PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b & Windows PowerShell

[ilia_.7]

ноутбук новый системные приложения такие как PowerShell, Edge и другие уже были и не переустанавливались.

не сразу, но стал замечать что в рандомные моменты на мгновенье, приостанавливая все процессы, возникало окно с заголовком пути к PowerShell-у, но только через папку sustem32

я его перемещал, и на время возникновения прекратились, но потом мне понадобилось PowerShell вернуть на место для работы с ним, и он не хотел ни как перемещаться, но зато он копировался. оба, отдельный и в system32 не хотят удаляться. после возникновения возобновились.

касперский при возникновениях в мониторинге активности выводит следущее сообщение:

17.11.2024 13:30:07;Запрещено;Windows PowerShell;powershell.exe;C:\Windows\System32\WindowsPowerShell\v1.0;23452;IRBIS-15NBC1012\Irbis;Активный пользователь;Запрещено: PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Запрещено;PDM:Trojan.Win32.GenAutorunSchedulerTaskRun.b;Троянское приложение;Высокая;Точно;powershell.exe;powershell.exe;c:\windows\system32\windowspowershell\v1.0;Процесс;

 

CollectionLog-2024.11.21-20.30.zip

[safety]

+

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[ilia_.7]

IRBIS-15NBC1012_2024-11-22_19-43-16_v4.99.4v x64.7z

[safety]

Это программу используете в работе?

RetailRotor

Если нет, удалите ее через установку/удаление программ.

 

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delall %SystemDrive%\USERS\IRBIS\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
delall %SystemDrive%\USERS\IRBIS\DOWNLOADS\MEDIAGET_ID3814576IDS1S.EXE
deldirex %SystemDrive%\USERS\IRBIS\MEDIAGET2
hide %SystemDrive%\APP_SEPARATE\AUTOLOGGER1\AUTOLOGGER\RSIT\RSITX64.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\RETAILROTOR\BIN\REWATCHDOG.EXE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURITY CLOUD 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
apply

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки.

+

добавьте отчеты из антивируса Касперского по обнаружению угроз и сканированию.

Изменено 23 ноября, 2024 пользователем safety

[ilia_.7]

проблема устранена.

2024-11-23_13-03-36_log.txt т.txt

[safety]

Сделайте, пожалуйста, логи FRST для контроля очистки системы.