ZloyGremlin Опубликовано 20 августа, 2022 Share Опубликовано 20 августа, 2022 Несколько дней в отчетах Kaspersky Total Security мелькает с периодичностью в 20 минут сработка AMSI защиты, базы антивируса актуальны, проводилась полная проверка системы. Так-же проводилось сканирование Grindinsoft Anti-Malware. Ничего не обнаружено. Сам в автозагрузке ничего подозрительного не нашел. Кусок лога касперского: Имя программы: powershell.exe Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0 Компонент: AMSI-защита Описание результата: Не обработано Тип: Троянская программа Название: HEUR:Trojan.PowerShell.Agent.gen Точность: Эвристический анализ Лог Autologger: https://www.zloygremlin.ru/s/MbFR4XpnfCtsqjr дублирую лог Autologger без внешней ссылки CollectionLog-2022.08.20-20.42.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 20 августа, 2022 Share Опубликовано 20 августа, 2022 Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)begin DeleteSchedulerTask('Microsoft\Windows\WCM\WCM'); ExecuteSysClean; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZloyGremlin Опубликовано 22 августа, 2022 Автор Share Опубликовано 22 августа, 2022 21.08.2022 в 05:25, thyrex сказал: Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) begin DeleteSchedulerTask('Microsoft\Windows\WCM\WCM'); ExecuteSysClean; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Спасибо, помогло. CollectionLog-2022.08.22-09.49.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 августа, 2022 Share Опубликовано 22 августа, 2022 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZloyGremlin Опубликовано 22 августа, 2022 Автор Share Опубликовано 22 августа, 2022 7 часов назад, thyrex сказал: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. frst.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 августа, 2022 Share Опубликовано 22 августа, 2022 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1406982037-2729485489-2570128986-1001\...\MountPoints2: {62a5dcb3-c19c-11ec-8c0d-806e6f6e6963} - "H:\setup.exe" Task: {0BF75416-35AC-4D9E-99C4-D0C37FB6EAEA} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /ofs=act (Нет файла) FirewallRules: [{83987B48-D94C-47F0-AC67-D5EF5A30C50C}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла FirewallRules: [{0FF62FCF-2613-4293-B549-3457C342E00A}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла FirewallRules: [{15587EFE-7688-4450-92C0-75DA32D38E9C}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла FirewallRules: [{3B4E2DC0-152C-4E15-AF6E-5EDD8384E758}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZloyGremlin Опубликовано 24 августа, 2022 Автор Share Опубликовано 24 августа, 2022 22.08.2022 в 22:23, thyrex сказал: 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1406982037-2729485489-2570128986-1001\...\MountPoints2: {62a5dcb3-c19c-11ec-8c0d-806e6f6e6963} - "H:\setup.exe" Task: {0BF75416-35AC-4D9E-99C4-D0C37FB6EAEA} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /ofs=act (Нет файла) FirewallRules: [{83987B48-D94C-47F0-AC67-D5EF5A30C50C}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла FirewallRules: [{0FF62FCF-2613-4293-B549-3457C342E00A}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла FirewallRules: [{15587EFE-7688-4450-92C0-75DA32D38E9C}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла FirewallRules: [{3B4E2DC0-152C-4E15-AF6E-5EDD8384E758}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 24 августа, 2022 Share Опубликовано 24 августа, 2022 Отвечать в теме можно и без полного цитирования выдаваемых Вам рекомендаций. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
ZloyGremlin Опубликовано 25 августа, 2022 Автор Share Опубликовано 25 августа, 2022 24.08.2022 в 14:11, thyrex сказал: Отвечать в теме можно и без полного цитирования выдаваемых Вам рекомендаций. Ок, SecurityCheck.txt прикрепил SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 25 августа, 2022 Share Опубликовано 25 августа, 2022 ------------------------------- [ Windows ] ------------------------------- Запрос на повышение прав для администраторов отключен^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ -------------------------- [ SecurityUtilities ] -------------------------- AdGuard v.7.6.3583.0 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (64-bit x64) v.7.9.5 Внимание! Скачать обновления WinSCP 5.19.6 v.5.19.6 Внимание! Скачать обновления Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления^Удалите старую версию, скачайте и установите новую.^ ------------------------------ [ ArchAndFM ] ------------------------------ Total Commander 64-bit (Remove or Repair) v.9.22 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9004 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Opera Stable 89.0.4447.102 v.89.0.4447.102 Внимание! Скачать обновления^Проверьте обновления через меню Обновление и восстановление!^ ---------------------------- [ UnwantedApps ] ----------------------------- Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Исправляйте указанное, и на этом закончим 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти