Перейти к содержанию

Вирус подменяет номер криптовалютного кошелька на свой в буфере обмена.


Рекомендуемые сообщения

При копировании номера кошелька сети Binance Smart Chain (другие не проверял) имеющего вид 0x3fd988a0910e12bb72c240d2d151b26164d516a2 в буфере обмена создается альтернативный номер кошелька: 0x5D21c4206E8Ccb5fE02477D857ae20e98BeF6Dc9 и вставляется уже непосредственно он.
Работает умно, через раз. Т.е. если второй-третий раз вставить в одно и то же окно, то уже не подменяет. 
Копирую из Microsoft Edge браузера, там мне номер скинули для перевода. Расширений в браузере кроме Nucleus VPN в браузере никаких нет. Попробовал из блокнота, не подменился. Но работает, как говорил, через раз.

 

Проверку сделал антивирусами:
- Kaspersky Virus Removal Tool;
- Dr.Web CureIt!.
- Kaspersky Free
- Malwarebytes
- Combo Cleaner
- AVZ
 

При проверки Касперский нашел вирус UDS:DangerousObject.Multi.Generic (вроде бы тот, что нужно), удалил его с перезагрузкой, но проблема не пропала.
В диспетчере задач ничего прям выделяющегося и подозрительного не заметил. Но там сотни задач, поэтому точно сказать не могу.
Перезагрузку в безопасном режиме не делал, не особо понял, что в нем нужно выполнить.

Искал в интернете, есть только одна свежая статья о похожей проблеме: https://www.pcrisk.com/removal-guides/15815-clipboard-hijacker-malware - но Combo Cleaner мне не помог.

Логи прилагаю.

CollectionLog-2021.11.01-16.54.zip

Ссылка на сообщение
Поделиться на другие сайты

nodejs - сами устанавливали?

c:\phoenixminer_5.6c_windows\phoenixminer.exe - ваше?

C:\PhoenixMiner_5.6c_Windows\0_Ehereum-binance.bat - проверьте содержимое, там только запуск майнинга?

Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, akoK сказал:

nodejs - сами устанавливали?

c:\phoenixminer_5.6c_windows\phoenixminer.exe - ваше?

C:\PhoenixMiner_5.6c_Windows\0_Ehereum-binance.bat - проверьте содержимое, там только запуск майнинга?

Да, это все мои майнеры для крипты. Работают так уже давно.
0_Ehereum-binance.bat - только запуск.

Ссылка на сообщение
Поделиться на другие сайты
  • Mark D. Pearlstone changed the title to Вирус подменяет номер криптовалютного кошелька на свой в буфере обмена.
2 часа назад, Роман2444 сказал:

Расширений в браузере кроме Nucleus VPN в браузере никаких нет.

