Как узнать какая программа изменяет буфер обмена?

Question

[Александр]

Подхватил где-то вирусню, которая подсовывает в буфер обмена свои кошельки, когда я открываю окно отправки денег Webmoney. Антивирусы к сожалению эту гадость не ловят, хочу отловить своими силами, но никак не могу найти способ узнать, что за процесс пишет в буфер обмена. Может кто-то знает утилиту с помощью которой это можно сделать?

Comments

[hesy]

попробуй поискать проблему глобально, потому что найти кто меняет буфер, это одна из ступень поиска клипера:
https://www.pcrisk.com/removal-guides/18456-bitcoi...
https://unboxhow.com/cybersecurity/remove-bitcoin-...
https://www.2-spyware.com/remove-bitcoin-clipper-m...

https://www.google.com/search?q=windows+remove+btc...

[Александр]

hesy, я тоже думал зайти с этой стороны и пришел к выводу, что все известные клиперы должны быть в базах антивирусов, потому прогнал систему через несколько антивирусов, но они ничего не обнаружили

[Ezhyg]

Александр, значит он работает именно в браузере. Ты ж в браузере вставляешь?

[Fenrir89]

Если не один из антивирусов его не отображает (хотя могу получить много минусов) посоветую spyhunter находит куда больше, после всех именитых антивирусов, только советую чинить все найденое руками, далеко не все он может устранить сам

[Alexander_The_Great]

Пришло время переустанавливать шиндовс!

Answer 1

[Александр]

Отвечая на свой вопрос: посмотреть кто менял буфер обмена поможет Sysmon (как настроить)

Для тех, кому интересно что же это таки было: а всё оказалось банально просто - это был сам Webmoney.exe. Видимо они где-то налажали когда выпускали обновление. Их тех поддержка, мне просто написала, что нужно копировать кошелек в буфер после того, как появится окно перевода денег. Вот такие дела.

Comments

[VicDick]

Как обнаружили?

Answer 2

[Sergey В.]

Раз проблему можно воспроизвести - отключайте по одному процессу в диспетчере задач и проверяйте.

Answer 3

[Fenrir89]

Можно попытатся через delphi оно умеет перехватывает системные прерывания

Answer 4

[Андрей Гаврилов]

Поможет одно, переустановка системы

Comments

[Александр]

Я не спрашивал, что поможет. Я спрашивал как узнать кто изменяет буфер. Переустановка системы не позволит узнать, кто изменяет буфер.

[javedimka]

Александр, Если ты копируешь с сайта - буфер подменять может сам сайт.

[Александр]

javedimka, Подмена происходит в момент открытия окна отправки денег в программе Webmoney WinPro (Classic). Даже если в этот момент буффер пустой - то в момент открытия этого окна туда запишется "левый" кошелек.

[Fenrir89]

Александр, скорее всего либо сам браузер, либо расширения, точно был скандал с браузером brave, он дописывал реф ссылки для крипто кошельков

[Yan]

Fenrir89, не знал. Спасибо за инфу

[Александр]

Fenrir89, ну блин, при чем тут браузер? Я же написал в какой момент происходит подмена буфера. Я вообще с экселя копирую и браузер в этот момент может быть выключен.

Answer 5

[kalapanga]

Процесс зловреда не может запускаться чудесным образом. Проверяйте все способы автозапуска. Разумеется, не под зараженной системой, а загрузившись с live cd/flash.

Answer 6

[Yan]

process monitor в помощь
там и узнаете

Антивирусы к сожалению эту гадость не ловят,

a если просканить с помощью
drweb cureit
kaspersky virus removal tool
malwarebytes antimalware
zemana antimalware

в любом порядке
тоже ничего не найдет?

Comments

[Александр]

process monitor в помощь
там и узнаете

Нету там такого функционала. Нашел подобное только в Sysmon, но говорит, что программа изменяющая буффер - это сама Webmoney. Я уже было подумал, что вирус модифицировал клиент Webmoney и скачал свежую версию на офф. сайте, но это не помогло. Скорее всего Sysmon показывает в логах активную программу на момент изменения буффера.

a если просканить с помощью

пробовал касперского и еще пару известных антивирусов, глухо

[Ezhyg]

Александр, Process Explorer + Autoruns
или Process Hacker

[MaxKozlov]

Александр, возможно вражина делает dll-injection в процесс webmoney. Process explorer может показывать открытые процессом файлы, в том числе dll. Попробуйте изучить этот список

[Александр]

MaxKozlov, Хорошая догадка, проверил, ничего лишнего (того, что не идёт вместе с самой программой) не обнаружил. На всякий случай переустановил программу, не помогло. Пробовал даже загрузить ОС в безопасном режиме, но всё равно что-то подсовывает левые кошельки. Такое чувство, что это таки делает сам процесс webmoney, потому что я не понимаю как вирус может загружаться в безопасном режиме.

[MaxKozlov]

Александр, Ну загружаться он может много как.
Имеет смысл попробовать сравнить файлики программы с чистой машиной. да и не только программы, а и самой винды. sigcheck от того же Руссиновича поюзать. По идее все DLL и EXE от webmoney должны быть подписаны. ну и от винды тоже...
Ну и в безопасном режиме пробежаться по загруженным процессам, там их всё ж поменьше, чем обычно - вдруг где лишний. Или среди открытых процессами файлов что лишнее