Вирус подменяет номер криптовалютного кошелька на свой в буфере обмена.

[Роман2444]

При копировании номера кошелька сети Binance Smart Chain (другие не проверял) имеющего вид 0x3fd988a0910e12bb72c240d2d151b26164d516a2 в буфере обмена создается альтернативный номер кошелька: 0x5D21c4206E8Ccb5fE02477D857ae20e98BeF6Dc9 и вставляется уже непосредственно он.
Работает умно, через раз. Т.е. если второй-третий раз вставить в одно и то же окно, то уже не подменяет. 
Копирую из Microsoft Edge браузера, там мне номер скинули для перевода. Расширений в браузере кроме Nucleus VPN в браузере никаких нет. Попробовал из блокнота, не подменился. Но работает, как говорил, через раз.

 

Проверку сделал антивирусами:
- Kaspersky Virus Removal Tool;
- Dr.Web CureIt!.
- Kaspersky Free
- Malwarebytes
- Combo Cleaner
- AVZ
 

При проверки Касперский нашел вирус UDS:DangerousObject.Multi.Generic (вроде бы тот, что нужно), удалил его с перезагрузкой, но проблема не пропала.
В диспетчере задач ничего прям выделяющегося и подозрительного не заметил. Но там сотни задач, поэтому точно сказать не могу.
Перезагрузку в безопасном режиме не делал, не особо понял, что в нем нужно выполнить.

Искал в интернете, есть только одна свежая статья о похожей проблеме: https://www.pcrisk.com/removal-guides/15815-clipboard-hijacker-malware - но Combo Cleaner мне не помог.

Логи прилагаю.

CollectionLog-2021.11.01-16.54.zip

[akoK]

nodejs - сами устанавливали?

c:\phoenixminer_5.6c_windows\phoenixminer.exe - ваше?

C:\PhoenixMiner_5.6c_Windows\0_Ehereum-binance.bat - проверьте содержимое, там только запуск майнинга?

[Роман2444]

9 минут назад, akoK сказал:

nodejs - сами устанавливали?

c:\phoenixminer_5.6c_windows\phoenixminer.exe - ваше?

C:\PhoenixMiner_5.6c_Windows\0_Ehereum-binance.bat - проверьте содержимое, там только запуск майнинга?

Да, это все мои майнеры для крипты. Работают так уже давно.
0_Ehereum-binance.bat - только запуск.

[regist]

2 часа назад, Роман2444 сказал:

Расширений в браузере кроме Nucleus VPN в браузере никаких нет.

это не так. вот полный список ваших расширений в Хроме

Extension aapbdbdomjkkjkaonfhkkikfgjllcleb 1 Google Переводчик 2.0.10
Extension aapocclcgogkmnckokdopfmhonfmgoek 1 Презентации 0.10
Extension abjcfabbhafbcdfjoecdgepllmpfceif 0 Magic Actions for YouTube™ 7.9.5.1
Extension ahfgeienlihckogmohjhadlkjgocpleb 1 Интернет-магазин Chrome 0.2
Extension aohghmighlieiainnegkcijnfilokake   
Extension apdfllckaahabafndbhieahigkjlhalf 1 Диск Google 14.5
Extension bfegaehidkkcfaikpaijcdahnpikhobf 1 Gismeteo 3.1.8
Extension bfnaelmomeimhlpmgjnjophhpkkoljpa 1 Phantom 0.12.0.1
Extension bgnkhhnnamicmpeenaelnjfhikgbkllg 0 AdGuard Антибаннер 3.6.14
Extension bhhhlbepdkbapadjdnnojkbgioiodbic 1 Solflare Wallet 1.10
Extension bihmplhobchoageeokmgbdihknkjbknd 1 Touch VPN - Secure and unlimited VPN proxy 4.1.0
Extension bkkbcggnhapdmkeljlodobbkopceiche 1 Pop up blocker for Chrome™ - Poper Blocker 5.0.2
Extension blpcfgokakmgnkcojhhkbfbldkacnbeo   
Extension cfhdojbkjhnklbpkdaibdccddilifddb 1 Adblock Plus - бесплатный блокировщик рекламы 3.11.2
Extension cjpalhdlnbpafiamejdnhcphjbkeiagm 1 uBlock Origin 1.38.6
Extension dhdgffkkebhmkfjojejmpbldmpobfkfo 1 Tampermonkey 4.13
Extension efmppbpipefbijnpmokkcfnedohbiije   
Extension fbanabhepbcahlhijelngoekeojaedjj   
Extension fdcgdnkidjaadafnichfpabhfomcebme 0 VPN бесплатно ZenMate - Free VPN Chrome 8.0.4.0
Extension felcaaldnbdncclmgdcncolpebgiejap 1 Таблицы 1.2
Extension fihnjjcciajhdojfnbdddfaoknhalnja 0 I don't care about cookies 3.3.4
Extension fkacncdmmhhlkcjoijpbecoppfcopnac 0  
Extension gfdkimpbcpahaombhbimeihdjnejgicl 1 Feedback 1.0
Extension ghbmnnjooekpmoecnnnilnnbdlolhkhi 1 Google Документы офлайн 1.35.0
Extension hmjkmjkepdijhoojdojkdfohbdgmmhki 1 Google Keep – заметки и списки 4.21422.540.1
Extension jccapkebeeiajkkdemacblkjhhhboiek 1 Crust Wallet 1.0.6
Extension jckckhfpbopkekhboahohhhdlgjhpbhf 1 Управление  проектами, задачами, клиентами 15.41.4.1
Extension kbfnbcaeplbcioakkpcpgfkobkghlhen 0 Grammarly for Chrome 14.1036.0
Extension kmendfapggjehodndflmmgagdbamhnfd 1 CryptoTokenExtension 0.9.74
Extension lbdmhpkmonokeldelekgfefldfboblbj 0 Доступ к Рутрекеру 3.3
Extension lbfehkoinhhcknnbdgnnmjhiladcgbol 1 Веб-клиент Evernote 1.0.8
Extension lphicbbhfmllgmomkkhjfkpbdlncafbn 1 LetyShops — кэшбэк-сервис 2.10.57
Extension meffiamonaniekghongncpepaaecfoki 1 Mail.ru Checker 3.3.6
Extension mfehgcgbbipciphmccgaenjidiccnmng 1 Cloud Print 0.1
Extension mgndgikekgjfcpckkfioiadnlibdjbkf   
Extension mhjfbmdgcfjbbpaeojofohoefgiehjai 1 Chrome PDF Viewer 1
Extension neajdppkdcdipfabeoofebfddakdcjhd 1 Google Network Speech 1.0
Extension ngcldkkokhibdmeamidppdknbhegmhdh   
Extension nihpfpbibfgpgnfpbfedkdokihggapoi 1 Hello, Goodbye 1.5.13
Extension niloccemoadcdkdjlinkgdfekeahmflj 0 Save to Pocket 4.0.1
Extension nkbihfbeogaeaoehlefnkodbefgpgknn 1 MetaMask 10.3.0
Extension nkeimhogjdpnpccoofpliimaahmaaome 1 Google Hangouts 1.3.16
Extension nmmhkkegccagdldgiimedpiccmgmieda 1 Платежная система Интернет-магазина Chrome 1.0.0.6
Extension oeopbcgkkoapgobdbedcemjljbihmemj 1 Checker Plus for Gmail™ 22.9
Extension omehaopbmkbpcpbgldgooblpgehpldfl   
Extension pioclpoplcdbaefihamjohnefbikjilc 0 Evernote Web Clipper 7.14.0
Extension pjkljhegncpnkpknbcohdijeoejaedia   

