несанкционированный перевод криптовалюты из кошелька

Две недели назад столкнулся со странным действием в кошельке MetaMask, перевод выполненный мне тут же отправлялся на другой адрес всей полученной суммой. Я это списал на неблагонадежность браузерного расширения и возможно невнимательным прочтением подписываемого разрешения. Через некоторое время мне поступил перевод на десктопный кошелек (об этой транзакции я получил сообщение по электронной почте). После того как я проверил кошелек я обнаружил такой же сценарий - сразу после зачисления перевода, вся сумма была отправлена по неизвестному мне адресу. Кошелек не включался, ключей и seed фразы никому не сообщал. После проверки компьютера антивирусными программами (Windows Defender, Malwarebytes) никаких подозрительных программ и файлов не обнаружил (кроме тех о которых я знаю, что это такое - keygen-ы, patch-енные экзешники, майнерские программы и программы очистки реестра, они у меня стоят давно и никаких эксцессов от них не было) В AppData обнаружил папку о которой я не знаю от чего она и её функционал - "Sentry" она установлена не мной и дата установки очень близка к событиям с кошельками. Погуглив о назначении этой программы "[COLOR=#111111][FONT=-apple-system]Сервис [/FONT][/COLOR][I]Sentry[/I][COLOR=#111111][FONT=-apple-system] позволяет удаленно мониторить баги в фронтенд-приложениях, написанных на [/FONT][/COLOR][I]JavaScript"[/I][COLOR=#111111][FONT=-apple-system] То есть вроде бы это и не зловред которого могут обнаружить антивирусы, НО я её не устанавливал точно ( мне она не нужна) и удалённый мониторинг java приложений (крипто кошельки и являются java приложениями) на моём компьютере совсем мне не нужен. Поэтому я обращаюсь к специалистам чтобы мне объяснили и помогли решить эту проблему. Кто может отправить из кошелька к которому нет доступа ни у кого кроме меня, автоматический перевод средств мгновенно после получения их.[/FONT][/COLOR]

Уважаемый(ая) [B]Гоша_Тумукщм[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

логи сканирования FRST

Папка Sentry присутствует до сих пор на компьютере?

Проблема проявляется, когда определённый браузер запущен, или неважно?

Сделайте ещё такой лог.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

Я поиском нашел следы SENTRY ещё в в других каталогах

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Vvvyg;1527266]Папка Sentry присутствует до сих пор на компьютере?

Проблема проявляется, когда определённый браузер запущен, или неважно?[/QUOTE]

сюдя по результатам поиска sentry присутствует и в chromе и в edge. В Brave нету..

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

лог uVS

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

по ссылке поиска зашел в папку C:\Users\idlej\AppData\Local\0install.net\implementations в которой расположены такие папки.. полистал это папки приложения DeepL (переводчик как заявляется) поэтому следы его и есть в браузерах, установлено расширение Deepl/ решил удалить все эти хвосты. Хотя может и не от него ущерб, но когда его не было у меня ничего не пропадало никогда, да еще таким изощрённым способом. Да что интересно - есть файл txt с инструкцией по удалению этого чудесного переводчика почему то через командную строку... с такой командой icacls C:\Users\idlej\AppData\Local\0install.net\implementations /t /q /c /reset; rm -Recurse C:\Users\idlej\AppData\Local\0install.net\implementations если приложение поставлено, то его можно удалить через "удаление программ" а вовсе не таким странным способом

Это приложение Deepl, удалите его штатно, через установку и удаление программ.

ну приложение Deepl я удалю. А где следы переводчика монет с моего кошельков? Никакие сканирования ничего не выявили.. ? надо попробовать еще раз отправить монеты, чтобы остались следы неконтролируемых активностей?

В Brave есть расширение Crypto Wallets, установленное, или обновлённое ровно в тот день, когда был установлен переводчик, уверены в нём.
Я бы рекомендовал переустановить расширения, почистить куки/кэши браузеров, потом уже пробовать.

[QUOTE=Vvvyg;1527294]В Brave есть расширение Crypto Wallets, установленное, или обновлённое ровно в тот день, когда был установлен переводчик, уверены в нём.
Я бы рекомендовал переустановить расширения, почистить куки/кэши браузеров, потом уже пробовать.[/QUOTE]
так то их внутренний кошелек, для зачисления за просмотр рекламы.. я им не пользовался. А установил возможно в один день с переводчиком. Но я же объяснил что не только metamask в chrome перевел монеты пришедшие, но не связанный с metamask десктопный кошелек с другой фразой и через значительный промежуток времени совершил ровно такое же действие ( перевел поступившие монеты ) значит дело не браузере.

