При копирование любой ссылки из браузера подменяется на "EQCLfvbkTrdUJ1wfyNI9uOdcK30z1wbWWX060mrXBNwp2Tse" , проверка KES и DRWeb Cureit ничего не показала
При копирование любой ссылки из браузера подменяется на "EQCLfvbkTrdUJ1wfyNI9uOdcK30z1wbWWX060mrXBNwp2Tse" , проверка KES и DRWeb Cureit ничего не показала
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kashin.e, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Что за файл C:\S\Dc-Web\mbk2wt1a.exe - имеете представление?
Компьютер явно в домене. Kaspersky*Endpoint*Security что-то находит?
Также есть DLP приложение КИБ SearchInform, видит какие-то аномалии? К админам обращались?
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Добрый день.
Да, это старый клиент Dr-web Cureit
да, доменный. Нет, не находит, полная проверка с максимальными параметрами - чисто
нет, аномалий не видит. да, они ничего известного не видят
Программу скачал, в течение дня скину лог
- - - - -Добавлено - - - - -
Прикрепил архив от FRST64.exe
Сбор лога произведен под другим (локальным) пользователем, т.к. доступа к "зараженному" нет
Скорее всего, логи в таком случае ничего не покажут.Какая-то DLL в профиле доменного пользователя, или расширение в браузере хулиганит.
Sysmon, вижу, установлен службой, тогда надо анализировать журналы, искать Event*ID*24 — изменение системного буфера обмена.
WBR,
Vadim
Event*ID*24 к сожалению не собираем
Надо бы. Если уже используется конфиг файл - в секцию <EventFiltering> добавьте:Если конфиг не используете - создайте .xml файл:Код:<!--SYSMON EVENT ID 24 : NEW CONTENT IN THE CLIPBOARD [ClipboardChange]--> <RuleGroup name="" groupRelation="or"> <ClipboardChange onmatch="include"> </ClipboardChange> </RuleGroup>И в командной строке от администратора обновите конфиг:Код:<Sysmon schemaversion="4.90"> <!-- UTF-8 | CRLF --> <HashAlgorithms>MD5,SHA256,IMPHASH</HashAlgorithms> <EventFiltering> <!--SYSMON EVENT ID 24 : NEW CONTENT IN THE CLIPBOARD [ClipboardChange]--> <RuleGroup name="" groupRelation="or"> <ClipboardChange onmatch="include"> </ClipboardChange> </RuleGroup> </EventFiltering> </Sysmon>Потом можно будет выгрузить отфильтрованный по этому событию журнал:Код:Sysmon64.exe -c <имя файла>Код:wevtutil.exe epl "Microsoft-Windows-Sysmon/Operational" Sysmon.evtx /q:*[System[(EventID=24)]]
WBR,
Vadim
закрываем
kashin.e, хоть расскажите, что было. как решили проблему? А то такая тема несколько раз уже встречалась. до конца так ни разу не довели.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
