[РЕШЕНО] Попался на мошенников в КС2

[LØNEX]

Здравствуйте. Пару дней назад меня рандомы пригласили в дискорд, начали звать играть на Faceit. Сказали верифицировать аккаунт фейсит через бота в дискорде, бот дал ссылку, в которой был текст для строки Win+R, утверждая, что это античит фейсита. После ввода команды на секунду открылась PowerShell. Сегодня я созвонился с человеком, который сказал, что меня опрокинули и на моем компьютере сейчас ratник и все скины скорее всего в ближайшее время украдут. Я уже временно заблокировал аккаунт Steam, пока не разберусь с проблемой. Прошу помочь.
Вот команда, которая была прописана в Win+R: [скрипт удалён]

Изменено 24 марта пользователем Sandor
Убрал вредоносный скрипт

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[LØNEX]

Здравствуйте. Пару дней назад меня рандомы пригласили в дискорд, начали звать играть на Faceit. Сказали верифицировать аккаунт фейсит через бота в дискорде, бот дал ссылку, в которой был текст для строки Win+R, утверждая, что это античит фейсита. После ввода команды на секунду открылась PowerShell. Сегодня я созвонился с человеком, который сказал, что меня опрокинули и на моем компьютере сейчас ratник и все скины скорее всего в ближайшее время украдут. Я уже временно заблокировал аккаунт Steam, пока не разберусь с проблемой. Провел диагностику KVRT- результат на фото. Прошу помочь.

CollectionLog-2026.03.24-19.23.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Sandor]

Программу Mirillis Action! (для захвата экрана) ставили самостоятельно?

 

Через Параметры -> Приложения деинсталлируйте нежелательное ПО:

Цитата

Bonjour

Chroma version 1.0.0

Compressor551 version 1.0.0

DoubleTake version 1.0.0

uTorrentClient 2.8.1

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\orypelj\appdata\roaming\.cache_sys\winhostg.exe');
 QuarantineFile('C:\ProgramData\Microsoft\MapData\fjumJkD\DataBaseH.bat', '');
 QuarantineFile('c:\users\orypelj\appdata\roaming\.cache_sys\winhostg.exe', '');
 QuarantineFile('C:\Users\OrypeLj\AppData\Roaming\utorrent\pro\uTorrentClient.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\DataBaseH\RecoveryHosts');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('C:\ProgramData\Microsoft\MapData\fjumJkD\DataBaseH.bat', '64');
 DeleteFile('c:\users\orypelj\appdata\roaming\.cache_sys\winhostg.exe', '32');
 DeleteFile('C:\Users\OrypeLj\AppData\Roaming\utorrent\pro\uTorrentClient.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O22 - Tasks: \Microsoft\Windows\DataBaseH\RecoveryHosts - C:\ProgramData\Microsoft\MapData\fjumJkD\DataBaseH.bat (file missing)
O22 - Tasks: \Microsoft\Windows\PLA\ЦП - {FF679DA1-8FF2-4474-9C9E-52BBD409B557},ЦП|$(Arg0) - C:\Windows\system32\pla.dll (sign: 'Microsoft')
O22 - Tasks: UpdateTorrent - C:\Users\OrypeLj\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (not signed - GitHub, Inc. - 0DCBD094CFEB10702F2CAA232A574372C6FB94FB)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Перезагрузите компьютер.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[LØNEX]

CollectionLog-2026.03.25-10.41.zipПрограмму Action! сам скачивал. quarantine отправил на почту

[Sandor]

Хорошо. Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[LØNEX]