это не так. вот полный список ваших расширений в Хроме

Extension aapbdbdomjkkjkaonfhkkikfgjllcleb 1 Google Переводчик 2.0.10
Extension aapocclcgogkmnckokdopfmhonfmgoek 1 Презентации 0.10
Extension abjcfabbhafbcdfjoecdgepllmpfceif 0 Magic Actions for YouTube™ 7.9.5.1
Extension ahfgeienlihckogmohjhadlkjgocpleb 1 Интернет-магазин Chrome 0.2
Extension aohghmighlieiainnegkcijnfilokake   
Extension apdfllckaahabafndbhieahigkjlhalf 1 Диск Google 14.5
Extension bfegaehidkkcfaikpaijcdahnpikhobf 1 Gismeteo 3.1.8
Extension bfnaelmomeimhlpmgjnjophhpkkoljpa 1 Phantom 0.12.0.1
Extension bgnkhhnnamicmpeenaelnjfhikgbkllg 0 AdGuard Антибаннер 3.6.14
Extension bhhhlbepdkbapadjdnnojkbgioiodbic 1 Solflare Wallet 1.10
Extension bihmplhobchoageeokmgbdihknkjbknd 1 Touch VPN - Secure and unlimited VPN proxy 4.1.0
Extension bkkbcggnhapdmkeljlodobbkopceiche 1 Pop up blocker for Chrome™ - Poper Blocker 5.0.2
Extension blpcfgokakmgnkcojhhkbfbldkacnbeo   
Extension cfhdojbkjhnklbpkdaibdccddilifddb 1 Adblock Plus - бесплатный блокировщик рекламы 3.11.2
Extension cjpalhdlnbpafiamejdnhcphjbkeiagm 1 uBlock Origin 1.38.6
Extension dhdgffkkebhmkfjojejmpbldmpobfkfo 1 Tampermonkey 4.13
Extension efmppbpipefbijnpmokkcfnedohbiije   
Extension fbanabhepbcahlhijelngoekeojaedjj   
Extension fdcgdnkidjaadafnichfpabhfomcebme 0 VPN бесплатно ZenMate - Free VPN Chrome 8.0.4.0
Extension felcaaldnbdncclmgdcncolpebgiejap 1 Таблицы 1.2
Extension fihnjjcciajhdojfnbdddfaoknhalnja 0 I don't care about cookies 3.3.4
Extension fkacncdmmhhlkcjoijpbecoppfcopnac 0  
Extension gfdkimpbcpahaombhbimeihdjnejgicl 1 Feedback 1.0
Extension ghbmnnjooekpmoecnnnilnnbdlolhkhi 1 Google Документы офлайн 1.35.0
Extension hmjkmjkepdijhoojdojkdfohbdgmmhki 1 Google Keep – заметки и списки 4.21422.540.1
Extension jccapkebeeiajkkdemacblkjhhhboiek 1 Crust Wallet 1.0.6
Extension jckckhfpbopkekhboahohhhdlgjhpbhf 1 Управление  проектами, задачами, клиентами 15.41.4.1
Extension kbfnbcaeplbcioakkpcpgfkobkghlhen 0 Grammarly for Chrome 14.1036.0
Extension kmendfapggjehodndflmmgagdbamhnfd 1 CryptoTokenExtension 0.9.74
Extension lbdmhpkmonokeldelekgfefldfboblbj 0 Доступ к Рутрекеру 3.3
Extension lbfehkoinhhcknnbdgnnmjhiladcgbol 1 Веб-клиент Evernote 1.0.8
Extension lphicbbhfmllgmomkkhjfkpbdlncafbn 1 LetyShops — кэшбэк-сервис 2.10.57
Extension meffiamonaniekghongncpepaaecfoki 1 Mail.ru Checker 3.3.6
Extension mfehgcgbbipciphmccgaenjidiccnmng 1 Cloud Print 0.1
Extension mgndgikekgjfcpckkfioiadnlibdjbkf   
Extension mhjfbmdgcfjbbpaeojofohoefgiehjai 1 Chrome PDF Viewer 1
Extension neajdppkdcdipfabeoofebfddakdcjhd 1 Google Network Speech 1.0
Extension ngcldkkokhibdmeamidppdknbhegmhdh   
Extension nihpfpbibfgpgnfpbfedkdokihggapoi 1 Hello, Goodbye 1.5.13
Extension niloccemoadcdkdjlinkgdfekeahmflj 0 Save to Pocket 4.0.1
Extension nkbihfbeogaeaoehlefnkodbefgpgknn 1 MetaMask 10.3.0
Extension nkeimhogjdpnpccoofpliimaahmaaome 1 Google Hangouts 1.3.16
Extension nmmhkkegccagdldgiimedpiccmgmieda 1 Платежная система Интернет-магазина Chrome 1.0.0.6
Extension oeopbcgkkoapgobdbedcemjljbihmemj 1 Checker Plus for Gmail™ 22.9
Extension omehaopbmkbpcpbgldgooblpgehpldfl   
Extension pioclpoplcdbaefihamjohnefbikjilc 0 Evernote Web Clipper 7.14.0
Extension pjkljhegncpnkpknbcohdijeoejaedia   

Одних только блокировщиков сколько. Они у вас там друг с другом не конфликтуют?

Отключите для теста все и проверьте проблему.

 

 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, regist сказал:

Одних только блокировщиков сколько. Они у вас там друг с другом не конфликтуют?

Блокировщики не конфликтуют. Это Хром браузер, все расширения стоят эти уже давно, новых не ставил, кроме криптокошельков, но они с официальных сайтов.

