Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Подмена кошелька на сайте https://www.binance.com/ru

Denis735

Автор Denis735
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Denis735 Новичок

Denis735

Опубликовано
Опубликовано

Здравствуйте

Обнаружил на компьютере данную проблему, при входе под учетной записью на сайт https://www.binance.com/ru, выдается один какой то кошелек (видимо злоумышленника), при входе на другом комп/ноутбуке/смартфоне - отображается мой кошелёк. Так же на этом "зараженном" компьютере выдается такое сообщение (скрин прилагаю). И сайт бинанс не отображает ввод пароля

Пробовал проверку на вирусы разными программами, переустанавливал браузер Мазила, толку нет. Подмена кошелька и других симптомов происходит на любом браузере данного компьютере

Telegramm Web.PNG

WhatsApp.PNG

Binance.PNG

VMware.PNG

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    18

  • Denis735

    18

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и т

Изображения в теме

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\python.exe', '');
 DeleteSchedulerTask('C:\WINDOWS\Task\python.job');
 DeleteSchedulerTask('python');
 DeleteSchedulerTask('vmplayer');
 DeleteSchedulerTask('vmplayer.job');
 DeleteFile('C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe');
 DeleteFile('C:\Users\User\AppData\Roaming\python.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\python.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-606894741-397770841-3721479939-1001\...\MountPoints2: {1a57dad3-68ae-11ea-86ae-f01e34148502} - "E:\setup.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3DBA599A-293D-4EA6-83E0-7036A2B85FB9} - System32\Tasks\python => C:\Users\User\AppData\Roaming\python.exe [95760 2020-10-05] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
Task: {F4066239-8FB5-418D-B4E6-AF318F9ED200} - System32\Tasks\vmplayer => C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe [2691736 2021-12-15] () [Файл не подписан] [Файл уже используется]
Task: C:\WINDOWS\Tasks\python.job => C:\Users\User\AppData\Roaming\python.exe <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\vmplayer.job => C:\Users\User\AppData\Local\BitTorrentHelper\crashdumps\1499\84167643\vmplayer.exe
2021-12-09 08:45 - 2021-12-13 08:18 - 000000318 ____H C:\WINDOWS\Tasks\python.job
2021-12-09 08:45 - 2021-12-09 08:45 - 000003290 _____ C:\WINDOWS\system32\Tasks\python
2021-12-09 08:44 - 2021-12-20 09:08 - 004454416 _____ C:\Users\User\AppData\Roaming\python39.dll
2021-12-09 08:44 - 2020-10-05 17:47 - 000000079 _____ C:\Users\User\AppData\Roaming\python39._pth
2021-12-09 08:44 - 2020-10-05 17:46 - 000095760 _____ C:\Users\User\AppData\Roaming\python.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Denis735 Новичок

Denis735

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Скрипт достаточно было выполнить один раз.

Можете проверить воспроизводится ли сейчас проблема?

В первый раз я запустил ИСПРАВИТЬ а скрипт не вставил, извиняюсь

Ссылка на комментарий
Поделиться на другие сайты
Denis735 Новичок

Denis735

Опубликовано
  • Автор
Опубликовано
15 часов назад, Sandor сказал:

Это FF, а через другой браузер также?

Зашёл через Edge, всё хорошо! Логин спрашивает, кошель исправился, хотя был другой до наших с вами действий.

С FF ничего не сделаешь?

И самый главный вопрос, что было и как от этого защититься, т.к. антивирусы (Защитник, Dr.Web CureIt!, KVRT и диск krd) ничего не нашли??

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей 1971
      Подмена букв при наборе текста
      Автор Андрей 1971
      Добрый вечер.
      При наборе текста в ворд, эксель, запросе в интернет происходит  автозамена буквы/цифры на сочетание букв. Суммарно по двум цифрам и четырем буквам. Пример:
      Вместо и - "0ыст ", вместо р - "жмюоб", вместо ш - "пл.ьв", вместо г - "нжщ"
      Замена цифры семь на "ех9дэ", восемь на "\6=0зъ"
       
      Dr.Web CureIt проблему не устранил.
      При открытии программы несколько знаков печатает как положено, потом опять подмена знаков.
       
      Похоже, дети, когда играли, скачали плагин. В Автозагрузке не выявил. Драйвер клавиатуры обновил."
       
      Если кто-то сталкивался, подскажите как исправить. Обязательно ли переустанавливать систему.
       
      С уважением, Андрей.
       
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
×
×
  • Создать...