[РЕШЕНО] HEUR:Trojan.PowerShell.Agent.gen

[Daniil1819 0]

Здравствуйте!
В отчетах AMSI-защиты постоянно появляются сообщения об обнаружении вредоносного объекта, а затем, что результат проверки объекта передан другой программе. Появилось после установки программы скачанной из интернета, сама программа уже удалена.
Видел на форуме похожую проблему, повторил то, что советовал консультант, но мне это не помогло. Запускал Kaspersky Virus Removal Tool - ничего не обнаружено.
Логи прикрепил.

 

Событие: Обнаружен вредоносный объект
Пользователь: LENOVO_Z50-70\Daniil
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: AMSI-защита
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.PowerShell.Agent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: amsi_script_utf8
Путь к объекту: uid://amsi_stream_217//
MD5: 1AD5F743561EF63C8B5A7725513A08A2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, Сб 27.08.22 11:35:00

CollectionLog-2022.08.27-22.42.zip

[thyrex 1353]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\Multimedia');
 DeleteSchedulerTask('App Explorer');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Daniil1819 0]

Скрипт выполнил. Новые логи прилагаю.

CollectionLog-2022.08.28-12.02.zip

[thyrex 1353]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Daniil1819 0]

FRST и Addition.zip

[thyrex 1353]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {0d928359-ec6b-11ec-a442-28d244e5c05b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {41f95fbd-dae6-11eb-a406-28d244e5c05b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {48658ed4-d1e1-11eb-a403-28d244e5c05b} - "F:\AutoRun.exe" 
Task: {9143E488-A6DD-4122-87B0-95406D0AB70C} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-3450024715-534666954-993390148-1000 => C:\Users\Danil\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (Нет файла)
Task: {ABE18E21-2B79-4617-A954-048DE5BDF1C2} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /win=act /ofs=act /auto (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3450024715-534666954-993390148-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Daniil1819 0]

Все сделал. Также заметил, что в отчете перестали появляться записи о результате проверки, последняя запись в 4 утра.
Скриншот прилагаю

Fixlog.txt

Изменено 28 августа пользователем Daniil1819

[thyrex 1353]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Daniil1819 0]

SecurityCheck.txt

[thyrex 1353]

--------------------------- [ OtherUtilities ] ----------------------------

Git v.2.37.2 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Node.js v.16.15.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2202.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
The KMPlayer RePack by CUTA v.4.2.2.22 - (build 2) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

по возможности исправляйте указанное, и на этом закончим

[Daniil1819 0]

Большое спасибо за решение проблемы

[thyrex 1353]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".