Решена Есть подозрения на вирусы

[aw3s0me]

сделаю вечером, сообщу о результате с логом

 

[aw3s0me]

в активаторе не было заразы, просто бинарник, всё по шаблону. собственно этот кмс использую на работе для активации тачек внутри домена, я бы заметил о подобной проблеме.
да удалил и удалил, с него ни горячо ни холодно)))

 

[aw3s0me]

сам тоже полазил в логе утилиты, ну ничего примечательного в очередной раз не нахожу. хочу все же получить ответ людей на этом специализирующихся)

 

[aw3s0me]

никого пока нет из свободных саппортов?

 

[aw3s0me]

надеюсь получить ответ

 

[Sandor]

Следующий скрипт выполните в безопасном режиме.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  File: C:\UpdaterDisabler.exe
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe [8524512 2022-05-17] (Malwarebytes Inc. -> Malwarebytes)
  R2 MBAMChameleon; C:\WINDOWS\System32\Drivers\MbamChameleon.sys [223176 2022-05-17] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2022-05-17] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
  R3 MBAMFarflt; C:\WINDOWS\System32\DRIVERS\farflt.sys [194512 2022-05-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R3 MBAMProtection; C:\WINDOWS\system32\DRIVERS\mbam.sys [70088 2022-05-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239560 2022-05-17] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R3 MBAMWebProtection; C:\WINDOWS\system32\DRIVERS\mwac.sys [181992 2022-05-18] (Malwarebytes Inc. -> Malwarebytes)
  2022-05-18 08:21 - 2022-05-18 08:21 - 000194512 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\farflt.sys
  2022-05-18 08:21 - 2022-05-18 08:21 - 000181992 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys
  2022-05-18 08:21 - 2022-05-18 08:21 - 000070088 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys
  2022-05-17 22:52 - 2022-05-17 22:52 - 000239560 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbamswissarmy.sys
  2022-05-17 22:52 - 2022-05-17 22:52 - 000223176 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamChameleon.sys
  2022-05-17 22:52 - 2022-05-17 22:52 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
  2022-05-17 22:52 - 2022-05-17 22:52 - 000002021 _____ C:\Users\Public\Desktop\Malwarebytes.lnk
  2022-05-17 22:52 - 2022-05-17 22:52 - 000000000 ____D C:\Users\WorkHorse\AppData\Local\mbam
  2022-05-17 22:52 - 2022-05-17 22:45 - 000021480 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MbamElam.sys
  2022-05-17 22:46 - 2022-05-17 22:45 - 000103888 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbae64.sys
  2022-05-17 22:45 - 2022-05-17 22:50 - 000000000 ____D C:\ProgramData\Malwarebytes
  2022-05-09 16:58 - 2022-05-09 17:36 - 000000000 ____D C:\Program Files (x86)\MWBytes
  2022-05-17 22:50 - 2020-04-17 19:44 - 000000000 ____D C:\Program Files\Malwarebytes
  AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
  ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
  ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-05-17] (Malwarebytes Inc. -> Malwarebytes)
  ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-05-17] (Malwarebytes Inc. -> Malwarebytes)
  AlternateDataStreams: C:\Users\WorkHorse\Application Data:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\WorkHorse\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\WorkHorse\AppData\Local\Temp:$DATA [16]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[aw3s0me]

Сделал, заливаю лог

 

[aw3s0me]

Сделал, заливаю лог

 

[aw3s0me]

ап

 

[aw3s0me]

забавно, но с компьютера пропал мвбайтс, судя по логу так и было задумано? антивирус был отключен на время работы утилиты

 

[akok]

Да, так и было задумано, чтоб была возможность переустановить Malwarebytes

 

[aw3s0me]

так он у меня был установлен и ничего не нашел, в чем смысл? вторник 21:35 в этом треде

 

[akok]

И работал с проблемами. Это и решали, вредоносного в логах не видно.

 

[aw3s0me]

ну и что выходит, мы складываем оружие?)

 

[akok]

А есть смысл бить воздух? Давайте разберемся с пропавшими и появившимися папками. О чем тут шла речь, что пропало, что появилось?

 

[aw3s0me]

с диска Д, (не системного) из папки хранилище я потерял все личные данные. папка осталась а содержимого внутри нет. пробовал развернуть акронисом и парагоном былые разделы, но они ниего не находят. может был сильно пьян а может и нет, но я не помню чтобы я что-то удалял, плюс как я и говорил ранее, у меня был msi шный файл, имеющий имя связанное с Python. сам я не программирую на этом языке, поэтому это точно был не мой файл. сам этот файл и пару дополнительных исполнительных файлов лежали прям в корне диска С, со всеми остальными папками. вообще я понимаю что информации по болячке немного, но это все что у меня есть. я сам работаю системным администратором и вот пришел к вам чтобы как то решить эту проблему, так как самостоятельно найти и удалить вредоноску не смог. избавился от нее путем наглого отруба своего системного ссд, подменой его на хдд, дальше образ, бекап и так далеее.

 

[aw3s0me]

думаю мы ни к чему не придем, ложная тревога или история о том как я справился возможно самостоятельно. тему можно закрывать и спасибо за помощь

 

[akok]

Обычно зловреды не удаляют информацию, если и удаляют, то не так выборочно. Чаще шифруют и требуют выкуп.

 

[akok]

Завершаем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[aw3s0me]

Обычно зловреды не удаляют информацию, если и удаляют, то не так выборочно. Чаще шифруют и требуют выкуп.

Возможно. Я больше сетевик и конфигуратор. По части безопасности наверное я несколько хуже, в разы.