Перейти к содержанию

[РЕШЕНО] Угроза DPC:PowerShell.AVKill.10


VladNotTheVampire

Рекомендуемые сообщения

Поймал судя по всему майнер. Откуда - идей нет. Как понял - нагружает систему на максимум,  температура проца улетает в 90 - 100 градусов, сразу после запуска ОС. Пара игр не запускалась, через 10-15 минут запускались, без каких-либо действий для починки. При открытии диспетчера задач - вирус прячется и уходит в инактив. Поставил DrWeb - он обнаруживает его, выдает следующее:
 

Цитата

Объект: powershell.exe
Угроза: DPC:PowerShell.AVKill.10
Действие: Не обезврежено
Путь: \PROC\CMDLINE\12584\powershell.exe

Ручками найти не удалось.

Прогнал ПК через Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner, HitmanPro 3.8 и AdwCleaner. Проверку выполнял в безопасном режиме с флажком на Сеть. Результата не дало.

CollectionLog-2024.12.02-13.47.zip

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Поставил DrWeb - он обнаруживает его, выдает следующее:

Если есть возможность, добавьте отчеты по обнаружению угроз из установленного ДрВеб.

+

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ROMAN\DESKTOP\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
zoo %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
apply

deltmp
delref D:\SOFT\ANVIR TASK MANAGER\ANVIR.EXE
delref D:\SOFT\ITOP VPN\PUB\ITOPSUMMERP24.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT 9.0\ACROBAT\..\ACROBAT ELEMENTS\CONTEXTMENU64.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\4B009A13.SYS
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\E9A10B225D984DC88D29D581BE96FF99\KLUPD_4B009A13A_ARKMON.SYS
delref D:\SOFT\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\AUTORUN.EXE
delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\TEMP\.OPERA\FEF48EFB9D94\INSTALLER.EXE
delref %SystemRoot%\TEMP\B68CFC1D-F288-4E73-8D31-3010F296398A\DISMHOST.EXE
delref D:\OMNETPP-6.0.2\MINGWENV.CMD
delref D:\SOFT\QT\5.13.1\MINGW73_64\BIN\QTENV2.BAT
delref D:\STEAM\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
;-------------------------------------------------------------

restart
czoo

 

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, логи FRST

Ссылка на комментарий
Поделиться на другие сайты

Необходимо ли было при запуске скрипта отключать ДрВеб?
Не выключил его сразу, только в процессе выполнения. После перезагрузки вирус всё еще со мной. Логи прикрепил. Архив ZOO сейчас отправлю.

2024-12-02_18-05-00_log.txt FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

Судя по логу выполнения скрипта, и по логам FRST файл был удален:

 

delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Цитата

Архив ZOO сейчас отправлю.

да, жду архив.

+

Этот файл видимо тоже большой и не получится его проверить на VT

C:\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE

699354276 байт

 

Сделайте следующее,

необходимо запустить uVS через start.exe - текущий пользователь.

Затем зайти в главное меню, дополнительно, твики, выполнить твик 39 (включить отслеживание процессов и задач)

после этого перегрузить систему,

после перезагрузки создать новый образ автозапуска и прикрепить его к вашему сообщению

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1)К сожалению не могу отправить личное сообщение, сайт пишет что у меня их ноль на сегодня. Могу приложить ссылку на архив сюда или отправить альтернативным методом

2)Да, файл тоже слишком большой

3)Инструкции к uVS сейчас выполню

 

Ссылка на комментарий
Поделиться на другие сайты

Только что, VladNotTheVampire сказал:

1)К сожалению не могу отправить личное сообщение, сайт пишет что у меня их ноль на сегодня. Могу приложить ссылку на архив сюда или отправить альтернативным методом

да, в таком случае, загрузите архив с файлом на облачный диск и дайте ссылку на скачивание здесь.

Ссылка на комментарий
Поделиться на другие сайты

по файлу SVCSYS64.EXE есть детект:

Цитата

1)Ссылка на архив ZOO - https://disk.yandex.ru/d/LnYwvbkFWZ93Ig

 

G:\Temp\SVCSYS64.EXE._C4E22F7C5613E489F600102C1505F3B45BBDB02A - модифицированный Win64/Packed.Themida.AQ подозрительное приложение

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\CAVS\INTEL(R) AUDIO SERVICE\CONTROLMODULE.DLL
zoo %SystemDrive%\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE
apply

regt 40
restart
czoo

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Новый архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание здесь.

