Участник
- Статус
- Оффлайн
- Регистрация
- 9 Июл 2022
- Сообщения
- 936
- Реакции
- 174
Я про кряк ваще не знал, пока не зашел в войс где типы уже играли с скитом, спрашиваю "че скит проплатил?", а мне говорят от разера кряк. Думаю: пизда приплыли и вижу пинг в дсе Walmart Solutions:
В спойлере снизу будут все скрины и сообщения связанны с любителем разера рефать хомяков в финляндию :D
Версия от Walmart о том как оно работает(ТЕКСТ БЫЛ НА АНГЛ ПОЭТОМУ ПЕРЕВЕЛ ЧЕРЕЗ ЧАТГПТ ТАК КАК НЕ ОХОТА, СНИЗУ БУДЕТ СПОЙЛЕР С АНГЛ ВЕРСИЕЙ):
- Потенциальные кейлогги или отладочные логи.
- Инжектит skeet.dll в csgo.exe, перехватывая его, чтобы действовать как сниффер для:
- Низкоуровневых NT API функций, таких как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
- Potential keylogs or debug logs.
- Injects skeet.dll into csgo.exe, hijacking it to act as a sniffer for:
- Low-level NT API functions like QueryPerformanceCounter, GetSystemTimeAsFile, and IsDebuggerPresent.
КАК ЖЕ МНЕ ИЗБАВИТСЯ ОТ ЭТОГО??(англ версия, не охота даже через чат гпт переводить)
ВСЕ ВЗЯТО ИЗ
Картинки могут не грузится потому что из дискорда, поэтому прикрепил кортинкочки
В спойлере снизу будут все скрины и сообщения связанны с любителем разера рефать хомяков в финляндию :D
This is a rat. it loads on encrypted imports and adds them and downloads from a custom site (pushover api) and ive compared it to actual skeet, and it is NOT skeet whatsoever // Это RAT(ремоут ацес троян), оно загружает импорты и добавляет их, а также качает с кастомного сайта, это не скит(ну скит не скит похуй если честн, нам важно рефнут ли нас в хомяке)
комментарий к данной картинке от валмарта:
клантег отстает на 2 тика
у флагов на есп(ну бомба скок бабла и тд) отличается шрифт
копия апи скита с импортов
комментарий к данной картинке от валмарта:
клантег отстает на 2 тика
у флагов на есп(ну бомба скок бабла и тд) отличается шрифт
копия апи скита с импортов
- Процесс steam.exe начинается с применения патча памяти (mempatch), чтобы скрыть себя от таких инструментов, как "Диспетчер задач", Process Hacker и Process Explorer.
- Он загружает компактный PE-исполняемый файл, зашифрованный XOR-шифрованием, встроенный в себя, который пропатчен, чтобы оставаться скрытым в памяти.
- Использует Pushover API (легитимный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
- Потенциальные кейлогги или отладочные логи.
- Инжектит skeet.dll в csgo.exe, перехватывая его, чтобы действовать как сниффер для:
- Низкоуровневых NT API функций, таких как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
- steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
- Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), чтобы сохраняться после перезагрузок, что затрудняет удаление.
- steam.exe starts by applying a mempatch to hide itself from tools like Task Manager, Process Hacker, and Process Explorer.
- It loads an XOR-encrypted compact PE executable embedded within itself, which is patched to remain hidden in memory.
- Uses Pushover API (a legit notification service) to send stolen data in real-time, such as:
- Potential keylogs or debug logs.
- Injects skeet.dll into csgo.exe, hijacking it to act as a sniffer for:
- Low-level NT API functions like QueryPerformanceCounter, GetSystemTimeAsFile, and IsDebuggerPresent.
- steam.exe`relays all data back to Pushover while staying hidden via memory manipulation.
- Alters MBR (Master Boot Record) and BOOTMGR (bootloader) to persist through reboots, making removal difficult.
КАК ЖЕ МНЕ ИЗБАВИТСЯ ОТ ЭТОГО??(англ версия, не охота даже через чат гпт переводить)
How to Get Rid of It
1. Do NOT Restart: The malware may corrupt your bootloader upon reboot. First, backup important files (non-executables only).
2. Enable Core Isolation: Enabling Core Isolation could help prevent further damage or persistence, but it’s strongly recommended to reinstall Windows to fully remove the malware. To enable Core Isolation via registry, run these commands in CMD with admin permission:
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
3. Reinstall Windows: Use a bootable USB to wipe the infected drive, delete all partitions, and reinstall the OS.
4. Update Firmware: If motherboard-level infection is suspected, update BIOS/UEFI firmware.
5. Avoid Reuse of Infected Files: Do not execute old .exe or .dll files.
1. Do NOT Restart: The malware may corrupt your bootloader upon reboot. First, backup important files (non-executables only).
2. Enable Core Isolation: Enabling Core Isolation could help prevent further damage or persistence, but it’s strongly recommended to reinstall Windows to fully remove the malware. To enable Core Isolation via registry, run these commands in CMD with admin permission:
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
- reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
3. Reinstall Windows: Use a bootable USB to wipe the infected drive, delete all partitions, and reinstall the OS.
4. Update Firmware: If motherboard-level infection is suspected, update BIOS/UEFI firmware.
5. Avoid Reuse of Infected Files: Do not execute old .exe or .dll files.
ВСЕ ВЗЯТО ИЗ
Пожалуйста, авторизуйтесь для просмотра ссылки.
Картинки могут не грузится потому что из дискорда, поэтому прикрепил кортинкочки
