Перейти к содержанию
Правила раздела

[РЕШЕНО] Подмена кошелька на сайте https://www.binance.com/ru

Denis735

Автор Denis735
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Denis735

Denis735

Опубликовано
Опубликовано

Здравствуйте

Обнаружил на компьютере данную проблему, при входе под учетной записью на сайт https://www.binance.com/ru, выдается один какой то кошелек (видимо злоумышленника), при входе на другом комп/ноутбуке/смартфоне - отображается мой кошелёк. Так же на этом "зараженном" компьютере выдается такое сообщение (скрин прилагаю). И сайт бинанс не отображает ввод пароля

Пробовал проверку на вирусы разными программами, переустанавливал браузер Мазила, толку нет. Подмена кошелька и других симптомов происходит на любом браузере данного компьютере

Telegramm Web.PNG

WhatsApp.PNG

Binance.PNG

VMware.PNG

  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    18

  • Denis735

    18

Топ авторов темы

Популярные посты

Sandor
Sandor

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и т

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\python.exe', '');
 DeleteSchedulerTask('C:\WINDOWS\Task\python.job');
 DeleteSchedulerTask('python');
 DeleteSchedulerTask('vmplayer');
 DeleteSchedulerTask('vmplayer.job');
 DeleteFile('C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe');
 DeleteFile('C:\Users\User\AppData\Roaming\python.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\python.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-606894741-397770841-3721479939-1001\...\MountPoints2: {1a57dad3-68ae-11ea-86ae-f01e34148502} - "E:\setup.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3DBA599A-293D-4EA6-83E0-7036A2B85FB9} - System32\Tasks\python => C:\Users\User\AppData\Roaming\python.exe [95760 2020-10-05] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
Task: {F4066239-8FB5-418D-B4E6-AF318F9ED200} - System32\Tasks\vmplayer => C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe [2691736 2021-12-15] () [Файл не подписан] [Файл уже используется]
Task: C:\WINDOWS\Tasks\python.job => C:\Users\User\AppData\Roaming\python.exe <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\vmplayer.job => C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe
2021-12-09 08:45 - 2021-12-13 08:18 - 000000318 ____H C:\WINDOWS\Tasks\python.job
2021-12-09 08:45 - 2021-12-09 08:45 - 000003290 _____ C:\WINDOWS\system32\Tasks\python
2021-12-09 08:44 - 2021-12-20 09:08 - 004454416 _____ C:\Users\User\AppData\Roaming\python39.dll
2021-12-09 08:44 - 2020-10-05 17:47 - 000000079 _____ C:\Users\User\AppData\Roaming\python39._pth
2021-12-09 08:44 - 2020-10-05 17:46 - 000095760 _____ C:\Users\User\AppData\Roaming\python.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт достаточно было выполнить один раз.

Можете проверить воспроизводится ли сейчас проблема?

Denis735

Denis735

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Скрипт достаточно было выполнить один раз.

Можете проверить воспроизводится ли сейчас проблема?

В первый раз я запустил ИСПРАВИТЬ а скрипт не вставил, извиняюсь

Sandor

Sandor

Опубликовано
Опубликовано

Вставлять и не нужно было, он выполняется из буфера обмена.

Denis735

Denis735

Опубликовано
  • Автор
Опубликовано

Так же не могу зайти на сайт, нет полей ввода логина и пароля

 

Binance20122021.PNG

Denis735

Denis735

Опубликовано
  • Автор
Опубликовано
15 часов назад, Sandor сказал:

Это FF, а через другой браузер также?

Зашёл через Edge, всё хорошо! Логин спрашивает, кошель исправился, хотя был другой до наших с вами действий.

С FF ничего не сделаешь?

И самый главный вопрос, что было и как от этого защититься, т.к. антивирусы (Защитник, Dr.Web CureIt!, KVRT и диск krd) ничего не нашли??

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...