Перейти к содержанию

HEUR:Trojan.PowerShell.Agent.gen


Рекомендуемые сообщения

Несколько дней в отчетах Kaspersky Total Security мелькает с периодичностью в 20 минут сработка AMSI защиты, базы антивируса актуальны, проводилась полная проверка системы. Так-же проводилось сканирование Grindinsoft Anti-Malware. Ничего не обнаружено. Сам в автозагрузке ничего подозрительного не нашел.

Кусок лога касперского:

Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: AMSI-защита
Описание результата: Не обработано
Тип: Троянская программа
Название: HEUR:Trojan.PowerShell.Agent.gen
Точность: Эвристический анализ

 

Лог Autologger: https://www.zloygremlin.ru/s/MbFR4XpnfCtsqjr

 

дублирую лог Autologger без внешней ссылки

CollectionLog-2022.08.20-20.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteSchedulerTask('Microsoft\Windows\WCM\WCM');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
21.08.2022 в 05:25, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)


begin
 DeleteSchedulerTask('Microsoft\Windows\WCM\WCM');
ExecuteSysClean;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Спасибо, помогло. 

CollectionLog-2022.08.22-09.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

frst.zip

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1406982037-2729485489-2570128986-1001\...\MountPoints2: {62a5dcb3-c19c-11ec-8c0d-806e6f6e6963} - "H:\setup.exe"
Task: {0BF75416-35AC-4D9E-99C4-D0C37FB6EAEA} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /ofs=act (Нет файла)
FirewallRules: [{83987B48-D94C-47F0-AC67-D5EF5A30C50C}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
FirewallRules: [{0FF62FCF-2613-4293-B549-3457C342E00A}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
FirewallRules: [{15587EFE-7688-4450-92C0-75DA32D38E9C}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
FirewallRules: [{3B4E2DC0-152C-4E15-AF6E-5EDD8384E758}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
22.08.2022 в 22:23, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)


Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1406982037-2729485489-2570128986-1001\...\MountPoints2: {62a5dcb3-c19c-11ec-8c0d-806e6f6e6963} - "H:\setup.exe"
Task: {0BF75416-35AC-4D9E-99C4-D0C37FB6EAEA} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /ofs=act (Нет файла)
FirewallRules: [{83987B48-D94C-47F0-AC67-D5EF5A30C50C}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
FirewallRules: [{0FF62FCF-2613-4293-B549-3457C342E00A}] => (Allow) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
FirewallRules: [{15587EFE-7688-4450-92C0-75DA32D38E9C}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
FirewallRules: [{3B4E2DC0-152C-4E15-AF6E-5EDD8384E758}] => (Block) C:\Program Files (x86)\Overwolf\0.203.1.12\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Отвечать в теме можно и без полного цитирования выдаваемых Вам рекомендаций.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
24.08.2022 в 14:11, thyrex сказал:

Отвечать в теме можно и без полного цитирования выдаваемых Вам рекомендаций.

Ок, SecurityCheck.txt прикрепил

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------


Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------- [ SecurityUtilities ] --------------------------
AdGuard v.7.6.3583.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.9.5 Внимание! Скачать обновления
WinSCP 5.19.6 v.5.19.6 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.22 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 89.0.4447.102 v.89.0.4447.102 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Исправляйте указанное, и на этом закончим

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...