Решена Есть подозрения на вирусы

  • Автор темы Автор темы aw3s0me
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
сделаю вечером, сообщу о результате с логом
 
в активаторе не было заразы, просто бинарник, всё по шаблону. собственно этот кмс использую на работе для активации тачек внутри домена, я бы заметил о подобной проблеме.
да удалил и удалил, с него ни горячо ни холодно)))
 

Вложения

сам тоже полазил в логе утилиты, ну ничего примечательного в очередной раз не нахожу. хочу все же получить ответ людей на этом специализирующихся)
 
никого пока нет из свободных саппортов?
 
Следующий скрипт выполните в безопасном режиме.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    File: C:\UpdaterDisabler.exe
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [8524512 2022-05-17] (Malwarebytes Inc. -> Malwarebytes)
    R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [223176 2022-05-17] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
    S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2022-05-17] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
    R3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [194512 2022-05-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
    R3 MBAMProtection; C:\WINDOWS\system32\DRIVERS\mbam.sys [70088 2022-05-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
    R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239560 2022-05-17] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
    R3 MBAMWebProtection; C:\WINDOWS\system32\DRIVERS\mwac.sys [181992 2022-05-18] (Malwarebytes Inc. -> Malwarebytes)
    2022-05-18 08:21 - 2022-05-18 08:21 - 000194512 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\farflt.sys
    2022-05-18 08:21 - 2022-05-18 08:21 - 000181992 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys
    2022-05-18 08:21 - 2022-05-18 08:21 - 000070088 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys
    2022-05-17 22:52 - 2022-05-17 22:52 - 000239560 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
    2022-05-17 22:52 - 2022-05-17 22:52 - 000223176 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamChameleon.sys
    2022-05-17 22:52 - 2022-05-17 22:52 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
    2022-05-17 22:52 - 2022-05-17 22:52 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
    2022-05-17 22:52 - 2022-05-17 22:52 - 000000000 ____D C:\Users\WorkHorse\AppData\Local\mbam
    2022-05-17 22:52 - 2022-05-17 22:45 - 000021480 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamElam.sys
    2022-05-17 22:46 - 2022-05-17 22:45 - 000103888 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
    2022-05-17 22:45 - 2022-05-17 22:50 - 000000000 ____D C:\ProgramData\Malwarebytes
    2022-05-09 16:58 - 2022-05-09 17:36 - 000000000 ____D C:\Program Files (x86)\MWBytes
    2022-05-17 22:50 - 2020-04-17 19:44 - 000000000 ____D C:\Program Files\Malwarebytes
    AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
    ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-05-17] (Malwarebytes Inc. -> Malwarebytes)
    ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-05-17] (Malwarebytes Inc. -> Malwarebytes)
    AlternateDataStreams: C:\Users\WorkHorse\Application Data:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\WorkHorse\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\WorkHorse\AppData\Local\Temp:$DATA [16]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
забавно, но с компьютера пропал мвбайтс, судя по логу так и было задумано? антивирус был отключен на время работы утилиты
 
Последнее редактирование:
Да, так и было задумано, чтоб была возможность переустановить Malwarebytes
 
так он у меня был установлен и ничего не нашел, в чем смысл? вторник 21:35 в этом треде
 
И работал с проблемами. Это и решали, вредоносного в логах не видно.
 
ну и что выходит, мы складываем оружие?)
 
А есть смысл бить воздух? Давайте разберемся с пропавшими и появившимися папками. О чем тут шла речь, что пропало, что появилось?
 
с диска Д, (не системного) из папки хранилище я потерял все личные данные. папка осталась а содержимого внутри нет. пробовал развернуть акронисом и парагоном былые разделы, но они ниего не находят. может был сильно пьян а может и нет, но я не помню чтобы я что-то удалял, плюс как я и говорил ранее, у меня был msi шный файл, имеющий имя связанное с Python. сам я не программирую на этом языке, поэтому это точно был не мой файл. сам этот файл и пару дополнительных исполнительных файлов лежали прям в корне диска С, со всеми остальными папками. вообще я понимаю что информации по болячке немного, но это все что у меня есть. я сам работаю системным администратором и вот пришел к вам чтобы как то решить эту проблему, так как самостоятельно найти и удалить вредоноску не смог. избавился от нее путем наглого отруба своего системного ссд, подменой его на хдд, дальше образ, бекап и так далеее.
 
думаю мы ни к чему не придем, ложная тревога или история о том как я справился возможно самостоятельно. тему можно закрывать и спасибо за помощь
 
Обычно зловреды не удаляют информацию, если и удаляют, то не так выборочно. Чаще шифруют и требуют выкуп.
 
Завершаем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Обычно зловреды не удаляют информацию, если и удаляют, то не так выборочно. Чаще шифруют и требуют выкуп.
Возможно. Я больше сетевик и конфигуратор. По части безопасности наверное я несколько хуже, в разы.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу