Как работает хуйня от рейза. steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer. Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти. Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как: Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.) Потенциальные кейгены или журналы отладки. Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для: Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent. steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью. Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление. --- Как избавиться от него. Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых). Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора: reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС. Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI. Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll. --- Предотвращение Избегайте взломанных программ и непроверенных читов. Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER. Включите Secure Boot, Core Isolation и постоянно обновляйте систему
