Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашли в steam без подтверждения и украли баланс

Юлий Цезарь

Автор Юлий Цезарь
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Юлий Цезарь

Юлий Цезарь

Опубликовано
Опубликовано

Всем привет. Вчера меня очередной раз взломали в steam и уперли последние 2000 рублей. До этого меня взламывали в июне 2025, потом повтор был в июле пару раз (общий ущерб в прошлом около 10 тысяч рублей.
Я через касперский проверял систему, нашел кучу вирусов и тд., также удалил Steam полностью и перенес на другой диск его заново, чтобы все встроенное в стим ушло. 
Уже все что можно перепробовал.
Ничего не скачивал, не устанавливал для стима ничего, не вводил данные на фишинговом сайте, так как знаю, что авторизация у меня там всегда автоматическая, заново ввод никогда не требуется.
Я подозревал и подозреваю снова, что где-то через что-то активируется стиллер, который забирает мои файлы авторизации Steam, которые в папке стим находятся.
Думаю снести Windows заново, но придется потратит кучу времени и тд. для восстановления всех нужных приложений для работы, которой занимаюсь.

Двоюродный младший брат скачивал запретку на дискорд летом и может через него данные улетали+я поставил это же приложение дней 10 назад для связи с другом и вот опять ушло, но ушло почему-то спустя только времени, а прошлый раз быстрее взломали 2-3 дня после того, как племянник установил эту запретку на мой комп. Также в дискорде меня тоже взломали летом, а узнал я только когда его снова установил, там была рассылка спама с фишингом Steam, я просто на нее кликнул и она не сработала, может тогда и утекло все. Я не знаю...
Возможно сейчас в steam встроился снова стиллер, который будет снова выводить мои средства под 0.
Может ли кто-то помочь с данным вопросом и помочь найти этого виновника и как удалить? Или же мне просто проще снести Windows.

Снимок экрана 2025-12-29 125659.png

Снимок экрана 2025-12-29 125721.png

Снимок экрана 2025-12-29 130258.png

Юлий Цезарь

Юлий Цезарь

Опубликовано
  • Автор
Опубликовано

CollectionLog-2025.12.29-13.26.zip

 

Могли ли данные улететь просто при переходе по этой ссылке? Там авторизация не требовалась даже, а просто ничего не происходило.
Я дней 10 назад просто нажал на эту ссылку чтобы проверить что за скам через меня рассылался в дискорде и похоже данные просто как-то утекли, хотя ссылке уже полгода. Не понимаю

Снимок экрана 2025-12-29 140248.png

 

https://www.virustotal.com/gui/url/f7b4d3d1dbb9ab89a841f271e8e0076148fd307acf715ffdcf69caa4ef218aec

Вирус-тотал показал перенаправления подозрительные, но как именно он с клиента забрал данные логи/пасс, не понимаю. Не с браузера же их взял...

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

Извините за задержку ответа.

 

Деинсталлируйте нежелательное ПО:

Цитата

Bonjour

Кнопки сервисов Яндекса на панели задач

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 154.205.231.94:63056 (disabled)
O4 - HKCU\..\StartupApproved\Run: [DeepCool] = C:\DeepCool\DeepCool.exe -autoRun (file missing) (2025/07/17)
O4 - MountPoints2: HKCU\..\{ce5381e8-3baf-11f0-9a3a-a62687ced4ef}\shell\AutoRun\command: (default) = F:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{ce5382be-3baf-11f0-9a3a-a62687ced4ef}\shell\AutoRun\command: (default) = F:\HiSuiteDownLoader.exe (file missing)
O22 - Tasks: iTopEN XMAS2025 Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\itopenxmas25.exe /rpop (file missing)
O23 - Driver S3: cpuz159 - C:\Windows\temp\cpuz159\cpuz159_x64.sys (file missing)
O23 - Driver S3: NEProtect - C:\SteamLibrary\steamapps\common\Once Human\NEProtect.sys (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Sandor

Sandor

Опубликовано
Опубликовано
В 29.12.2025 в 12:14, Юлий Цезарь сказал:

скачивал запретку на дискорд летом и может через него данные улетали+я поставил это же приложение дней 10 назад

Откуда скачивал - знаете? Если да, ссылку пришлите личным сообщением.

