GTA V-moddar drabbas av skadlig kod

GTA V-moddar drabbas av skadlig kod

Två moddar till Grand Theft Auto V misstänks installera en keylogger, som avlyssnar tangentbordet för att exempelvis stjäla lösenord.

Många spelutvecklare har en kluven inställning till moddar. Hemmasnickrade tillägg ger visserligen massvis av innehåll och uppskattas av fansen, men kan samtidigt orsaka en hel del oreda med bland annat fusk och skadlig kod. Det sistnämnda är något som nu även drabbar Grand Theft Auto V.

Angry-Planes-Mod-GTA-5-Mods-Header.png

Nu upptäcks att minst två moddar till GTA V innehåller vad som misstänks vara skadlig kod. Angry Planes och Noclip installerar båda programmet Fade.exe, som startar tillsammans med Windows och sannolikt avlyssnar knapptryckningar från tangentbordet för att exempelvis stjäla inloggningsuppgifter och lösenord.

Den som använder någon av dessa moddar uppmanas att omedelbart radera den exekverbara filen och städa upp spåren efter den skadliga mjukvaran i registret. En annan nödvändig säkerhetsåtgärd är att byta lösenord på alla tjänster som använts sedan modden installerades på datorn.

Källa: GTA Forums.

Klicka för mer information

Instructions on virus removal:

If these files do not exist, do not assume you weren't affected. The virus could have deleted itself after grabbing what it needed to cover its tracks, or your anti-virus could have deleted it after it grabbed what it needed.
If you have used the mods Angry Planes and/or Noclip mod, then here is how to get rid of the virus, or check if it is still on your computer.

  1. Press Ctrl+Shift+Esc, go to processes, and end the csc.exe process.

  2. Go to your Temp folder at "C:\Users\*YOUR USER NAME*\AppData\Local\Temp"

  3. Sort the files by date added, and find .z and init..exe and delete those. Some reports say that .z might be named differently, like .x.

  4. Some people also reported an unnamed archive file (.zip or .rar) that could not be opened that looks like this: http://i.imgur.com/5an5ARa.png If this exists, delete it.

  5. Then find a recently made folder, should be named something like this: https://i.imgur.com/knF3dAB.png (I believe that this is a randomly generated name for each person hit) and should contain Fade.exe. Delete this folder.

  6. Type in regedit in your Start menu search, or regedit.exe using run.

  7. Go to the path located at the bottom of this screenshot: https://i.imgur.com/bBtk8HM.png HKEY_USERS is the first folder you expand, and the folder after it is a long string of characters, different for each person. Choose the one without "Classes" at the end. The key we are looking for is "Shell". If you are using a custom shell, remove the string after it that leads to Fade.exe. If it just contains explorer.exe and nothing after it, it should be fine to either remove it or keep it the way it is. If you have no idea what I'm talking about, just remove "Shell".

  8. In registry go to "HKEY_CURRENT_USER\Software\Microsoft\" and look for "Fade" and "Leep" and delete them. "Leep" might only be related to the Noclip mod, as I did not have it.

  9. There are also reports that a malicious GTA5.exe is placed inside the x64 in the GTA V directory, probably related to the Noclip mod. Go to "C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\x64" and delete GTA5.exe if it exists.

  10. Of course, remove the mods from GTA V. Do not re-add them. If the server that was grabbing information comes back online, you could be affected again if you decide to keep using the mods.

  11. Consider running an anti-virus at this point, just to make sure you got all the instances.

  12. Restart your computer to make sure all instances of Fade.exe are no longer running.

  13. This is all that I currently know of for removing the virus, and I will try to update if more information is presented.

  14. With how new the information is, I have no idea if this is a complete removal.

  15. If in doubt, and you still don't feel safe, format and reinstall Windows. I reinstalled Windows myself just to be on the safe side.

Change your passwords!

If you have any doubt about being hit by the virus, don't ask if you should, just change your passwords. It's worth the hassle in the event your passwords were really stolen.

