Перейти к содержанию
Правила раздела
Задай вопрос Алексею Тодирашу!

Подмена Ethereum кошелька в буфере обмена при копировании

Provizor071

От Provizor071
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Provizor071 Новичок

Provizor071

Опубликовано
Опубликовано

При копировании Ethereum кошелька (не важно от куда) вставляется (не важно куда, главное чтобы скопирован был адрес именно формата Ethereum) левый один и тот же кошелек, На днях провёл полную проверку касперским, под конец выдало, что нашло троян, удалил. Проблема подмены адреса была решена. Но спустя пару дней она вернулась. И вот сейчас тоже самое. При чём вставляется один и ото же подмененный адрес, что и в прошлый раз

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано

 

9 часов назад, mike 1 сказал:

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Как скачать AutoLogger - ничего не понятно, какие-то там хеши..

 

"При недоступности Safezone.сс используйте зеркало для скачивания автоматического сборщика логов."

эти оба варианта не работают...

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Windows\Installer\iscsicli.exe','');
ExecuteRepair(9);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. Логи на почту слать не надо!

Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано
31 минуту назад, mike 1 сказал:

Не до конца выполнили. Новых логов в теме я не вижу. 

что именно не выполнил? Это всё сделал:

  

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Windows\Installer\iscsicli.exe','');
ExecuteRepair(9);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано
18 часов назад, mike 1 сказал:

Не вижу. 

не понял о чём вы спросили, следовал инструкции и отчёт после вашего скрипта отправил по почте)

вот

CollectionLog-2023.03.09-14.30.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
 DeleteFile('C:\Windows\Installer\iscsicli.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\License Manager\License Validation');
 DeleteSchedulerTask('Microsoft\Windows\UpdateOrchestrator\USO_UxBroker');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Provizor071 Новичок

Provizor071

Опубликовано
  • Автор
Опубликовано

обратил внимание, что сегодня эта проблема пропала. Не знаю с чем связано, но уже 1 раз такое было. Попробую ещё ваш вариант

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Jamer
      Подмена буфера обмена, если в нем адрес криптокошелька
      От Jamer
      добрый. заметил, что при копировании длинных наборов (в данном случае АПИ , адреса кошельков)  вставляется из буфера эта запись, но внутри часть подменятся выражением "TRC20_Address", например.  qRaq6Y2QfVNdVXK03kkpuTRC20_Addresscxq5lmF5w. если дробить на мелкие части, то копировать и вставить можно. но целиком никак. помогите найти вражину. благодарю.
      FRST.txtAddition.txt
       
      Сообщение от модератора thyrex Перенесено из этой темы
    • ilyaperminov2010
      Вирус подменяет номер кошелька в буфере и закрывает всё подряд!
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • linktab_new
      KasperskyInternetSecurity Защищённый браузер & буфер обмена
      От linktab_new
      Защищает ли  "KasperskyInternetSecurity Защищённый браузер" буфер обмена (Ctrl+C; Ctrl+V) от шпионских программ в среде Windows 10?
    • KL FC Bot
      Кража крипты из кошельков Exodus и Bitcoin через взломанные приложения macOS | Блог Касперского
      От KL FC Bot
      Распространение зловредов вместе со взломанными играми или приложениями — один из старейших трюков киберпреступников. Удивительно, но даже в 2024 году находятся доверчивые жертвы, верящие в Робин Гудов и предполагающие, что скачивать взломанные платные программы и игры с пиратских сайтов совершенно безопасно. Однако, хотя эта угроза и стара, злоумышленники постоянно изобретают новые приемы для доставки вредоносного ПО на компьютер жертвы в попытке обойти защитные решения.
      Недавно мы обнаружили новую кампанию такого рода, нацеленную на компьютеры Apple со свежими версиями macOS (13.6 и выше) и использующую особенности устройства сервиса доменных имен (DNS) для скачивания вредоносной нагрузки. Жертвам предлагается бесплатно скачать взломанные версии популярных приложений. Что ждет тех, кто поддастся искушению?
      Фальшивая активация
      После скачивания образа диска, предположительно содержащего взломанную программу, жертве предлагается скопировать в папку Applications два файла: само приложение и программу-«активатор». Если скопировать и запустить только приложение, оно не заработает. Инструкция гласит, что взломанную программу обязательно надо «активировать». Как выяснилось при анализе, функция активатора примитивна — он убирает в исполняемом файле приложения несколько начальных байтов, после чего оно начинает работать. То есть преступники взяли уже взломанное приложение и изменили его так, чтобы без активатора оно не могло запуститься. Разумеется, активатор имеет неприятную дополнительную функцию — при запуске он запрашивает права администратора и, пользуясь ими, устанавливает в системе скрипт-загрузчик. Этот скрипт скачивает из Сети дополнительную вредоносную нагрузку — бэкдор, регулярно запрашивающий команды от злоумышленников.
      Инструкция по установке, окно активатора и запрос пароля администратора
       
      Посмотреть статью полностью
    • Mrak
      Особенности штатного резервного копирования
      От Mrak
      Всем привет!
       
      Получил из нашего магазина жесткий диск на 2 тб. Хочется часть диска использовать для резервного копирования содержания ссд диска на 1 тб. (реально используется 700 гб.), а остальное отдать под данные.
      Подскажите пожалуйста, как лучше организовать всё.
       
      Старая схема у меня была такой: 
      Делю диск на два раздела. Один будет 700 гб. для полного бэкапа ссд диска (исходя из его фактического размера), а 1.3 тб. будет в виде другого диска для данных. В этом случае когда бэкапов будет свыше чем на 700 гб., он не залезет на диск с данными, а удалит старые резервные копии. Но ведь неудобно терять 700 гб., пока занято, например, 500 гб. 
      Второй вариант - не делю диск на разделы, но тогда бэкапы со временем ведь могут превысить и 1 тб.
       
      Плюс вопрос о шифровальщиках. Если залезет какой-то зловред (такого не было и надеюсь при включенном Касперском не может быть), диск в этот момент подключён (а подключенным он будет всегда, данные нужны), то бэкапам конец или они как-то защищены? 
       
      Ещё вопрос о программе для резервного копирования. Когда-то использовал Cobian Backup, умеющую просто переносить файлы и папки на другой диск (доступны сразу, не какой-то архив на 400 гб., а именно стандартные файлы и папки, доступны напрямую на любом ПК). Но теперь информация, указанная на их официальном сайте, вызывает у меня чувство редкостного омерзения, что не позволяет применять эту программу. Подскажите, пожалуйста, другую программу или может штатную использовать?
×
×
  • Создать...