли инвайты в группы и приложения
      Зашли в стим и продавали/покупали вещи - перелив средств

      я все везде уже поменял, но не знаю в чем была причина взлома,вдруг компьютер еще уязвим
      логи снизу
      CollectionLog-2025.05.30-18.13.zip
    • hvfrwd
      Аккаунт не удаляется
      Автор hvfrwd
      Я хочу удалить всё это потому что когда при поиске в моего ника в интернете показывает как я удалял майнер, а это не круто. Этот аккаунт я пытался удалить но не получилось. Пишет "Ваш аккаунт ожидает удаления. Пожалуйста, проверьте свою почту и нажмите на ссылку в ней для подтверждения.", а когда нажимаю на эту ссылку для подтверждения пишет "Запрос на удаление аккаунт подтверждён" и ничего не происходит. 
    • KL FC Bot
      Несколько уязвимостей в CMS Sitecore | Блог Касперского
      Автор KL FC Bot
      Исследователи обнаружили три уязвимости в популярной платформе для контент-менеджмента Sitecore Experience Platform:
      CVE-2025-34509 заключается в наличии жестко заданного в коде пароля (причем состоящего из одной буквы), позволяющего атакующему удаленно аутентифицироваться в служебной учетной записи; CVE-2025-34510 — уязвимость типа Zip Slip, позволяющая аутентифицированному пользователю загрузить ZIP-архив и распаковать его в корневую папку сайта; CVE-2025-34511 также позволяет загрузить на сайт посторонний файл, но на этот раз вообще произвольный. Используя первую уязвимость совместно с любой из остальных двух, атакующий может удаленно добиться выполнения произвольного кода (RCE) на сервере под управлением Sitecore Experience Platform.
      На данный момент нет свидетельств об использовании этих уязвимостей в реальных атаках, однако опубликованный экспертами из watchTowr Labs анализ содержит достаточно подробностей для создания эксплойта, так что злоумышленники могут взять их на вооружение в любой момент.
       
      View the full article
    • B_KACKE
      зашифровало сервер 1с и несколько машин в сети
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Valery030425
      Вирус шифровальщик С77L - зашифрованы сервер и несколько ПК
      Автор Valery030425
      В ночь на 02 апреля предположительно через RDP были атакованы и зашифрованы сервер и несколько пользовательских ПК. Выделенный исполняемый файл, зараженные документы и требования в архиве.FRST.txtAddition.txtShortcut.txt А также логи после запуска утилиты FRST
      Pictures (1).zip
×
×
  • Создать...