Сейчас кроме 3-4 относительно чистых сборок остальные идут со стилером.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nshaddy
      [РЕШЕНО] Рассылки в дискорд, а так же удаление друзей из стим.
      Автор Nshaddy
      Добрый день
      абсолютно такая же проблема, дискорд, стим, тг ломанули без входа
      могу обратиться за помощью?
       
      Сообщение от модератора thyrex Перенесено из этой темы
    • auqi
      Рассылки в дискорд, а так же удаление друзей из стим.
      Автор auqi
      Здравствуйте. Ситуация такая: в один момент через мой Discord-аккаунт начали рассылать ссылки на фишинговый сайт. На аккаунте стоит двухфакторная аутентификация. Попытался самостоятельно удалить вирус: почистил кэш, удалил все устройства, сменил пароль, сменил резервный код, переустановил Windows. До сегодняшнего дня всё было в порядке. Не знаю, с чем это связано. У моего знакомого такая же ситуация.

       

      CollectionLog-2026.05.29-00.00.zip
    • larion
      Взлом discors (mrBeast), Steam
      Автор larion
      Добрый день, недавно столкнулся с проблемой:
      Первым делом взломали дискорд около недели назад, разослали всем ссылку на фишинговый сайт, стояла двуфакторка. 

      Скачал касперский премиум, он ругался на запрет дискорда, хотя пользуюсь им достаточно давно, удалил. 
      После этого на неделю тишина и взлом стима, добавились аккаунты в друзья в семейную библиотеку, дабы вывести средства через предложения обмена.

      На стиме стоит стим гуард, вход через Qr, по логам новых входов в аккаунт не было, будто это сделали с моего ПК,  но в другой стране,.
      Еще раз проверил все антивирусом от касперского, проверил обычным дефендором винды в автономном режиме, ничего нет. 

    • Paradise Runner
      Как выявить стилер? Украли аккаунт в мессенджере
      Автор Paradise Runner
      Здравствуйте. В феврале у меня украли аккаунт в Telegram — причём, со сложным облачным паролем. Перед этим я ни по каким подозрительным ссылкам не ходил и файлов не скачивал. Проверял свой компьютер и Защитником Windows, и Касперским с премиум-подпиской: ничего не нашёл ни до, ни после кражи. В момент кражи на электронную почту пришли два письма от Telegram с кодом для входа и кодом для сброса облачного пароля. Время было ночное: я спал и сам увидел и прочитал их только утром после кражи. На электронной почте у меня установлен максимум защитных настроек: с дополнительной почтой, уведомлениями о незнакомых входах, адресах и действиях. После кражи я всё перепроверил: входов и активности с незнакомых устройств не было, активных сессий, кроме моих собственных — тоже.
      В одном источнике "специалист по безопасности" сказал мне, что вероятно через кражу cookies каким-нибудь стиллером был получен доступ к сессиям почты. Либо украдена сессия Telegram Desktop. Я теперь опасаюсь, что стилер всё ещё сидит где-то в моём устройстве, но я не могу его найти. Все полтора месяца я спокойно продолжал пользоваться почтой и не переживал за её безопасность — а теперь боюсь, что всё её содержимое попадает в руки злоумышленников (в т.ч. электронные документы). Интересно, что и пострадал-то от этого всего только Telegram, всё остальное, кажется, осталось нетронутым. 
    • Saidaries
      Взлом ноутбука
      Автор Saidaries
      Здравствуйте, у меня такая проблема кто то подключается к моему ноуту. Как я это понял? Ноут нагревается и вот это вот код 4624 первый скриншот. Я отключился от вайфая ноут чтобы проверить будут ли появляется те же логи какого моё удивление нет не появились и ноут перестал греется. Но когда я подключил ноут снова к вайфаю то случилось следующее появился код 4672 и даже когда я снова отключал ноутбук от вайфая он снова грелся. Хочу отметить он греется просто так я не включаю не игры не что то ещё. Подозрение на взлом очень сильные. Готов ответить на ваши вопросы если будут.
       
       
       
       


×
×
  • Создать...