If you downloaded Angry Planes or the Noclip mod and played GTA V with them, you were most likely hit with a keylogger or other methods of password grabbing such as getting passwords saved in your browsers, and I strongly suggest changing all passwords. Do the steps above first before changing them.

Just because you don't see any of the files above, don't assume you weren't hit. The virus could have had a way of deleting itself from your computer to cover traces. I'd also suggest using something like Keepass in the future for keeping your passwords in an encrypted database, since it is very easy for something like a virus to grab saved passwords in web browsers.

Visa mer
Kommentarer till artikeln

41 debattinlägg

Skicka en rättelse
32

Netflix: "EU:s innehållskvot kommer endast få negativa konsekvenser"

I sin senaste kvartalsrapport kritiserar Netflix EU:s innehållskvot för strömningstjänster, och menar att en sådan lösning är fel väg att gå för att främja filmskapande i regionen. Läs mer

50

Bahnhof släpper 10 Gbit-router för hemanvändare

Bahnhof blir nu en av de första att erbjuda en router för privatpersoner som bestyckas med en 10 Gigabit Ethernet, och därmed klarar av att leverera hastigheter upp till 10 000 Mbit/s. Läs mer

26

Nvidia kan förbereda Geforce RTX 2070 Ti

Efter släppen av Geforce RTX 2080 Ti, RTX 2080 och RTX 2070 framgår att Nvidia kan komma att kila in en modell mellan de senare, något som skulle göra det trångt i prestanda- och prisstegen. Läs mer

7

Be Quiet lanserar Dark Rock Pro 4 för AMD Ryzen Threadripper

Be Quiet släpper en ny version av Dark Rock Pro, som erbjuder kylförmåga upp till 250 W och en ljudnivå på endast 24 decibel vid full belastning. Läs mer

123

Test: MSI Geforce RTX 2070 Armor – Turing för under 6 000 kronor

Arkitekturen Turings duett Geforce RTX 2080 Ti och RTX 2080 får sällskap av ett mer rimligt prissatt alternativ. Det har blivit dags att titta närmare på Geforce RTX 2070! Läs mer

225

Telia tvingas blockera fildelningssajter

Efter filmindustrins stämning mot Telia dömer Patent- och marknadsdomstolen Sveriges största leverantör av bredband att blockera The Pirate Bay, Dreamfilm, Nyafilmer och Fmovies. Läs mer

31

Crucial lanserar PCI Express-baserade SSD-enheter till pressat pris

Crucial utökar sitt utbud av SSD-enheter med den nya P1-serien, vilken till skillnad från tidigare modeller använder gränssnittet PCI Express för anslutning. Läs mer

36

Fulkultur är tillbaka med dubbelavsnitt om Sagan om Ringen och Tolkiens värld

Fyra månaders väntan är över och Fulkultur är äntligen tillbaka. Denna gång handlar det om J.R.R Tolkiens värld och Sagan om Ringen, som avhandlas i två nya avsnitt. Läs mer

35

Intel Core i9-9900K, Core i7-9700K och Core i5-9600K får stöd för 128 GB DDR4

Intel bekräftar att kommande Coffee Lake Refresh får stöd för upp till 128 GB primärminne, tack vare nya minnen med en kapacitet på upp till 32 GB per minnesmodul. Läs mer

67

Winamp återuppstår 2019

Sex år efter nedläggningen återuppstår Winamp under år 2019, med en modernisering av mediaspelaren för PC/Windows och Mac OS samt en ny applikation för smarta telefoner. Läs mer

22

Microsofts medgrundare Paul Allen är död

Personen som fick Bill Gates att hoppa av sina studier på Harvard för att vara med och grunda Microsoft har avlidit. Paul Allen blev 65 år. Läs mer

42

Testpilot: Cooler Master Hyper 212 Black Edition – klassisk kylare i ny skrud

Testpiloten "Laine" testar den uppdaterade Cooler Master Hyper 212 med tilläget Black Edition i namnet. Det handlar om en prispressad kylare draperad i mörk nickel och borstad aluminium. Läs mer