Одних только блокировщиков сколько. Они у вас там друг с другом не конфликтуют?

Отключите для теста все и проверьте проблему.

 

 

Изменено 1 ноября, 2021 пользователем regist

[Роман2444]

3 часа назад, regist сказал:

Одних только блокировщиков сколько. Они у вас там друг с другом не конфликтуют?

Блокировщики не конфликтуют. Это Хром браузер, все расширения стоят эти уже давно, новых не ставил, кроме криптокошельков, но они с официальных сайтов.

Я ошибку обнаружил, копируя данные кошелька через Edge. Но сейчас специально проверил - сохранил кошельки в блокнот пару часов назад и с него сейчас скопировал, вставил в Телеграм для примера - адрес заменился вирусом.

Просто я на браузер грешил, выход, что вирус все же на компе, он влияет в общем на буфер обмена.

Базы всех антивирусов обновлял до последних, в Касперском запускал самую долгую проверку на 4 часа. Полтергейст какой то. 

Может быть можно как то осуществить поиск текста во всех файлах, ведь адрес поддельного кошелька известен.
 

Изменено 1 ноября, 2021 пользователем Роман2444

[regist]

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

[Роман2444]

11 часов назад, regist сказал:

Отчёт прикрепите к сообщению.

Прикрепляю отчет.
По поводу обнаружений в нем:

1. C:\$RECYCLE.BIN - походу корзина, если я не ошибаюсь

2. AUSLOGICS BOOSTSPEED - эта программа стоит уже 2 года, это ее кряк

3. PHOENIXMINER_5.6C_WINDOWS - это майнер Ефириума, работает уже более полугода.

4. AVS4YOU - кряк программы

Спасибо

scan.txt

[regist]

01.11.2021 в 20:59, Роман2444 сказал:

Может быть можно как то осуществить поиск текста во всех файлах, ведь адрес поддельного кошелька известен.

Осуществить в теории можно, только проку от этого не будет.

1) По ряду причин даже если искать в нужном файле этот кошелёк может не найтись.

2) Для того чтобы проверить все файлы в том числе и бинарные уйдёт наверно несколько лет.

 

Тут просто ещё трудность, что надо искать майнер среди ваших "легальных" майнеров. И в теории такая закладка может быть и в одном из них.

Собственно мне видится два варианта поиска решений.

1) Самый простое. Это загружаетесь в безопасный режим. Копируете с блокнота кошелёк и вставляете его к примеру тот же блокнот или телеграмм. Смотрите будет проблема или нет. Если не будет, то потом методом исключения можно будет выявить программу которая запускается и перехватывает из буфера.

2) Можно попробовать отмониторить перехват буфера. На всякий случай сразу дам инструкцию:

Закройте все остальные программы (максимально всё что можно выгрузите из трея и т.д., чтобы в процессах поменьше висело). Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему, для этого запустите AutoLogger с зажатой кнопкой Shift.  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, , File.Karelia).