Показано с 1 по 15 из 15.

Майнинг, подмена номера адреса в буфере обмена на 0xc865ce8bc2284a50ab9bb0983d35fa9927e01415 [Trojan.Win64.Miner.hiz] (заявка № 220384)

  1. #1
    Junior Member Репутация
    Регистрация
    27.09.2018
    Сообщений
    9
    Вес репутации
    21

    Майнинг, подмена номера адреса в буфере обмена на 0xc865ce8bc2284a50ab9bb0983d35fa9927e01415 [Trojan.Win64.Miner.hiz]

    Использую майнинг и пул MiningPoolHub, с которого деньги выводятся на кошелёк биржи, адрес которого я должен проставить в настройках на сайте пула. Но, при попытке проставить адрес, я замечаю что из буфера обмена вставляется другой - 0xc865ce8bc2284a50ab9bb0983d35fa9927e01415 ETC. Пул это не принимает и настройку не изменяет, вероятно потому - что тамошние админы добавили этот адрес в пиратский. Пробовал делать на другой машине - всё прошло хорошо. Заключаю - что мой комп завирусован, и висит троян - который подменяет адрес. Незадолго до этого использовал биржевые программы сомнительного происхождения, после чего начались непонятные проблемы. Система W10x04, антивирус Comodo. Грузился с лайва и чистил систему CureIt-ом, который что-то нашёл - файлы я удалил, "непонятные проблемы" исчезли, но подстановка адреса осталась. По здешним требованиям выполнил процедуру проверки, чего лог прилагаю. CureIT и Comodo эту прогу не находят.

    К указанному могу добавить что во время сбора информации перезагрузки небыло и сломался HiJackThis, о чём скрин прилагаю.
    Из подозрительного на компе есть такое:
    kiss_9kb.1538039129.png

    было:
    kiss_33kb.1538039244.png



    Прошу помочь разобраться.
    Изображения Изображения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Levontay, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\users\lev\appdata\roaming\amd64_microsoft-windows-eventlog_31bf3856ad364e35_10.0.17134.137_none_be7b7b6d68e2070c\wfdprov.exe');
     QuarantineFile('c:\users\lev\appdata\roaming\amd64_microsoft-windows-eventlog_31bf3856ad364e35_10.0.17134.137_none_be7b7b6d68e2070c\wfdprov.exe', '');
     QuarantineFile('C:\Users\Lev\AppData\Roaming\IFSUtilityyDLL.exe', '');
     DeleteFile('C:\Users\Lev\AppData\Roaming\IFSUtilityyDLL.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "BANANZA" /F', 0, 15000, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 3, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Запустите HijackThis, расположенный в папке Autologger и пофикситеWindows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Отправить в OneNote - C:\Program Files (x86)\Microsoft Office\Office16\ONBttnIE.dll (file missing)
    O22 - Task: (disabled) IFSUtilityyDLL - C:\pack\dllhoste.exe (file missing)
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    27.09.2018
    Сообщений
    9
    Вес репутации
    21
    Получилось сделать UVZ - по всей видимости из-за того - что, по рекомендации, я сначала запускал это от имени администратора, и, кажется, у меня была перегрузка под администратором, и ничего из этого не получилось, а сейчас я запустил не от администратора - просто энетер нажал, и команда сработала и отчёт создался, - прилагаю.

    ************************************

    Дополнительно скажу что работая с HijackThis, я потёр автозагрзку и др. Потёрся антивирус Comodo, и др. Антивирус зачистить полностью не удалось - новый не устанавливается - говорит что уже установлен, идите в диалог системы установки и удаления программ, а там ничего нет, и чистилки и зачистка реестра успеха не принесла - я инсталлировал Касперского, и он при обязательной естественной чистке чего-то начистил, в том числе и "wfdprof", о котором я писал в первом посте, он в нём распознал скрытого майнера, что, в принципе правдоподобно. Comodo его не узнавал но помещал в облачную зону.

    ************************************

    Карантиный отчёт от AVZ я отсылал ранее.
    Пост об HijackThis и др. писал, он был отправлен на проверку модератору и здесь не появился, хотя появился поздний пост.

    HijackThis у меня отработал и я поставил галочки на всех указанных пунктах - а их больше ста. Я хочу сказать - что так прописано в рекомендациях, в описании, новичёк впервые читающий текст - именно так и понимает, более опытный поймёт - что речь шла не о них, но по первому разу мы не такие - хорошо бы подправить текст рекомендаций.
    Вложения Вложения
    Последний раз редактировалось Levontay; 01.10.2018 в 08:01.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Levontay Посмотреть сообщение
    Теперь не понятно - сойдёт ли сделаное HijackThis-ом? Или возвращать изменения? - краем глаза я прочитал об такой возможности. Ведь вместе со всеми я отметил и необходимые две. Это вопрос.
    восстановите все строки кроме этих
    Код:
    O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
    O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
    O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Отправить в OneNote - C:\Program Files (x86)\Microsoft Office\Office16\ONBttnIE.dll (file missing)
    O22 - Task: (disabled) IFSUtilityyDLL - C:\pack\dllhoste.exe (file missing)
    O22 - Task: (disabled) MultiBot - D:\Lev\Бизнес\Биржи\Боты, советники, роботы\MultiBot\MultiBot\bot.exe (file missing)
    O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
    O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\compattelrunner.exe (file missing)
    O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\ProgramDataUpdater - C:\Windows\system32\compattelrunner.exe -maintenance (file missing)
    O22 - Task: (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\Consolidator - C:\Windows\System32\wsqmcons.exe (file missing)
    O22 - Task: OneDrive Standalone Update Task-S-1-5-21-4238808964-4287720699-3372247341-1001 - C:\Users\Lev\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
    O22 - Task: \Microsoft\Windows\Device Information\Device - C:\Windows\system32\devicecensus.exe (file missing)
    O22 - Task: \Microsoft\Windows\Feedback\Siuf\DmClient - C:\Windows\system32\dmclient.exe (file missing)
    O22 - Task: \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload - C:\Windows\system32\dmclient.exe utcwnf (file missing)
    O22 - Task: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\Program Files\Windows Defender\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
    O22 - Task: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\Program Files\Windows Defender\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
    O22 - Task: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\Program Files\Windows Defender\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 (file missing)
    O22 - Task: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\Program Files\Windows Defender\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
    O22 - Task: \Microsoft\Windows\Windows Error Reporting\QueueReporting - C:\Windows\system32\wermgr.exe -upload (file missing)
    потом сделайте свежий лог uVS.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Уточняю:
    Код:
    C:\MO\CLAYMORE\ETHDCRMINER64.EXE
    Ваш майнер?
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    27.09.2018
    Сообщений
    9
    Вес репутации
    21
    - это доверенный майнер, с ним всё в порядке.
    Пиратский майнер -
    C:\Users\***\wfdprof.exe

