Майнинг, подмена номера адреса в буфере обмена на 0xc865ce8bc2284a50ab9bb0983d35fa9927e01415 [Trojan.Win64.Miner.hiz]
Использую майнинг и пул MiningPoolHub, с которого деньги выводятся на кошелёк биржи, адрес которого я должен проставить в настройках на сайте пула. Но, при попытке проставить адрес, я замечаю что из буфера обмена вставляется другой - 0xc865ce8bc2284a50ab9bb0983d35fa9927e01415 ETC. Пул это не принимает и настройку не изменяет, вероятно потому - что тамошние админы добавили этот адрес в пиратский. Пробовал делать на другой машине - всё прошло хорошо. Заключаю - что мой комп завирусован, и висит троян - который подменяет адрес. Незадолго до этого использовал биржевые программы сомнительного происхождения, после чего начались непонятные проблемы. Система W10x04, антивирус Comodo. Грузился с лайва и чистил систему CureIt-ом, который что-то нашёл - файлы я удалил, "непонятные проблемы" исчезли, но подстановка адреса осталась. По здешним требованиям выполнил процедуру проверки, чего лог прилагаю. CureIT и Comodo эту прогу не находят.
К указанному могу добавить что во время сбора информации перезагрузки небыло и сломался HiJackThis, о чём скрин прилагаю.
Из подозрительного на компе есть такое: kiss_9kb.1538039129.png
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Levontay, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
Получилось сделать UVZ - по всей видимости из-за того - что, по рекомендации, я сначала запускал это от имени администратора, и, кажется, у меня была перегрузка под администратором, и ничего из этого не получилось, а сейчас я запустил не от администратора - просто энетер нажал, и команда сработала и отчёт создался, - прилагаю.
************************************
Дополнительно скажу что работая с HijackThis, я потёр автозагрзку и др. Потёрся антивирус Comodo, и др. Антивирус зачистить полностью не удалось - новый не устанавливается - говорит что уже установлен, идите в диалог системы установки и удаления программ, а там ничего нет, и чистилки и зачистка реестра успеха не принесла - я инсталлировал Касперского, и он при обязательной естественной чистке чего-то начистил, в том числе и "wfdprof", о котором я писал в первом посте, он в нём распознал скрытого майнера, что, в принципе правдоподобно. Comodo его не узнавал но помещал в облачную зону.
************************************
Карантиный отчёт от AVZ я отсылал ранее.
Пост об HijackThis и др. писал, он был отправлен на проверку модератору и здесь не появился, хотя появился поздний пост.
HijackThis у меня отработал и я поставил галочки на всех указанных пунктах - а их больше ста. Я хочу сказать - что так прописано в рекомендациях, в описании, новичёк впервые читающий текст - именно так и понимает, более опытный поймёт - что речь шла не о них, но по первому разу мы не такие - хорошо бы подправить текст рекомендаций.
Последний раз редактировалось Levontay; 01.10.2018 в 08:01.
Теперь не понятно - сойдёт ли сделаное HijackThis-ом? Или возвращать изменения? - краем глаза я прочитал об такой возможности. Ведь вместе со всеми я отметил и необходимые две. Это вопрос.
"Error! Backup entry no longer exst" - по всей видимости физически этого не существует. Некоторые проги я переинсталлировал - достаточно доберительные. Многое из рекомендованого к восстановлению не восстанавливал намеренно - понимая сут происходящего. Щас сделаю отчёт.
- - - - -Добавлено - - - - -
HijackThis восстановил записи в реестре, в следствие чего у меня восстановился "Comodo Sequrity" и перестал работать Каспер. Комодо блокирует работу проги UVZ, и помещает её в контейнер, в следствие чего я не могу получить отчёт, хотя прога, по всей видимости, отрабатывает. В Комодо имеются контейнерские файлы - скрин прилагаю. В нём два последних файла относятся к UVZ, и пометить их как "доверенные" не получается, хотя на нужном пункте выпадающего меню я кликаю. Чё делать?
Попробуйте удалить оба антивируса, похоже, они работают некорректно. И сделайте новый полный образ автозапуска UVS. Не получится - делайте в безопасном режиме.
У вас какой-то уникальный интерфейс форума: конечно нужно его делать "уникальным", но не в худшую сторону. Среди всего, конкретно создаёт проблему не возможность удалить ранее загруженые файлы, и ограничение в мегабайт не позволило мне загрузить ещё один отчёт, так что я его помещаю через сторонний сервер.
Удаление вложений - не самая сложная операция, но интуитивно непонятная, согласен.
Не вашего майнера в образе не видно. Если он в виде файла присутствует - просто удалите, он неактивен.
Антивирус Касперского после отката никак не присутствует в автозагрузке, фактически он не установлен в системе, потому и не работает. Удалите все его папки.
У Комодо отсутствует файл
C:\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CISTRAY.EXE
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: