Перейти к содержанию

[РЕШЕНО] HEUR:Trojan.PowerShell.Agent.gen


Daniil1819

Рекомендуемые сообщения

Здравствуйте!
В отчетах AMSI-защиты постоянно появляются сообщения об обнаружении вредоносного объекта, а затем, что результат проверки объекта передан другой программе. Появилось после установки программы скачанной из интернета, сама программа уже удалена.
Видел на форуме похожую проблему, повторил то, что советовал консультант, но мне это не помогло. Запускал Kaspersky Virus Removal Tool - ничего не обнаружено.
Логи прикрепил.

 


Событие: Обнаружен вредоносный объект
Пользователь: LENOVO_Z50-70\Daniil
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: AMSI-защита
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.PowerShell.Agent.gen
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: amsi_script_utf8
Путь к объекту: uid://amsi_stream_217//
MD5: 1AD5F743561EF63C8B5A7725513A08A2
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, Сб 27.08.22 11:35:00

CollectionLog-2022.08.27-22.42.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\Multimedia');
 DeleteSchedulerTask('App Explorer');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {0d928359-ec6b-11ec-a442-28d244e5c05b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {41f95fbd-dae6-11eb-a406-28d244e5c05b} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3450024715-534666954-993390148-1002\...\MountPoints2: {48658ed4-d1e1-11eb-a403-28d244e5c05b} - "F:\AutoRun.exe" 
Task: {9143E488-A6DD-4122-87B0-95406D0AB70C} - System32\Tasks\Lenovo\Lenovo Service Bridge\S-1-5-21-3450024715-534666954-993390148-1000 => C:\Users\Danil\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (Нет файла)
Task: {ABE18E21-2B79-4617-A954-048DE5BDF1C2} - System32\Tasks\AAct => C:\Windows\AAct_Tools\AAct.exe /win=act /ofs=act /auto (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3450024715-534666954-993390148-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Все сделал. Также заметил, что в отчете перестали появляться записи о результате проверки, последняя запись в 4 утра.
Скриншот прилагаю

Отчет.jpg

Fixlog.txt

Изменено пользователем Daniil1819
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.37.2 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Node.js v.16.15.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2202.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
The KMPlayer RePack by CUTA v.4.2.2.22 - (build 2) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

по возможности исправляйте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • maxy_f
      Автор maxy_f
      Добрый день!
      В отчете AMSI очень много сообщений что обнаружен вредоносный объект и что результат проверки передан сторонней программе. Когда появилось - не подскажу. Установил KIS неделю назад и сразу увидел там эти ошибки.
      Пытался гуглить как от этого избавиться - не нашел ничего что могло бы помочь. Подменил сам файл powershell.exe с другой машины, где точно уверен что все чисто - все равно сыпет этими сообщениями.  Прогнал Kaspersky Virus Removal Tool и Dr.Web CureIt! - ничего не нашлось.
      Буду благодарен если подскажите как от этого избавиться.
       
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: AMSI-защита
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.PowerShell.Agent.gen
      Точность: Эвристический анализ
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: amsi_script_utf8
      Путь к объекту: uid://amsi_stream_4263//
      CollectionLog-2022.06.20-15.04.zip
    • Владимир223murena
      Автор Владимир223murena
      Здравствуйте, можете мне помочь?
      У меня такая же проблема.
      Антивирусы не находит нечего не помогает.
      Название вируса:
      Trojan:PoverShell/Tofsee.DSK!Ams
       
    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • wastezxc
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
×
×
  • Создать...