  9. #8

  10. Это понравилось:


  11. #9
    Junior Member Репутация
    Регистрация
    27.09.2018
    Сообщений
    9
    Вес репутации
    21
    "Error! Backup entry no longer exst" - по всей видимости физически этого не существует. Некоторые проги я переинсталлировал - достаточно доберительные. Многое из рекомендованого к восстановлению не восстанавливал намеренно - понимая сут происходящего. Щас сделаю отчёт.

    - - - - -Добавлено - - - - -

    HijackThis восстановил записи в реестре, в следствие чего у меня восстановился "Comodo Sequrity" и перестал работать Каспер. Комодо блокирует работу проги UVZ, и помещает её в контейнер, в следствие чего я не могу получить отчёт, хотя прога, по всей видимости, отрабатывает. В Комодо имеются контейнерские файлы - скрин прилагаю. В нём два последних файла относятся к UVZ, и пометить их как "доверенные" не получается, хотя на нужном пункте выпадающего меню я кликаю. Чё делать?
    Изображения Изображения

  12. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Попробуйте удалить оба антивируса, похоже, они работают некорректно. И сделайте новый полный образ автозапуска UVS. Не получится - делайте в безопасном режиме.
    WBR,
    Vadim

  13. #11
    Junior Member Репутация
    Регистрация
    27.09.2018
    Сообщений
    9
    Вес репутации
    21
    Нашёл ещё вот:
    kiss_2kb.1538544305.png
    Два файла (копии одного назначения) с сигнатурой MZ, помечены как заблокированые.

    - - - - -Добавлено - - - - -

    Вот новый отчёт об автозагрузке (в безопасном режиме сделал):
    https://cloud.mail.ru/public/9DmM/t8o6xp97X

    У вас какой-то уникальный интерфейс форума: конечно нужно его делать "уникальным", но не в худшую сторону. Среди всего, конкретно создаёт проблему не возможность удалить ранее загруженые файлы, и ограничение в мегабайт не позволило мне загрузить ещё один отчёт, так что я его помещаю через сторонний сервер.

  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Удаление вложений - не самая сложная операция, но интуитивно непонятная, согласен.

    Не вашего майнера в образе не видно. Если он в виде файла присутствует - просто удалите, он неактивен.

    Антивирус Касперского после отката никак не присутствует в автозагрузке, фактически он не установлен в системе, потому и не работает. Удалите все его папки.

    У Комодо отсутствует файл
    C:\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CISTRAY.EXE
    Возможно, и другие компоненты, отсюда и проблемы.
    WBR,
    Vadim

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Levontay Посмотреть сообщение
    "Error! Backup entry no longer exst"
    просьба, заархивируйте и прикрепите папку Backup которая находится рядом с HijackThis.exe

  16. #14
    Junior Member Репутация
    Регистрация
    27.09.2018
    Сообщений
    9
    Вес репутации
    21
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Удаление вложений - не самая сложная операция, но интуитивно непонятная, согласен.
    Я вас не просил стебаться. Этой операции нет в диалоге управления вложениями при создании сообщений, как во всех нормальных сайтах.

    - - - - -Добавлено - - - - -

    https://cloud.mail.ru/public/8WxH/ABGcXAGf7

    Слушайте - ну ваши ограничения задолбали - для моего типа файлов разрешено загружать 4,77 мегабайта.

  17. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\lev\appdata\roaming\amd64_microsoft-windows-eventlog_31bf3856ad364e35_10.0.17134.137_none_be7b 7b6d68e2070c\wfdprov.exe - Trojan.Win64.Miner.hiz ( BitDefender: Gen:Trojan.Heur.AutoIT.2, AVAST4: Win32:Malware-gen )

  • Уважаемый(ая) Levontay, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 16.08.2018, 16:03
    2. Подмена кошелька BTC в буфере
      От fx 00 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.01.2017, 13:27
    3. Ответов: 16
      Последнее сообщение: 10.01.2014, 22:09
    4. Подмена номера Я-кошелька при copy-paste
      От hash в разделе Помогите!
      Ответов: 34
      Последнее сообщение: 22.02.2009, 02:14
    5. замена номера кошелька webmoney в буфере
      От fil в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01518 seconds with 20 queries