Решена словил вирус "подмена крипто кошелька при копирование нужного кошелька подменяет на фейковых кошелёк(буфур обмена)

Переводчик Google
N

nikolay@Be2022

Новый пользователь
Сообщения
19
Реакции
1
вчера столкнулся с проблемой ,что отправил деньги на крипокошилек мошенников ...уже понял спустя время когда друг сказал что денег нету .,я начал проверять и заметил что кошельки разные... помогите удалить его и как его найти? спасибо
 
Пытаюсь сделать логины через утилиту AutoLogger но она зависает ...

надеюсь я все верно сделал
 

Вложения

Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 QuarantineFile('C:\ProgramData\ctfnnewzeiqi\qvrzqtbewhwa.exe', '');
 QuarantineFile('C:\Users\ybrjk\AppData\Roaming\8dxgi.drv', '');
 DeleteFile('C:\Users\ybrjk\AppData\Roaming\8dxgi.drv', '32');
 DeleteFile('C:\ProgramData\ctfnnewzeiqi\qvrzqtbewhwa.exe', '64');
 DeleteService('SZQZOASU');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Полученный архив quarantine.7z из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению на форуме прикреплять файл quarantine.7z не нужно!

Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O4 - HKCU\..\Run: [utweb] = "C:\Users\ybrjk\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing)
O4 - HKLM\..\Run: [Driver Updater] = "C:\Program Files\Avanquest\Driver Updater\application\9.0.44065.1088\Driver Updater.exe" --initial-window-state=minimized (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O20 - HKLM\..\Winlogon\Notify\LBTWlgn: [DllName] = "c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleSystem\GoogleUpdater (empty)
O22 - Tasks: BLACK FRIDAY Task (One-Time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\bf.exe /bf (file missing)
O22 - Tasks: Christmas Task (One-Time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\xmas.exe /xr (file missing)
O22 - Tasks: IObit DB12Sale2024 (One-Time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\dbrpop.exe /rpop (file missing)
O22 - Tasks: IObit DB2024B5 (One-Time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\dbrpop.exe /rpop (file missing)
O22 - Tasks: IObit ET2025Sale (One-time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\eten.exe /rpop (file missing)
O22 - Tasks: IObit SumSale2024 (One-Time) - C:\Program Files (x86)\IObit\Driver Booster\Pub\sumsale.exe /rpop (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1688229722 - C:\Users\ybrjk\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O23 - Service S2: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe (file missing)
O23 - Service S2: SZQZOASU - C:\ProgramData\ctfnnewzeiqi\qvrzqtbewhwa.exe (not signed - Microsoft Corporation - error getting hash)
O23 - Service S3: Active Anticheat Error Port v1.0 - (AAErrorPort) - C:\Users\ybrjk\AppData\Local\Temp\ActiveAnticheat\aaerrport.exe (file missing)
O23 - Service S3: asrrealtimesrv - C:\Program Files (x86)\Advanced System Repair Pro 2.0.0.6.0\asrrealtimesrv.exe Files (x86)\Advanced System Repair Pro 2.0.0.6.0\asrrealtimesrv.exe (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Деинсталлируйте следующие программы:

Driver Updater [20250528]-->MsiExec.exe /I{11CA3EEC-EC14-4A10-B7C1-2646BF1BC62E}
PC HelpSoft Driver Updater [2025/05/28 03:35:58]-->"C:\Program Files\Avanquest\Driver Updater\application\9.0.44065.1088\installer.exe" --uninstall
Нажмите для раскрытия...

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).


Cоберите новый CollectionLog Автологгером
 
1752336113698.webp


quarantine.7z не могу найти этот фаил

и как не странно пропала подменя крипто кошелька после скрипта который перегружает компьютер

но я еще нечего не удалял.
 
Последнее редактирование:
Упакуйте папку Quarantine из подпапки Autologger\AVZ в архив с паролем и прикрепите.
 
архив отправил .
Пофиксите в HJT это тоже сделано-перегрузился компьютер

Деинсталлируйте следующие программы этот пункт тоже сделал.
 
Последнее редактирование:
Пароль сообщите от архива.
 
Не подходит)
 
давайте без пароля загружу?

загрузил без пароля

1752337419808.webp
 
Последнее редактирование:
Без пароля Google зарежет. Поставьте пароль virus
 
Ок, жду повторные логи Автологгером.
 
Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 DeleteFile('C:\ProgramData\ctfnnewzeiqi\qvrzqtbewhwa.exe', '64');
 DeleteFile('C:\Users\ybrjk\AppData\Local\Temp\ActiveAnticheat\aaerrport.exe', '64');
 DeleteFile('C:\Program Files (x86)\Microsoft\Edge\Application\89.0.774.68\msedge.dll', '64');
 DeleteFile('C:\Windows\System32\Drivers\UMDF\UsbccidDriver.dll', '64');
 DeleteService('AAErrorPort');
 DeleteService('Driver Updater Service');
 DeleteService('SZQZOASU');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
 
  • Like
Реакции: akok
странно у меня когда win+r вызываю Ms config Для запуска безопасного режима окно после вызова сразу закрывается..

а если через настройки то происходит следящие
1752341372342.webp
 
Ок. Еще немного осталось.

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.
  • Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
  • После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
  • Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
  • По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
  • Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.




Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу