помогите удалить HEUR:Trojan.PowerShell.Ismdoor.gen постоянно в отчетах на одной машине

[vkandru]

Обнаружен возможно зараженный объект: Троянская программа HEUR:Trojan.PowerShell.Ismdoor.gen
Имя объекта: Invoke-NinjaCopy.ps1

PID: 0
Пользователь: СИСТЕМА
MD5 хеш файла: a15ba4d7d79598a219d8bfd0208eadb0
Хеш SHA256 файла: d4bca69ea19a401092f22f5c67878660e14432a36723c2f3ea8f7769ab0974

 

 

CollectionLog-2023.11.27-12.02.zip

[Sandor]

Здравствуйте!

 

По возможности перезагрузите компьютер и сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[vkandru]

Здравствуйте!

просканировал

Addition.txt FRST.txt

[Sandor]

Все пять учетных записей администраторы. Так задумано?

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  FirewallRules: [{4B302E44-A1FD-40F7-A469-56D38573356F}] => (Allow) LPort=1346
  FirewallRules: [{5074FA24-AA53-46F3-99E8-C41E6943FB19}] => (Allow) LPort=1344
  FirewallRules: [{CD31D5EB-7410-4D25-8BAB-D2A9A145E292}] => (Allow) LPort=1345
  FirewallRules: [{8CCE3465-FA3A-42B7-A7E4-B2AB97708282}] => (Allow) LPort=1347
  FirewallRules: [{B9125546-177C-47A1-AFAA-95DD2E4E9638}] => (Allow) LPort=10051
  FirewallRules: [{D543538F-2F6E-4096-B389-584DD8D1DBF1}] => (Allow) LPort=1723
  FirewallRules: [{C1D9728D-0726-498C-BDD9-9F59B2AE4E5D}] => (Allow) LPort=138
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

[vkandru]

2 доменных и один локальный, других не должно быть.

Fixlog.txt

[Sandor]

Достаточно было один раз выполнить скрипт. Второй раз перезаписался отчёт, но не страшно.

 

Цитата

Admin (S-1-5-21-3203431829-3687637918-3237514897-500 - Administrator - Enabled) => C:\Users\Admin
8110 (S-1-5-21-3203431829-3687637918-3237514897-1121 - Administrator - Enabled) => C:\Users\8110
su (S-1-5-21-3203431829-3687637918-3237514897-1988 - Administrator - Enabled) => C:\Users\su
ad (S-1-5-21-3203431829-3687637918-3237514897-10411 - Administrator - Enabled) => C:\Users\ad
8113 (S-1-5-21-3203431829-3687637918-3237514897-13250 - Administrator - Disabled) => C:\Users\8113

 

Обнаружение вредоноса продолжается?
 

[vkandru]

8110 в группе состоит с расширенными правами, 8113 уже отключен давно. остальными пользуемся.

с 12 часов не появлялся 

снова появился 

 

[Sandor]

2 часа назад, vkandru сказал:

Имя объекта: Invoke-NinjaCopy.ps1

Путь к файлу видно в отчёте? В логах его нет.

[vkandru]

нет 

 

[Sandor]

А, так файл уже в карантине. Очистите сам карантин и не будет срабатывания.

[vkandru]

очистил, был в корне пользователя AD

 

[vkandru]

Спасибо, статистика отчетов стала актуальной.

[Sandor]

Хорошо, спасибо, что сообщили результат.

В завершение:

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Будут удалены сама программа и созданные ей папки.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

 

Читайте Рекомендации после удаления вредоносного ПО