Я ошибку обнаружил, копируя данные кошелька через Edge. Но сейчас специально проверил - сохранил кошельки в блокнот пару часов назад и с него сейчас скопировал, вставил в Телеграм для примера - адрес заменился вирусом.

Просто я на браузер грешил, выход, что вирус все же на компе, он влияет в общем на буфер обмена.

Базы всех антивирусов обновлял до последних, в Касперском запускал самую долгую проверку на 4 часа. Полтергейст какой то. 

Может быть можно как то осуществить поиск текста во всех файлах, ведь адрес поддельного кошелька известен.
 

Изменено пользователем Роман2444
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, regist сказал:

Отчёт прикрепите к сообщению.

Прикрепляю отчет.
По поводу обнаружений в нем:

1. C:\$RECYCLE.BIN - походу корзина, если я не ошибаюсь

2. AUSLOGICS BOOSTSPEED - эта программа стоит уже 2 года, это ее кряк

3. PHOENIXMINER_5.6C_WINDOWS - это майнер Ефириума, работает уже более полугода.

4. AVS4YOU - кряк программы


Спасибо

scan.txt

Ссылка на сообщение
Поделиться на другие сайты
01.11.2021 в 20:59, Роман2444 сказал:

Может быть можно как то осуществить поиск текста во всех файлах, ведь адрес поддельного кошелька известен.

Осуществить в теории можно, только проку от этого не будет.

1) По ряду причин даже если искать в нужном файле этот кошелёк может не найтись.

2) Для того чтобы проверить все файлы в том числе и бинарные уйдёт наверно несколько лет.

 

Тут просто ещё трудность, что надо искать майнер среди ваших "легальных" майнеров. И в теории такая закладка может быть и в одном из них.


Собственно мне видится два варианта поиска решений.

1) Самый простое. Это загружаетесь в безопасный режим. Копируете с блокнота кошелёк и вставляете его к примеру тот же блокнот или телеграмм. Смотрите будет проблема или нет. Если не будет, то потом методом исключения можно будет выявить программу которая запускается и перехватывает из буфера.

2) Можно попробовать отмониторить перехват буфера. На всякий случай сразу дам инструкцию:

Закройте все остальные программы (максимально всё что можно выгрузите из трея и т.д., чтобы в процессах поменьше висело). Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему, для этого запустите AutoLogger с зажатой кнопкой Shift.  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia).

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Anton70
      От Anton70
      Добрый день!
       
      Словил шифровальщик.
      Похоже что зашли на сервер по RDP.
      Зашифровано всё, в том числе и бэкапы. 
      Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
       
      Есть способ расшифровать такие файлы ?
       
      [mod]Не надо выкладывать вирусы на форуме[/mod] 
      FRST.zip files.zip
    • Andreyuser
      От Andreyuser
      У меня периодически вылетает окно не хватает памяти озу и грузится процессор, хотя ни какие  игры и высоконагруженные процессы не были запущены, антивирус установлен kaspersky endpoint security. 
      При сканировании avz  выдал "Подозрение на маскировку процесса hasplms.exe".
      CollectionLog-2022.05.08-17.34.zip
      Сведения о системе.zip
    • loppener
      От loppener
      случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 
    • Predator21
      От Predator21
      Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
      CollectionLog-2022.05.01-01.22 (1).zip
    • autobriz
      От autobriz
      Здравствуйте.
       
      Пользуюсь Яндекс браузером. При входе на сайт stoloto.ru,  один раз обнаружилось вот это:
       
      Событие: Загрузка остановлена
      Пользователь: asus\A
      Тип пользователя: Активный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Троянская программа
      Название: HEUR:Trojan.Multi.Preqw.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      MD5: B250C91E8BA793C565004E1F8783E03C
      Причина: Экспертный анализ
      Дата выпуска баз: 25.04.2022 4:41:00
       
      Потом, постоянно стало выскакивать вот это:
       
      Событие: Переход остановлен
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://sonar.semantiqo.com/4e3ll/analize.js
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      Причина: Базы
      Дата выпуска баз: Сегодня, 27.04.2022 8:59:00
       
      Что за беда приключилась, чего делать-то...?
      На вирусы проверял, ничего не нашлось.
       
       
×
×
  • Создать...