12 ответов в этой теме

[hoz]

Уже пару неделю думаю над вопросом и, всё-таки, решился обратится сюда, на форум. Суть в том, что у меня в системе какой-то толи троян, то ли вирус, то ли что-то ещё. Антивирусы это не определяют.

Вот логи CureIt! и DrWeb SysInfo:

https://dropfiles.cloud/YMaqNSoubAHDldR/file

https://dropfiles.cloud/VIbNFqoCSPrpMkw/file

Вот видео, где видно как у меня подменяется кошелёк, который я копирую на бирже ByBit и вставляю прямо в строку браузера https://dropfiles.cloud/gtUEjxP9Mu2nd2Z/file

По сути, не смотря на то, что у меня какая-то хрень подменяет данные в оперативной памяти, антивирус этого не замечает. Возник вопрос, как это так и что можно с этим сделать? Ведь реально удивительно.

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Dmitry_rus]

При загрузке в безопасном режиме (с поддержкой сети) проблема воспроизводится?

Если копировать/вставлять из/в Блокнота, Ворда, Экселя - проблема воспроизводится, или воспроизведение только в браузере?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[hoz]

При загрузке в безопасном режиме (с поддержкой сети) проблема воспроизводится?

Если копировать/вставлять из/в Блокнота, Ворда, Экселя - проблема воспроизводится, или воспроизведение только в браузере?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Всё сделал как вы написали. Отчёты прикрепил.

Прикрепленные файлы:

•  Addition.txt   64,68К   11 Скачано раз
•  FRST.txt   47,72К   11 Скачано раз

[Dmitry_rus]

А ответы на вопросы будут? Они задавались не просто так.

[hoz]

А ответы на вопросы будут? Они задавались не просто так.

Я всё внимательно прочитал, вопросов никаких не было. Все указания, которые вы мне дали я выполнил. О каких вопросах вы вообще?

[Dmitry_rus]

Не всё, и невнимательно. Читайте еще раз.

===

При загрузке в безопасном режиме (с поддержкой сети) проблема воспроизводится?

Если копировать/вставлять из/в Блокнота, Ворда, Экселя - проблема воспроизводится, или воспроизведение только в браузере?

===

[hoz]

Не всё, и невнимательно. Читайте еще раз.

===

При загрузке в безопасном режиме (с поддержкой сети) проблема воспроизводится?

Если копировать/вставлять из/в Блокнота, Ворда, Экселя - проблема воспроизводится, или воспроизведение только в браузере?

===

Извиняюсь. Упустил..

При загрузке в безопасном режиме (с поддержкой сети) всё в порядке. Проблем не замечено.

Зато, в обычном режиме, не имеет значения откуда и куда копировать. Хоть с блокнота, хоть с телеграмма, хоть ещё откуда. Копируется тот же адрес. Причём, это касается не только кошельков. Даже ID, например, AnyDesk'а или даже некоторые предложения (но не часто) англоязычные, тоже не копируются (вставляется тот же самый криптокошелёк).

[Dmitry_rus]

Если в безопасном всё ок, то вспоминайте, какие программы/браузерные расширения устанавливали в последнее время.

Откат на одну из точек восстановления пробовали?

[hoz]

Если в безопасном всё ок, то вспоминайте, какие программы/браузерные расширения устанавливали в последнее время.

Откат на одну из точек восстановления пробовали?

Причём здесь браузерные расширения, если даже с блокнота копирование не корректное? С телеграмма - тоже самое..

Откатывать не пробывал. Хочу понять, в чём причина. Если просто откат, и не возможно найти причину и хоть как-то повлиять на ситуацию антивирусом, то проще всего систему переустановить. Но тогда возникает вопрос, зачем нужны антивирусы?

[Dmitry_rus]

Как видно из логов, ни установленный у вас Касперский, ни Cureit угроз не обнаруживают.

Причину найти, конечно, можно. Для этого потребуется отключить всё в автозагрузке, отключить все службы, кроме системных, затем включать по одной и наблюдать за ситуацией.

Т.к. в безопасном режиме (при минимуме загруженных программ и служб) симптомы не проявляются, то причина - в какой-то установленной программе/службе.

Антивирус (любой, любого производителя) - это не гарантия полной безопасности.

[hoz]

Как видно из логов, ни установленный у вас Касперский, ни Cureit угроз не обнаруживают.

Причину найти, конечно, можно. Для этого потребуется отключить всё в автозагрузке, отключить все службы, кроме системных, затем включать по одной и наблюдать за ситуацией.

Т.к. в безопасном режиме (при минимуме загруженных программ и служб) симптомы не проявляются, то причина - в какой-то установленной программе/службе.

Антивирус (любой, любого производителя) - это не гарантия полной безопасности.

Благодарю. По сути, я нашёл косяк. По крайне мере, скопировал с телеграмм кошелёк, который я себе с телефона отправил и вставил его в блокнот. Скопировалось корректно.

Косяк заключается в том, что у меня в службах появилась служба winttvilv.exe. Вот она, как я понимаю, и вызывала проблему. Если интересно, могу прислать вам этот файла для анализа.

[Dmitry_rus]

Мне - не надо, а вот послать в вирлаб (категория Подозрение на вирус/Вирус, не определяемый Dr.Web) было бы очень полезно.

С комментариями.

https://vms.drweb.ru/sendvirus/