Вирус подменяет кошельки криптовалют
Ситуация такая. Поймал на комп вирус который подменяет кошельки криптовалют при копировании и вставке.
Допустим, копирую свой криптовалютный кошелёк и вставляю в текстовый файл или в браузере для отправки коинов. А вставляется совсем другой, чужой кошелёк. При отправке,монеты отправляются на чужой кошелёк который был подменён при копировании и вставке
Логи прикрепляю
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) alnikor, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:Удалите программу Windows Doctor.Код:O22 - Task (.job): (Ready) Windows Doctor - Memory Defrag.job - C:\Program Files (x86)\Windows Doctor\memoryrun.exe (file missing) O22 - Task (.job): Trojan Remover.job - C:\Program Files\Loaris Trojan Remover\ltr.exe (file missing) O22 - Task: Microsoft LocalManager[Windows 7 Ultimate] - C:\ProgramData\{07032967-0703-0703-070329678451}\lsm.exe (file missing) O22 - Task: Windows Doctor - Memory Defrag - C:\Program Files (x86)\Windows Doctor\memoryrun.exe (file missing)
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Всё сделал как описано выше. Файлы прикрепил
запускали? Очень нехороший детект.Код:D:\RDP BRUTE 1.6 CRACK\RDP BRUTE 1.6 CRACK\RDP BRUTE.EXE
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c deltmp delref SMR521\[SERVICE] delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[BVTFILTER] apply restart
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Всё сделал как описано, логи прикрепил
Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
В меню Настройки отметьте:
Сброс политик IE
Сброс политик Chrome
Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в файле: C:\AdwCleaner\Logs\AdwCleaner[C00].txt., прикрепите его к сообщению.
Проблема актуальна? Адреса кошельков копируете в FireFox? Запускаете его в песочнице? В других браузерах пробовали?
WBR,
Vadim
Всё сделал. Логи прикрепил. Проблемы больше нет. Всё копируется и встявляется корректно. Подмены адресов не наблюдаю
Ранее, подмена была при копировании адреса и вставке его в любой браузер, текстовый файл. Подменялся на чужой криптовалютный адрес кошелька
Теперь, пока всё нормально
Были следы трояна в системе, пофиксили сразу в HijackThis.
В Adwcleaner меню Настройки -> Удалить AdwCleaner - выберите Удалить.
Всё на этом.
Уважаемый(ая) alnikor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
