Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

[РЕШЕНО] HEUR:Trojan.PowerShell.Agent.gen

Daniil1819

Автор Daniil1819
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Daniil1819

Daniil1819

Опубликовано
Опубликовано

Здравствуйте!
В отчетах AMSI-защиты постоянно появляются сообщения об обнаружении вредоносного объекта, а затем, что результат проверки объекта передан другой программе. Появилось после установки программы скачанной из интернета, сама программа уже удалена.
Видел на форуме похожую проблему, повторил то, что советовал консультант, но мне это не помогло. Запускал Kaspersky Virus Removal Tool - ничего не обнаружено.
Логи прикрепил.

 


Событие: Обнаружен вредоносный объект
Пользователь: LENOVO_Z50-70\Daniil
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: AMSI-защита
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.PowerShell.Agent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: amsi_script_utf8
Путь к объекту: uid://amsi_stream_217//
MD5: 1AD5F743561EF63C8B5A7725513A08A2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, Сб 27.08.22 11:35:00

CollectionLog-2022.08.27-22.42.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\Multimedia');
 DeleteSchedulerTask('App Explorer');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {0d928359-ec6b-11ec-a442-28d244e5c05b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {41f95fbd-dae6-11eb-a406-28d244e5c05b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {48658ed4-d1e1-11eb-a403-28d244e5c05b} - "F:\AutoRun.exe" 
Task: {9143E488-A6DD-4122-87B0-95406D0AB70C} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-3450024715-534666954-993390148-1000 => C:\Users\Danil\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (Нет файла)
Task: {ABE18E21-2B79-4617-A954-048DE5BDF1C2} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /win=act /ofs=act /auto (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3450024715-534666954-993390148-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Daniil1819

Daniil1819

Опубликовано
  • Автор
Опубликовано (изменено)

Все сделал. Также заметил, что в отчете перестали появляться записи о результате проверки, последняя запись в 4 утра.
Скриншот прилагаю

Отчет.jpg

Fixlog.txt

Изменено пользователем Daniil1819
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.37.2 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Node.js v.16.15.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2202.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
The KMPlayer RePack by CUTA v.4.2.2.22 - (build 2) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

по возможности исправляйте указанное, и на этом закончим

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владимир223murena
      HEUR:Trojan.PowerShell.Agent.gen
      Автор Владимир223murena
      Здравствуйте, можете мне помочь?
      У меня такая же проблема.
      Антивирусы не находит нечего не помогает.
      Название вируса:
      Trojan:PoverShell/Tofsee.DSK!Ams
       
    • SimpleMan
      Помогите устранить вирус который засел в PowerShell
      Автор SimpleMan
      Недавно активировал Windows 11 Pro через командную строку cmd, через какой-то левый KMS сервер, не разобрался как это работает, 
      проработал так несколько дней, потом решил установить антивирус Касперского и он сразу же обнаружил Вредоносные ссылки через PowerShell 
      пример такой активаций есть везде, вот: https://vk.com/wall-188198781_5982
      Подскажите пожалуйста, как теперь устранить проблему?
      скриншот отчёта прилагаю
       
    • VladNotTheVampire
      [РЕШЕНО] Угроза DPC:PowerShell.AVKill.10
      Автор VladNotTheVampire
      Поймал судя по всему майнер. Откуда - идей нет. Как понял - нагружает систему на максимум,  температура проца улетает в 90 - 100 градусов, сразу после запуска ОС. Пара игр не запускалась, через 10-15 минут запускались, без каких-либо действий для починки. При открытии диспетчера задач - вирус прячется и уходит в инактив. Поставил DrWeb - он обнаруживает его, выдает следующее:
       
      Ручками найти не удалось.
      Прогнал ПК через Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner, HitmanPro 3.8 и AdwCleaner. Проверку выполнял в безопасном режиме с флажком на Сеть. Результата не дало.
      CollectionLog-2024.12.02-13.47.zip
    • Ekarnii babai
      [РЕШЕНО] Какой-то Процесс powershell.exe хавает видиокарту на 100% при простое системы на рабочем столе через 5-10 минут
      Автор Ekarnii babai
      При открытом диспетчере не вылезает а если его закрыть и сидеть и смотреть через WIn+G то там он фигачит мою видюху на сто процентов через 5 -10 минут и так до того пока не откроешь диспечер обычный делал сканы с помощью CClenera не не нашел ничего,Dcweb снес мне Advanced systemcare  и тоже не помогло. Надеюсь поможете. 
    • Coin
      [РЕШЕНО] При каждом включении пк зависает намертво ос, после перезагрузки в процессах появляется powershell.exe который грузит ЦПУ до 100% и пропадает из процессов.
      Автор Coin
      CollectionLog-2023.03.19-17.25.zip
×
×
  • Создать...