Подмена криптокошельков в буфере обмена

Здравствуйте! Прошу вашей помощи, т.к. впервые столкнулся с подобным, а знаний как побороть не хватает.
Завёлся у меня на ПК (ноутбук) какой-то зверь, что подменяет в буфере адрес (ZEC, LTC, DOGE) моих криптокошельков на свои. Остальные кошельки (BTC, ETC, AVAX и тд) не подменяются.
Месяца 1.5-2 не использовал крипту, вообще не взаимодействовал. Сегодня подключил Ladger (аппаратный кошелек) и зашел в приложение Ladger Live. Хотел перевести крипту с биржи себе на кошелек. Зашел на биржу, выбрал крипту для переводу, вернулся в Ladger Live, выбрал нужный счёт и нажал "получить" (после чего леджер производит ряд процессов проверки и выдает адрес моего кошелька), сверил полученный кошельков в приложении с тем, что отображается на самом Леджере. Всё совпало. Нажал "скопировать" адрес в приложении и оно выдало мне сообщение "адрес в буфере обмена не соответствует адресу кошелька", вставил из буфера обмена адрес в блокнот\поисковик в браузере\на бирже и везде осуществилась подмена моего кошелька на кошелек злоумышленника (если на 1 символ в кошельке больше или меньше, то подмены не происходит).

Использовал Malwarebytes, Dr.Web Cureit, TDSSKiller (кроме KMS -активировал ими МайкрософтОфис ничего не нашло. На это не грешу так как пользуюсь уже более 2ух лет).

Прошу помощи, да и самому интересно разобраться. Заранее спасибо, надеюсь на ответ!

Вложения

AutoLogger.rar (16.26 Мб, 8 просмотров)

0

Вот

Вложения

CollectionLog-2023.01.27-21.21.zip (69.2 Кб, 17 просмотров)

0

Здравствуйте!

Файл

c:\users\alx\appdata\roaming\win32sync\s vcupdater.exe

закачайте на www.virustotal.com и ссылку на результат анализа дайте в следующем вашем сообщении.

1

Здравствуйте, простите, что не дождался. Вчера ночью искал сам возможные варианты отслеживания программ, "захватывающих" буфер.
В итоге наткнулся на два варианта:
1. covert - программа. Платная.
2. Mask S.W.B Pro - вроде как платная, но активировалась бесплатно у меня (наверное временно).
НО перед этим скачал Security Task Manager и в нём обнаружил подозрительную активность как раз на
этом экзешнике (там много чего было подозрительно по мнению программы, но я понимал, что это обычные приложения по хар-ам схожие с шпионами).
В общем, прогнал его через вирус тотал, ничего не обнаружил. Пошёл от обратного, т.к. у меня проблемы с ВПН сейчас (использовал ПРОТОН), стал искать драйвера для адаптера TUN. Скачал с сайта wintun .net библиотеку wintun.dll (она зарегистрировалась, но не видела точку входа), потом скачал ещё какой то драйвер, но там был экзешник с установкой драйверхаба (или что то вроде того), тогда я его удалил.
После этого, уже поздно ночью потёр и wintun из c:/windows/syswow64 и этот злополучный svcupdater. exe и запустил программу Mask S.W.B Pro. Проблема с буфером исчезла.
Сейчас запустил ноутбук, проблемы нет;
включил интернет, проблемы нет.
По всей видимости этот svcupdater. exe как раз из того самого драйверхаба и пролез. К сожалению не могу его теперь через virustotal прогнать, но сто процентов он мне показал, что угроз 0.
В любом случае спасибо вам огромное, что по логам обнаружили. Я не смог.
Буду признателен если подскажите куда там нужно было смотреть и на что обращать внимание (в логах) буду премного благодарен!
Вот новые логи.

Вложения

CollectionLog-2023.01.28-13.07.zip (65.5 Кб, 2 просмотров)

0

Внимание! Рекомендации написаны специально для пользователя alx63. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Пофиксите в HijackThis следующие строчки:
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

1

отчеты FRST.txt и Addition.txt

Вложения

FRST Addition.rar (21.6 Кб, 5 просмотров)

0

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Code

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {0207FFB5-0AD9-4836-8300-483A1BC145A2} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ Virustotal: C:\Users\alx\AppData\Roaming\B6sMve1L.exe 2023-01-21 20:34 - 2023-01-21 20:34 - 000054272 _____ () C:\Users\alx\AppData\Roaming\53C2U4fA.exe 2023-01-21 20:34 - 2023-01-21 20:35 - 006974464 _____ (iTop Inc.) C:\Users\alx\AppData\Roaming\B6sMve1L.exe 2023-01-21 20:35 - 2023-01-21 20:45 - 201558016 _____ (IObit) C:\Users\alx\AppData\Roaming\u52Q1CbX.exe AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [131] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [139] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

0

Готово

Вложения

Fixlog.txt (4.5 Кб, 6 просмотров)

0

Пожалуйста, ещё один небольшой скрипт выполните.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Code
  1 2 3 4 Start:: Zip: C:\Users\alx\AppData\Roaming\B6sMve1L.exe C:\Users\alx\AppData\Roaming\B6sMve1L.exe End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

0

Отправил

0

Сообщение от Sandor Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Похоже в карантин не попало, т.к. архив пустой.
Физически указанный файл есть в папке?

0

Сообщение от Sandor Похоже в карантин не попало, т.к. архив пустой. Физически указанный файл есть в папке?

B6sMve1L.exe отсутствует (через обычный поиск нашел в C:\FRST\Quarantine\C\Users\alx\AppData\R oaming), а svcupdater. exe я ещё ночью с 27.01 на 28.01 удалил.
Так же по пути C:\FRST\Quarantine\C\Users\alx\AppData\R oaming обнаружил u52Q1CbX.exe и 53C2U4fA.exe

0

Ладно, попадётся ещё

Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

0

Готово.

Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

стоит удалить? Скачивал с rutracker программу для видеомонтаж, что это за Хелпер не знаю, но был с ней.

Вложения

SecurityCheck.txt (12.9 Кб, 3 просмотров)

0

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.592.18362.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба остановлена
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Node.js v.16.14.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
WinRAR 6.02 (32-bit) v.6.02.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 6.2 v.6.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.0.4 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.001.20149 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v5.76.8269 v.5.76.8269 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Сообщение от alx63 Скачивал с rutracker программу для видеомонтаж

Оттуда и идёт большинство современных заражений. Так что совет удалить - актуален.

Читайте Рекомендации после удаления вредоносного ПО

1

Благодарю за помощь!

1