[РЕШЕНО] Угроза DPC:PowerShell.AVKill.10

[VladNotTheVampire]

Поймал судя по всему майнер. Откуда - идей нет. Как понял - нагружает систему на максимум,  температура проца улетает в 90 - 100 градусов, сразу после запуска ОС. Пара игр не запускалась, через 10-15 минут запускались, без каких-либо действий для починки. При открытии диспетчера задач - вирус прячется и уходит в инактив. Поставил DrWeb - он обнаруживает его, выдает следующее:
 

Цитата

Объект: powershell.exe
Угроза: DPC:PowerShell.AVKill.10
Действие: Не обезврежено
Путь: \PROC\CMDLINE\12584\powershell.exe

Ручками найти не удалось.

Прогнал ПК через Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner, HitmanPro 3.8 и AdwCleaner. Проверку выполнял в безопасном режиме с флажком на Сеть. Результата не дало.

CollectionLog-2024.12.02-13.47.zip

[safety]

Цитата

Поставил DrWeb - он обнаруживает его, выдает следующее:

Если есть возможность, добавьте отчеты по обнаружению угроз из установленного ДрВеб.

+

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено Понедельник в 08:36 пользователем safety

[VladNotTheVampire]

Доброго времени суток! Объединил всё в один архив, таблица csv - отчёт ДрВеб, надеюсь это то что вы просили

DrWebLogAnduVSLog.rar

[safety]

Этот файл проверьте на Virustotal.com

C:\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE

и дайте ссылку здесь на результат проверки.

[VladNotTheVampire]

У файла размер (760Мб) выше допустимого (650Мб)

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ROMAN\DESKTOP\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
zoo %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
apply

deltmp
delref D:\SOFT\ANVIR TASK MANAGER\ANVIR.EXE
delref D:\SOFT\ITOP VPN\PUB\ITOPSUMMERP24.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT 9.0\ACROBAT\..\ACROBAT ELEMENTS\CONTEXTMENU64.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\4B009A13.SYS
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\E9A10B225D984DC88D29D581BE96FF99\KLUPD_4B009A13A_ARKMON.SYS
delref D:\SOFT\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\AUTORUN.EXE
delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\TEMP\.OPERA\FEF48EFB9D94\INSTALLER.EXE
delref %SystemRoot%\TEMP\B68CFC1D-F288-4E73-8D31-3010F296398A\DISMHOST.EXE
delref D:\OMNETPP-6.0.2\MINGWENV.CMD
delref D:\SOFT\QT\5.13.1\MINGW73_64\BIN\QTENV2.BAT
delref D:\STEAM\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
;-------------------------------------------------------------

restart
czoo

 

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, логи FRST

[VladNotTheVampire]

Необходимо ли было при запуске скрипта отключать ДрВеб?
Не выключил его сразу, только в процессе выполнения. После перезагрузки вирус всё еще со мной. Логи прикрепил. Архив ZOO сейчас отправлю.

2024-12-02_18-05-00_log.txt FRST.txt Addition.txt

[safety]

Судя по логу выполнения скрипта, и по логам FRST файл был удален:

 

delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Цитата

Архив ZOO сейчас отправлю.

да, жду архив.

+

Этот файл видимо тоже большой и не получится его проверить на VT

C:\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE

699354276 байт

 

Сделайте следующее,

необходимо запустить uVS через start.exe - текущий пользователь.

Затем зайти в главное меню, дополнительно, твики, выполнить твик 39 (включить отслеживание процессов и задач)

после этого перегрузить систему,

после перезагрузки создать новый образ автозапуска и прикрепить его к вашему сообщению

 

Изменено Понедельник в 11:55 пользователем safety

[VladNotTheVampire]

1)К сожалению не могу отправить личное сообщение, сайт пишет что у меня их ноль на сегодня. Могу приложить ссылку на архив сюда или отправить альтернативным методом

2)Да, файл тоже слишком большой

3)Инструкции к uVS сейчас выполню

 

[safety]

Только что, VladNotTheVampire сказал:

1)К сожалению не могу отправить личное сообщение, сайт пишет что у меня их ноль на сегодня. Могу приложить ссылку на архив сюда или отправить альтернативным методом

да, в таком случае, загрузите архив с файлом на облачный диск и дайте ссылку на скачивание здесь.

[VladNotTheVampire]

1)Ссылка на архив ZOO - https://disk.yandex.ru/d/LnYwvbkFWZ93Ig
2)Образ автозапуска прикрепляю

 

DESKTOP-GDH7F4V_2024-12-02_19-02-41_v4.99.4v x64.7z

[safety]

по файлу SVCSYS64.EXE есть детект:

Цитата

1)Ссылка на архив ZOO - https://disk.yandex.ru/d/LnYwvbkFWZ93Ig

 

G:\Temp\SVCSYS64.EXE._C4E22F7C5613E489F600102C1505F3B45BBDB02A - модифицированный Win64/Packed.Themida.AQ подозрительное приложение

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\CAVS\INTEL(R) AUDIO SERVICE\CONTROLMODULE.DLL
zoo %SystemDrive%\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE
apply

regt 40
restart
czoo

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Новый архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание здесь.

Напишите по состоянию системы после выполнения скрипта очистки

+

добавьте новый образ автозапуска для контроля.

Изменено Понедельник в 12:38 пользователем safety

[VladNotTheVampire]

1)Лог uVS прикрепил

2)Ссылка на архив ZOO - https://disk.yandex.ru/d/bj9UcoGLBrV5ow
3)Скачков температуры не наблюдаю, DrWeb молчит
4)Образ автозапуска прикрепил

2024-12-02_19-28-48_log.txt DESKTOP-GDH7F4V_2024-12-02_19-35-54_v4.99.4v x64.7z

[safety]

13 минут назад, VladNotTheVampire сказал:

2)Ссылка на архив ZOO - https://disk.yandex.ru/d/bj9UcoGLBrV5ow

Есть детект:
G:\Temp\SECUREBOOT.EXE._53A06624A357390A6DA188E47EB1E2014F92E8E1 - модифицированный Win64/Packed.Themida.AQ подозрительное приложение

 

Лучше стало по состоянию системы:

нет потоков внедренных в cmd.exe (так было)

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\CMD.EXE [9024], tid=9436

и нет изменения кода процесса  (так было)

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\CMD.EXE [9024]

------------

по очистке в FRST сделайте, пожалуйста, следующее:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.64.bc:6D97201572 [4306]
AlternateDataStreams: C:\ProgramData\vmware-view.profile:33A0B2DBCA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\HidHide Configuration Client.lnk:B7B9C8BD2D [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Mathcad 15.lnk:B56057AFE6 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\paint.net.lnk:C629424870 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VMware Horizon Client.lnk:CE08A1D094 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4306]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

 

завершающие шаги:

 

   

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено Понедельник в 12:52 пользователем safety

[VladNotTheVampire]

Результат работы SecurityCheck прикрепил

SecurityCheck.txt