Взломали telegram/discord/steam

[Dmitryzz]

Добрый день, дня 4 назад мне помогали на этом форуме все удалить, после удаления и исправления у меня полетели аккаунты везде где можно 
Зашли в телеграм и рассылали + удаляли что хотели - кодов нигде не получал для авторизации
Зашли в дискород и отправляли инвайты в группы и приложения
Зашли в стим 13 числа и продавали/покупали вещи - перелив средств

Я все везде поменял, но прям сейчас на моих глаза в стиме лоты выставлялись и продавались/покупались - я уже сума сошел, не понимаю как это возможно
Подскажите какие варианты еще проверки ПК на вирусы есть

[Sandor]

Здравствуйте!

 

Вам ведь известен Порядок оформления запроса о помощи

[Dmitryzz]

CollectionLog-2025.03.18-17.54.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Razer\CtxSvc32.exe', '');
 QuarantineFile('C:\Users\dmitr\AppData\Local\Downloaded Installations\steamservice.exe', '');
 DeleteSchedulerTask('CtxSvc32');
 DeleteSchedulerTask('steamservice');
 DeleteFile('C:\Program Files (x86)\Razer\CtxSvc32.exe', '64');
 DeleteFile('C:\Users\dmitr\AppData\Local\Downloaded Installations\steamservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[Dmitryzz]

Добавлю что всю неделю после перезагрузки учетки с браузера снимаются - ранее такого не было, не понимаю так же с чем связано 
CollectionLog-2025.03.19-10.22.zip

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Dmitryzz]

Addition.txtFRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  FirewallRules: [{CC3BBCDE-1495-447B-8BF2-0EA15BAB2262}] => (Allow) LPort=32683
  FirewallRules: [{FBE577E4-A18D-4A71-9414-488015052D43}] => (Allow) LPort=33683
  FirewallRules: [{801F311D-966C-42F5-9D1E-A9EA16BA0157}] => (Allow) LPort=26822
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Dmitryzz]

Fixlog.txt

[Sandor]

Ещё один скрипт выполните:

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Program Files"
  Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
  Remove-MpPreference -ExclusionPath "C:\Users\dmitr\AppData\Roaming"
  Remove-MpPreference -ExclusionPath "C:\Users\dmitr\AppData\Local"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Users\Public"
  Remove-MpPreference -ExclusionExtension ".exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Dmitryzz]

Fixlog.txt

[Sandor]

Отлично, лишние исключения Защитника удалены.

 

18.03.2025 в 09:16, Dmitryzz сказал:

Я все везде поменял

Ещё раз смените пароли на перечисленных ресурсах, а также на других важных сайтах.

 

Проверьте как сейчас себя ведёт система и сообщите результат.

[Dmitryzz]

Вроде проблем нет на данный момент - еще наблюдать буду
Но появилась мелочь, теперь не грузит сайт faiceit и его клиент, ранее такого не было

Грузит только с ВПН, возможно при отключении и включении брандмауэра я что то не то сделал?

 

Описываю весь пусть:
Включил пк - открыл клиент faiceit - начал игру - увидел что не работает звук, попытался переключится пару раз - не помогло
Ребут ПК сделал - заработал звук, но пропал коннект к сервисам faiceit 
В данный момент что только не попробовал, но работает только с впн, хотя час назад работало все без

Изменено 20 марта, 2025 пользователем Dmitryzz

[Sandor]

Посоветуйтесь в соседнем разделе. Ссылку на текущую тему там укажите.

По нашей части в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Dmitryzz]

Это оказывается проблема была общая

Сегодня случился момент - меня выкинуло с телеграма на пк и телефоне
После повторой авторизации сообщения которые были отправлены за сегодня - были удалены
Я этого не делал разумеется, но помню прошлый взлом я авторизовался в ТГ отправил всем что это был взлом и мои сообщения так же пропали
Сейчас другой аккаунт - у меня 2 аккаунта на пк авторизованы, в устройствах пусто, пароли дополнительные стоят, но с аккаунта который сегодня вылетел не были отправлены сообщения, но смущает процесс который увидел сегодня