Вирусы в модах “NoСlip” и “Angry Planes”

Тот, кто качал скрипты Noclip и Angry planes для GTA V и уже успел запустить игру, поздравляю, вы поймали стилер паролей, в котором, если повезёт, есть модули спама на Facebook, кража инвентаря в стиме и прочее мясо.

Чтобы очистить эту гниль, удаляем соответствующие Asi файлы и идём в папку temp (в семёрке находится по адресу AppData\Local), находим папку, в которой лежит fade.exe и удаляем его нафиг. Сама папка имеет странное название, которая должна состоять из больших букв вместе с цифрами, в моём случае "5DD3B3DF"

Вместо fade.exe может быть и init.exe, leep.exe....

Копия файла, может сидеть также в "Grand Theft Auto V\x64" под видом GTAV.exe, не ведитесь, в папке x64 не должно быть ни одного экзешника.

Самого стилера в папке может уже и не быть, так как антивирус тоже не дремлет, но в самой папке вы увидите логи, которые стилер и успел собрать. Отправились ли они или нет, никто этого гарантировать не может.

Поэтому, в любом случае, стилер надо удалять и подчищать следы. Данный вирус прописал свой путь и в реестре, вводим в поиск значение "fade.exe", должна выпасть папка winlogon, где в параметре Shell прописан путь к fade.exe.
https://i.imgur.com/bBtk8HM.png

Лекарство, удалить путь к fade.exe и оставить только путь к explorer.exe

Профилактика, запустить ГТА 5 и, если стилер не появится опять, смело переходим к следующему шагу. Если появился, ищем нужный asi файл и повторяем всё заново.

Обязательно меняем пароли только после полной его очистки! Не хотите менять пароли? Я предупреждал.

Если у вас почта от гугла, советую активировать двух этапную аутентификацию, а в стиме Steam Guard.

P.S. Текст не мой
Модераторов прошу не переносить тему, так как в подфорум моддинга мало кто заходит, а тема важная.