Проблема появилась в конце января, так?

Сделайте новые логи Farbar Recovery Scan Tool, установив галку "Файлы за 90 дней".

да первые 2 транзакции из metamask пропали (Jan-27-2023 03:25:31 PM +UTC) второй раз из другого кошелька Date 02/17/2023 1:03 AM


логи FRST за 90 дней

Ясности не добавило.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
2023-03-10 13:59 - 2023-03-10 13:59 - 000000000 ____D C:\ProgramData\0install.net
2023-01-28 12:51 - 2023-03-10 14:15 - 000000000 ____D C:\Users\idlej\AppData\Local\0install.net
2023-01-28 12:51 - 2023-01-28 12:52 - 000000000 ____D C:\Users\idlej\AppData\Roaming\0install.net
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [145]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [141]
StartBatch:
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Результаты исправления FRST и сканирования TDSSKiller

Понятно уже, что по логам ничего не находится. Скорее всего, утягивают данные из буфера обмена.

Есть [URL="https://covert.ru/portfolio-view/covert-direct-copying/"]интересная программа[/URL], которая может помочь в анализе, но платная.

[QUOTE=Vvvyg;1527333]Понятно уже, что по логам ничего не находится. Скорее всего, утягивают данные из буфера обмена.

Есть [URL="https://covert.ru/portfolio-view/covert-direct-copying/"]интересная программа[/URL], которая может помочь в анализе, но платная.[/QUOTE]


ну допустим не понятно какой скрипт делает эти переводы, а вообще как это возможно настроить в кошельке автоматический перевод при зачислении? я понимаю когда на сайте есть доступ по API и любой имеющий ключ получает управление, но откуда может быть доступ к кошельку и как отслеживаются поступления, причём разных монет и в разные кошельки.

Я, к сожалению, про крипту и инструменты работы с ней знаю только, что они есть ( Поэтому толком не могу ничего посоветовать. Разные кошельки - доступ к ним через браузер, или отдельную программу?
С телефона этим добром управляете?

[QUOTE=Vvvyg;1527358]Я, к сожалению, про крипту и инструменты работы с ней знаю только, что они есть ( Поэтому толком не могу ничего посоветовать. Разные кошельки - доступ к ним через браузер, или отдельную программу?
С телефона этим добром управляете?[/QUOTE]

кошелек это отдельное приложение и к браузеру он не имеет привязки. Есть кошельки сделанные как расширение браузера и возможно там и есть какие -то утечки. Первый увод денег был как раз с браузерного кошелька (поэтому я и подумал о том что есть связь с установленным макросом в браузере, поэтому удалил скомпрометированное расширение) НО с десктопного отдельного приложения я никогда не слышал о возможности хищения, кроме если ты сам ошибешься адресом отправки или произойдет подмена адреса вирусом Trojan.Coinbitclip который как раз перехватывает содержимое буфера обмена, заменяя нужный адрес на адрес злоумышленика. НО это всё происходит при участии пользователя. Так же если была украдена фраза восстановления кошелька, его можно установить на другом компьютере или телефоне с полностью идентичным балансом и оттуда уже вывести средства.

запустил covert ни одного красного процесса не увидел, все желтые известные и никаких подозрительных в них не видно. Пробовал мониторить перехват буфера, как дано в описании никаких следов вмешательства посторонних процессов. CureIt нашел roboot.exe в не стандартном месте и измененный host/ исправил это. На этом получается всё?

Не думаю. Dr. Web на любой нестандартный hosts реагирует, а roboot.exe лежал себе и никого не трогал.

Сделайте проверку с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.

Отчёт KVRT

Кроме RegCleanPro и некоторых расширений MS Edge - ничего.

Сейчас проблема только с кошельками в приложении, или браузерными тоже?

[QUOTE=Vvvyg;1527372]Кроме RegCleanPro и некоторых расширений MS Edge - ничего.

Сейчас проблема только с кошельками в приложении, или браузерными тоже?[/QUOTE]
я еще не пробовал отправить - в десктопный кошелек поступили средства с фасета, в тот же период от события (3-5 дней ) но или они были незначительными, чтобы сработал механизм вывода или же монеты не были интересны, ну или может просто не хватило средств на комиссию. А что касается браузерного расширения, после проверок предпринятых мною антивирусными средствами кошелек metamask в браузере перестал запускаться ( не знаю совпадение это или же нарушилась какая то цепочка созданная для контроля кошелька) я его удалил. Попробую переустановить и произвести ввод. И надо же наверно вернуть все отключенные службы контроля?