HEUR:Trojan.PowerShell.Agent.gen

[maxy_f]

Добрый день!

В отчете AMSI очень много сообщений что обнаружен вредоносный объект и что результат проверки передан сторонней программе. Когда появилось - не подскажу. Установил KIS неделю назад и сразу увидел там эти ошибки.

Пытался гуглить как от этого избавиться - не нашел ничего что могло бы помочь. Подменил сам файл powershell.exe с другой машины, где точно уверен что все чисто - все равно сыпет этими сообщениями.  Прогнал Kaspersky Virus Removal Tool и Dr.Web CureIt! - ничего не нашлось.

Буду благодарен если подскажите как от этого избавиться.

 

Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: AMSI-защита
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.PowerShell.Agent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: amsi_script_utf8
Путь к объекту: uid://amsi_stream_4263//

CollectionLog-2022.06.20-15.04.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\BrokerInfrastructure\BrokerInfrastructure');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(20);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[maxy_f]

Выполнил скрипт, компьютер перезагрузился. Новый лог.

CollectionLog-2022.06.20-16.36.zip

[Sandor]

Судя по логу - чисто. Как внешне, проблема ещё проявляется?

[maxy_f]

Пока вроде не возникает больше проблема.

Спасибо за помощь.

Не подскажите что это было в итоге? 

[Sandor]

Вредонос прописал периодический запуск задачи на выполнение PS скрипта.

 

В завершение, пожалуйста:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[maxy_f]

Спасибо за разъяснение.

 

 

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 15.13.6.0 v.15.13.6.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Far Manager 3 x64 v.3.0.5700 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.101.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО