Проверьте лог антистиллера, есть что-то похожее на стиллер?

[абубачир]

Однажды попался на лоадер, он скачивал в /data/ukraine.exe и в логах была ссылка на сайт со стиллерами и текст "продажа баранов", типа имя продавца.

На данный момент файлов template.luac u gtaweap3.saa не нахожу, но периодически при проверке антивирусом жалуется на тот самый ukraine.exe

Вроде как избавился от лоадера, но просьба проверить мой лог антистиллера, если есть те, кто поймет, есть что-то подозрительное или нет.

|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|
|>        | AntiStealer | V5.2.5 | By DarkP1xel | .LOG File |        <|
|>               Official Web-Site: https://blast.hk/                <|
|>       Subscribe to my YouTube Channel: https://vk.cc/5PCsTe       <|
|>          Official Topic: https://blast.hk/threads/16018/          <|
|>                DONATE: https://qiwi.me/dadaetoya/               <|
|>                   KEEP CALM AND SMOKE SOME WEED                   <|
|>                        !AntiStealer LOADED!                       <|
|>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<|

[WARNING] > [InternetOpenA] > [D:\GTA\TYPHOON\crashes.asi] > {lpszAgent: Mozilla/5.0}
[WARNING] > [InternetOpenUrlA] > [D:\GTA\TYPHOON\crashes.asi] > {lpszUrl: https://raw.githubusercontent.com/Whitetigerswt/gtasa_crashfix/master/LatestVersion.txt | lpszHeaders: -}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: raw.githubusercontent.com}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: raw.githubusercontent.com}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\WINHTTP.DLL] > {lpUrlComponents->lpszHostName: raw.githubusercontent.com}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\WINHTTP.DLL] > {lpUrlComponents->lpszHostName: raw.githubusercontent.com}
[PATCHED] > [ZwQueueApcThread] > [C:\Windows\System32\sechost.dll]
[WARNING] > [gethostbyname] > [D:\GTA\TYPHOON\samp.dll] > {name: DESKTOP-E1PLE4Q}
[WARNING] > [URLDownloadToFileA] > [D:\GTA\TYPHOON\MoonLoader.asi] > {szURL: https://sites.google.com/site/doubletapinside/poslednie-versii | szFileName: D:\GTA\TYPHOON\moonloader\config\Mini-Pig\update.txt}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://sites.google.com/site/doubletapinside/poslednie-versii | szFileName: D:\GTA\TYPHOON\moonloader\config\Mini-Pig\update.txt}
[WARNING] > [InternetOpenW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)}
[WARNING] > [InternetOpenA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: sites.google.com | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: sites.google.com | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /site/doubletapinside/poslednie-versii}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\WINHTTP.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\WINHTTP.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[PATCHED] > [ZwQueueApcThread] > [C:\Windows\System32\sechost.dll]
[WARNING] > [URLDownloadToFileA] > [D:\GTA\TYPHOON\MoonLoader.asi] > {szURL: https://sites.google.com/site/doubletapinside/poslednie-versii | szFileName: D:\GTA\TYPHOON\moonloader\config\Mr.Robot - Arizona RP\Mr.Robot - Arizona RP.update}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://sites.google.com/site/doubletapinside/poslednie-versii | szFileName: D:\GTA\TYPHOON\moonloader\config\Mr.Robot - Arizona RP\Mr.Robot - Arizona RP.update}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: sites.google.com | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: sites.google.com | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /site/doubletapinside/poslednie-versii}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\WINHTTP.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [WinHttpCreateUrl] > [C:\Windows\SYSTEM32\WINHTTP.DLL] > {lpUrlComponents->lpszHostName: sites.google.com}
[WARNING] > [URLDownloadToFileA] > [D:\GTA\TYPHOON\MoonLoader.asi] > {szURL: https://universal-helper.ru/helper/version.php | szFileName: D:\GTA\TYPHOON\moonloader\helper-version.json}
[WARNING] > [URLDownloadToFileW] > [C:\Windows\SYSTEM32\urlmon.dll] > {szURL: https://universal-helper.ru/helper/version.php | szFileName: D:\GTA\TYPHOON\moonloader\helper-version.json}
[WARNING] > [InternetConnectW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszServerName: universal-helper.ru | lpszUserName: - | lpszPassword: -}
[WARNING] > [InternetConnectA] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpszServerName: universal-helper.ru | lpszUserName: - | lpszPassword: -}
[WARNING] > [HttpOpenRequestW] > [C:\Windows\SYSTEM32\urlmon.dll] > {lpszObjectName: /helper/version.php}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: universal-helper.ru}
[WARNING] > [InternetCreateUrlW] > [C:\Windows\SYSTEM32\WININET.DLL] > {lpUrlComponents->lpszHostName: universal-helper.ru}
[PATCHED] > [RtlInitUnicodeString] > [C:\Windows\System32\KERNELBASE.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.dbg\*}
[PATCHED] > [RtlInitUnicodeStringEx] > [C:\Windows\SYSTEM32\ntdll.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.dbg\*}
[PATCHED] > [RtlInitUnicodeString] > [C:\Windows\System32\KERNELBASE.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.pdb\*}
[PATCHED] > [RtlInitUnicodeStringEx] > [C:\Windows\SYSTEM32\ntdll.dll] > {SourceString: .\!0AntiStealerByDarkP1xel32.pdb\*}

 

[Hatiko]

Чисто.
Просто скрипты проверяют обновления. Можно было и самим узнать, что за ссылки.

 

[абубачир]

Чисто.
Просто скрипты проверяют обновления. Можно было и самим узнать, что за ссылки.

Вопрос был по системным файлам, они могли быть заражены

 

[Hatiko]

Раз боишься что они якобы заражены, переустанови винду. Антистиллер этот тебе особо не поможет, он не все действия показывает, а только запугивает людей, простыми ссылками по автообновлению скриптов и dll модулями, которые участвую в осуществлении скачивании файлов и т.п. Сейчас уже продвинутые стиллеры обходят этот антистиллер.