FRST.txtAddition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  C:\Users\OrypeLj\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\cmjmkflflgmdifpdnimkgpjdgnpagkjb
  C:\Users\OrypeLj\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dodnpoijjkmcmlhlelmggejhfocfjgfc
  CHR Notifications: Profile 1 -> hxxps://1uht.optenmostr.site; hxxps://4ekc.optenmostr.site; hxxps://ackkm-1progscom-fbll5i61g.meet-buddy.com; hxxps://advertizmenttoyou.com; hxxps://cwrxq-muzjancom-fhn05n5ld.vesmaveselo13.com; hxxps://epicdrop.cc; hxxps://gamesport.com; hxxps://hellstore.me; hxxps://mcebu-muztnnet-fd12id73n.hotkabachok.com; hxxps://mp3iq.net; hxxps://rjdul-muzemnet-fgb8i8gi2.mastershik.com; hxxps://si5f1.dwhitdoedsrag.org; hxxps://soft-fl.ru; hxxps://viwti-1progscom-fb6admifn.dobrnovosti.com; hxxps://y2down.cc; hxxps://ztmvn-muzornet-f9ij8la6d.meet-buddy.com
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\edfgjpcljnhnakcllildfohpnlmjpohj
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fkkchpfnjlccfnelmkbhoknjmkofchoi
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\hlabbmbangnemdnhpgipbblejoojjemo
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oohbhanglpfppkhefeniodpfjoneienk
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\doiipldfcmhbaohkckpgadphggfaknja
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\edfgjpcljnhnakcllildfohpnlmjpohj
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\hlabbmbangnemdnhpgipbblejoojjemo
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ldppnpmfalfdlhgkjompaabbbfchieik
  C:\Users\OrypeLj\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions\kgobkfkfbpmeamoklfgdeeedejggjmna
  2025-04-08 22:15 C:\_MinerSearchLogs
  2025-04-08 22:14 C:\Program Files\AVAST Software
  2025-04-08 22:14 C:\Program Files\AVG
  2025-04-08 22:14 C:\Program Files\Bitdefender Agent
  2025-04-08 22:14 C:\Program Files\ByteFence
  2025-04-08 22:14 C:\Program Files\Cezurity
  2025-04-08 22:14 C:\Program Files\COMODO
  2025-04-08 22:14 C:\Program Files\DrWeb
  2025-04-08 22:14 C:\Program Files\Enigma Software Group
  2025-04-08 22:14 C:\Program Files\EnigmaSoft
  2025-04-08 22:14 C:\Program Files\ESET
  2025-04-08 22:14 C:\Program Files\HitmanPro
  2025-04-08 22:14 C:\Program Files\Loaris Trojan Remover
  2025-04-08 22:14 C:\Program Files\Malwarebytes
  2025-04-08 22:15 C:\Program Files\NETGATE
  2025-04-08 22:14 C:\Program Files\Process Hacker 2
  2025-04-08 22:14 C:\Program Files\Process Lasso
  2025-08-10 21:56 C:\Program Files\QuickCPU
  2025-04-08 22:14 C:\Program Files\Rainmeter
  2025-04-08 22:14 C:\Program Files\Ravantivirus
  2025-04-08 22:15 C:\Program Files\ReasonLabs
  2025-04-08 22:15 C:\Program Files\RogueKiller
  2025-04-08 22:14 C:\Program Files\SpyHunter
  2025-04-08 22:14 C:\Program Files\SUPERAntiSpyware
  2025-04-08 22:14 C:\Program Files\Transmission
  2025-04-08 22:14 C:\Program Files (x86)\360
  2025-04-08 22:14 C:\Program Files (x86)\AVAST Software
  2025-04-08 22:14 C:\Program Files (x86)\AVG
  2025-04-08 22:14 C:\Program Files (x86)\Cezurity
  2025-04-08 22:15 C:\Program Files (x86)\GPU Temp
  2025-04-08 22:14 C:\Program Files (x86)\GRIZZLY Antivirus
  2025-04-08 22:14 C:\Program Files (x86)\Microsoft JDX
  2025-04-08 22:15 C:\Program Files (x86)\Moo0
  2025-04-08 22:14 C:\Program Files (x86)\Panda Security
  2025-04-08 22:15 C:\Program Files (x86)\SpeedFan
  2025-04-08 22:14 C:\Program Files (x86)\SpyHunter
  2025-04-08 22:14 C:\Program Files (x86)\Transmission
  2025-04-08 22:15 C:\Program Files (x86)\Wise
  2025-04-08 22:14 C:\Program Files\Common Files\AV
  2025-04-08 22:14 C:\Program Files\Common Files\Doctor Web
  2025-04-08 22:14 C:\Program Files\Common Files\McAfee
  2025-04-08 22:14 C:\ProgramData\360safe
  2025-04-08 22:14 C:\ProgramData\AVAST Software
  2025-04-08 22:14 C:\ProgramData\Avira
  2025-04-08 22:14 C:\ProgramData\BookManager
  2025-04-08 22:14 C:\ProgramData\Doctor Web
  2025-04-08 22:14 C:\ProgramData\ESET
  2025-04-08 22:14 C:\ProgramData\Evernote
  2025-04-08 22:14 C:\ProgramData\FingerPrint
  2025-04-08 22:14 C:\ProgramData\grizzly
  2025-04-08 22:14 C:\ProgramData\McAfee
  2025-04-08 22:14 C:\ProgramData\Norton
  2025-04-08 22:14 C:\ProgramData\princeton-produce
  2025-04-08 22:14 C:\ProgramData\PuzzleMedia
  2025-04-08 22:14 C:\ProgramData\RobotDemo
  2025-04-08 22:14 C:\ProgramData\WavePad
  2025-04-08 22:15 C:\Users\OrypeLj\AppData\Roaming\Sysfiles
  AV: ESET Security (Enabled - Up to date) {DF8BEACB-94C9-218A-73AD-A78362A8C516}
  AV: ESET Security (Enabled - Up to date) {26E0861C-6FB9-CEF9-E4F0-531986211ACE}
  FW: ESET Файервол (Enabled) {E7B06BEE-DEA6-20D2-58F2-0EB69C7B826D}
  FW: ESET Файервол (Enabled) {1EDB0739-25D6-CFA1-CFAF-FA2C78F25DB5}
  FirewallRules: [{446AC726-0BEE-4933-9430-3D35A5E15393}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{3E4129AD-CC22-4DE5-8A7B-99252048E006}] => (Allow) LPort=3389
  StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  EndBatch:
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 1
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

