От
ilyaperminov2010
в Помощь в удалении вирусов
-
Похожий контент
-
От Руслан098
Вирус. Который сильно замедляет компьютер. При этом сворачивает папку ProgramData, также. Вворачивает браузер и сильно упал ресуркомпа!
помогите пожалуйста.
Cleaner не помогает
-
От Provizor071
При копировании Ethereum кошелька (не важно от куда) вставляется (не важно куда, главное чтобы скопирован был адрес именно формата Ethereum) левый один и тот же кошелек, На днях провёл полную проверку касперским, под конец выдало, что нашло троян, удалил. Проблема подмены адреса была решена. Но спустя пару дней она вернулась. И вот сейчас тоже самое. При чём вставляется один и ото же подмененный адрес, что и в прошлый раз
-
От ILFR82812
Похоже что вирус попал из саморазахривирующегося архива, точно сказать не могу. Не открывался KVRT, я его переименовал и он открылся и сразу закрылся, в безопасном режиме тоже не запускается.
-
От JohnDoe
CollectionLog-2023.04.11-20.00.zip
Всем привет!
Столкнулся с трояном, который подменяет адрес биткоин кошелька в буфере обмена.
То есть, если мы копируем адрес для перевода, то после вставки в программу, там будет другой адрес.
И если мы не внимательны, то коины уйдут не по назначению.
Трой активен, но cureit и kvrt ничего не видят.
Больной ПК оперативно отключен от инета и так и будет находиться, обмен через флешку.
История собственного расследования:
*) Отключил все автозагрузки через Autoruns.exe, троян активен
*) Отключил все сервисы, которые можно отключить, троян активен
*) Загрузился в безопасном режиме, троян неактивен
*) Использовал sysmon для события с Clipboard, увидел что в случае активности трояна события идут парой:
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.674
ProcessGuid: {0b0bc379-08f1-6613-8a00-000000000100}
ProcessId: 5124
Image: C:\Program Files\WindowsApps\Microsoft.WindowsNotepad_11.2302.26.0_x64__8wekyb3d8bbwe\Notepad\Notepad.exe
Session: 1
ClientInfo: user: DESKTOP-QON8HQQ\User
Hashes: SHA1=BB3156414437C2B91BCE47036034137C861A1BFF
Archived: true
Clipboard changed:
RuleName: -
UtcTime: 2023-04-07 21:00:29.940
ProcessGuid: {00000000-0000-0000-0000-000000000000}
ProcessId: 0
Image: <unknown process>
Session: 0
ClientInfo: user: ?
Hashes: SHA1=1DF582377149EAA23E3DD22306CC9938223FF29E
Archived: true
User: -
Видно, что подмена осуществляется неизвестным кодом.
*) Предположил, что зловред является драйвером.
Через консоль восстановления удалил(предварительно сохранив) все драйверы, которые Windows не запускает в safe mode.
Это деактивировало троян.
Далее удалял драйверы по частям и наконец нашел всего один драйвер, удаление которого деактивирует троян: condrv.sys.
И этого же драйвера + драйверы из safe mode достаточно для запуска троя.
Я проверил этот файл на вирус тотал, и он выглядел чистым, кроме того, файл имел валидную цифровую подпись.
Таким образом, condrv.sys не является трояном, но необходим для его работы. Без condrv.sys не работает cmd.exe.
Где прячется троян совсем не понятно. Есть большое желание его найти и узнать пути проникновения.
-
От IR4jeck
Столкнулся с вирусом, который не даёт зайти на сайты с антивирсниками и закрывает браузер, так же он закрывает проводник при переходе в programdata
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти