При копирование любой ссылки из браузера подменяется на "EQCLfvbkTrdUJ1wfyNI9uOdcK30z1wbWWX060mrXBNwp2Tse", проверка KES и DRWeb Cureit ничего не показала

Уважаемый(ая) kashin.e, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Что за файл C:\S\Dc-Web\mbk2wt1a.exe - имеете представление?

Компьютер явно в домене. Kaspersky*Endpoint*Security что-то находит?
Также есть DLP приложение КИБ SearchInform, видит какие-то аномалии? К админам обращались?

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Добрый день.
Да, это старый клиент Dr-web Cureit

да, доменный. Нет, не находит, полная проверка с максимальными параметрами - чисто

нет, аномалий не видит. да, они ничего известного не видят

Программу скачал, в течение дня скину лог

- - - - -Добавлено - - - - -

Прикрепил архив от FRST64.exe

Сбор лога произведен под другим (локальным) пользователем, т.к. доступа к "зараженному" нет

Скорее всего, логи в таком случае ничего не покажут.Какая-то DLL в профиле доменного пользователя, или расширение в браузере хулиганит.
Sysmon, вижу, установлен службой, тогда надо анализировать журналы, искать Event*ID*24 — изменение системного буфера обмена.

Event*ID*24 к сожалению не собираем

Надо бы. Если уже используется конфиг файл - в секцию <EventFiltering> добавьте:
<!--SYSMON EVENT ID 24 : NEW CONTENT IN THE CLIPBOARD [ClipboardChange]-->
<RuleGroup name="" groupRelation="or">
<ClipboardChange onmatch="include">
</ClipboardChange>
</RuleGroup>
Если конфиг не используете - создайте .xml файл:
<Sysmon schemaversion="4.90">
<!-- UTF-8 | CRLF -->
<HashAlgorithms>MD5,SHA256,IMPHASH</HashAlgorithms>
<EventFiltering>
<!--SYSMON EVENT ID 24 : NEW CONTENT IN THE CLIPBOARD [ClipboardChange]-->
<RuleGroup name="" groupRelation="or">
<ClipboardChange onmatch="include">
</ClipboardChange>
</RuleGroup>
</EventFiltering>
</Sysmon>
И в командной строке от администратора обновите конфиг:
Sysmon64.exe -c <имя файла>
Потом можно будет выгрузить отфильтрованный по этому событию журнал:
wevtutil.exe epl "Microsoft-Windows-Sysmon/Operational" Sysmon.evtx /q:*[System[(EventID=24)]]

закрываем

kashin.e, хоть расскажите, что было. как решили проблему? А то такая тема несколько раз уже встречалась. до конца так ни разу не довели.