=

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[LØNEX]

Fixlog.txtAV_block_remove_2026.03.25-12.53.log

[Sandor]

Вручную удалите лишние исключения Защитника.

 

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

• Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
• После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
• Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
• По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
• Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.
  

 

Сообщите остались ли какие-то ещё проблемы в работе системы.

[LØNEX]

после сканирования не появилось txt файла, только папка DNB_Quarantine, проблем в работе системы не наблюдаю

 

[Sandor]

Тогда завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

4 минуты назад, LØNEX сказал:

только папка DNB_Quarantine

Эту папку на некоторое время сохраните. Если ничего не потерялось, через неделю можете тоже удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[LØNEX]

SecurityCheck.txt

[Sandor]

Подумайте о переходе на актуальную версию системы:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

Исправьте по возможности:

CPUID CPU-Z 2.05 v.2.05 Внимание! Скачать обновления
NVIDIA App 11.0.5.420 v.11.0.5.420 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Notepad++ (64-bit x64) v.8.6.4 Внимание! Скачать обновления
AmneziaWG v.1.0.3 Внимание! Скачать обновления
uTorrent Web v.1.5.0 Внимание! Клиент сети P2P с рекламным модулем!
qBittorrent v.4.5.1 Внимание! Скачать обновления
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
OBS Studio v.31.1.2 Внимание! Скачать обновления
Google Chrome v.146.0.7680.155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.146.0.3856.72 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Massive v.1.5.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Дополнительные сканирования не нужны, просто удалите программу, если неизвестна.

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".