Перейти к содержанию
Правила раздела

Подмена Ethereum кошелька в буфере обмена при копировании

Provizor071

От Provizor071
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Provizor071 Новичок

Provizor071

Опубликовано
Опубликовано

При копировании Ethereum кошелька (не важно от куда) вставляется (не важно куда, главное чтобы скопирован был адрес именно формата Ethereum) левый один и тот же кошелек, На днях провёл полную проверку касперским, под конец выдало, что нашло троян, удалил. Проблема подмены адреса была решена. Но спустя пару дней она вернулась. И вот сейчас тоже самое. При чём вставляется один и ото же подмененный адрес, что и в прошлый раз

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано

 

9 часов назад, mike 1 сказал:

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Как скачать AutoLogger - ничего не понятно, какие-то там хеши..

 

"При недоступности Safezone.сс используйте зеркало для скачивания автоматического сборщика логов."

эти оба варианта не работают...

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Windows\Installer\iscsicli.exe','');
ExecuteRepair(9);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. Логи на почту слать не надо!

Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано
31 минуту назад, mike 1 сказал:

Не до конца выполнили. Новых логов в теме я не вижу. 

что именно не выполнил? Это всё сделал:

  

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Windows\Installer\iscsicli.exe','');
ExecuteRepair(9);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано
18 часов назад, mike 1 сказал:

Не вижу. 

не понял о чём вы спросили, следовал инструкции и отчёт после вашего скрипта отправил по почте)

вот

CollectionLog-2023.03.09-14.30.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
 DeleteFile('C:\Windows\Installer\iscsicli.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\License Manager\License Validation');
 DeleteSchedulerTask('Microsoft\Windows\UpdateOrchestrator\USO_UxBroker');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано

обратил внимание, что сегодня эта проблема пропала. Не знаю с чем связано, но уже 1 раз такое было. Попробую ещё ваш вариант

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ilyaperminov2010
      Вирус подменяет номер кошелька в буфере и закрывает всё подряд!
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • linktab_new
      KasperskyInternetSecurity Защищённый браузер & буфер обмена
      От linktab_new
      Защищает ли  "KasperskyInternetSecurity Защищённый браузер" буфер обмена (Ctrl+C; Ctrl+V) от шпионских программ в среде Windows 10?
    • cringemachine
      Бесконечное «копирование файлов на указанное устройство»
      От cringemachine
      Коллеги, доброго дня!
       
      Устанавливаю поочередно:
      1. Агента администрирования
      2. KES
       
      Агент взлетает со свистом. Устанавливается без проблем
       
      А KES «Выполняется (1%)». Иногда добавляется еще «Выполняется (1%) (устройство недоступно)», но чаще без надписи о недоступности. 
       
      В инсталляционном пакете Агента указан корректный IP-адрес KSC. 
       
      3 недели назад проблем с установкой не было.
      Важное дополнение: не важно на каком устройстве устанавливается KES. Везде одинаковый исход
       
      В какую сторону копать?:(
       
      Скрины:
       
    • rgd
      Как был похищен ключ от кошелька метамаск?
      От rgd
      Скажите пожалуйста хочу выяснить каким образом был скомпрометирован мой кошелек метамаск?
       
      Вообщем ситуация такая летом в августе я перевел монеты имх с коинлиста на мм чтоб застейкать для получения айдропа, продержал их две недели в стейке затем вывел обратно на мм. Буквально на днях захожу в мм чтоб их перевести на биржу а у меня все по нулям.

      Проверил через эзерскан там 29 ноября пришла мне транзакция в 0.01 эфира для комсы затем все мои монеты были обменяны на юнисвапе в эфир и выведены, также в других сетях бинанс и хеко были выведены монеты.
       
      Я вот теперь не пойму каким образом он был скомпрометирован? Проверил комп на вирусы все чисто, никто не имеет доступа к моему ноутбуку он запоролен, Сид была записана в блокноте, также хранилась на почте Гугл в облаке, никаких подозрительных входов в почту не было, так бы пришло уведомление. Ни на каких сайтах я не вводил свою Сид фразу. Теперь для меня это большая головоломка как  так могло произойти?

      Есть небольшое подозрение на программу скриншотер которая постоянно висит в загрузках, но при проверке на вирусы она чистая. 

      Как могли получить доступ к моей секретной фразе которая была записана в блокноте и хранилась на компьютере если все проверил и никаких зацепок нет, тем не менее у меня похитили все средства с кошелька метамаск?
    • DmitriyKaplin
      KES 11.10 - (не допускать подмены сертификата - MITM)
      От DmitriyKaplin
      Добрый день!
      Есть терминалка win 10 pro с KES 11.10, на ней происходят какие то выписки ( + переход с старой системы этих выписок на новую ( старые работают как часы,а новы енет)) с бух программы с участием некого банка и поддержка этого банка рекомендовала -
      " в защите сети (Антивирус)  наличие домена "зачёркнуто" в исключениях (не допускать подмены сертификата - MITM)"
      Поставил в KES не использовать корневые сертификаты, домен в исключение.

      Но инструментом просмотра сертов выдаётся что выдан каспером ( кому выдан банку там правильно всё), может ли быть ошибка что как раз всётаки кес подменил серт на свой и как это исправить?
      Ошибки сыпятся такого рода ( + winhttp winhttprequest истекло время ожидания) 
      (вроде как раз всё же серт виноват?)

      Параллельно мучаюсь с поддержкой банка, но там новая система на костылых и допиливают по пути, пока не решили вопрос с ними..
      Инфы могу подкинуть, но не очень компитентен в этом вопросе - вдруг кто сможет подсказать.
×
×
  • Создать...