Напишите по состоянию системы после выполнения скрипта очистки

+

добавьте новый образ автозапуска для контроля.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1)Лог uVS прикрепил

2)Ссылка на архив ZOO - https://disk.yandex.ru/d/bj9UcoGLBrV5ow
3)Скачков температуры не наблюдаю, DrWeb молчит
4)Образ автозапуска прикрепил

2024-12-02_19-28-48_log.txt DESKTOP-GDH7F4V_2024-12-02_19-35-54_v4.99.4v x64.7z

Ссылка на комментарий
Поделиться на другие сайты

13 минут назад, VladNotTheVampire сказал:

2)Ссылка на архив ZOO - https://disk.yandex.ru/d/bj9UcoGLBrV5ow

Есть детект:
G:\Temp\SECUREBOOT.EXE._53A06624A357390A6DA188E47EB1E2014F92E8E1 - модифицированный Win64/Packed.Themida.AQ подозрительное приложение

 

Лучше стало по состоянию системы:

нет потоков внедренных в cmd.exe (так было)

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\CMD.EXE [9024], tid=9436

и нет изменения кода процесса  (так было)

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\CMD.EXE [9024]

------------

по очистке в FRST сделайте, пожалуйста, следующее:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.64.bc:6D97201572 [4306]
AlternateDataStreams: C:\ProgramData\vmware-view.profile:33A0B2DBCA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\HidHide Configuration Client.lnk:B7B9C8BD2D [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Mathcad 15.lnk:B56057AFE6 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\paint.net.lnk:C629424870 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VMware Horizon Client.lnk:CE08A1D094 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4306]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

 

завершающие шаги:

 

   

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • chayagolik
      От chayagolik
      Здравствуйте, при сканировании Dr Web Cureit обнаружилась угроза CHROMIUM:PAGE.MALWARE.URL.


       
      CollectionLog-2024.06.18-10.08.zip
    • Сергей3113
      От Сергей3113
      В списке разрешенных угроз лежит 3 трояна, достать которые оттуда не выходит — постоянно возвращаются, хотя сканером их поидее удаляло.
      Так-же пробовал много утилит для удаления вирусов и сканирования ПК но тут тоже не задача, при открытии утилиты допустим (доктор веб) зависает окно а после выдает ошибку "windows не удается получить доступ к указанному устройству пути или файлу возможно у вас нет нужных разрешений для допуста к этому объекту" пробовал решить и эту проблему все без результата. Заходил в безопасный режим но там этих ошибок попросту нет, утилиты запускаются а троянов нет в разрешенных угрозах. Помогите решить эту проблему уже не знаю куда обращаться.
       


    • ALGORITMTEHGROUP
      От ALGORITMTEHGROUP
      Добрый день!

      Начали разработку собственного сайта, приобрели домен ранее на нем не находилось никаких сайтов.
      Соответственно касперский указывает, что наш сайт является угрозой, что быть никак не может.
      Просим Вас удалить наш сайт с Базы угроз.

       
    • ZloyM
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • KL FC Bot
      От KL FC Bot
      Обновления смартфона на базе Android — тема болезненная. С одной стороны, они обязательно нужны для устранения опасных ошибок и уязвимостей в телефоне, приносят новые полезные функции и поддержку современных технологий. С другой стороны, обновления часто запаздывают, устанавливаются в самый неподходящий момент, могут замедлять телефон, а в особо неудачных случаях приводить к потере данных или даже «окирпичиванию» устройства.
      Давайте разберемся, как правильно устанавливать обновления под Android, чтобы получить все преимущества и не пострадать от недостатков.
      Разные виды обновлений
      Под общим названием «установка обновлений» скрывается пять довольно разных сценариев в зависимости от того, что именно обновляется.
      Обновление приложений. Отдельные приложения на устройствах обновляются автоматически или вручную через магазин приложений (Google Play, Huawei AppGallery и другие). При этом обновление одного приложения крайне редко затрагивает остальные и в целом мало влияет на гаджет. Обновление компонентов Android. Разработчики Google давно взяли курс на модульность операционной системы, поэтому многие ее части — например, экран звонков или просмотр фото — представляют собой, по сути, отдельные приложения. Некоторые из них скачивают апдейты также через магазин приложений, другие — например, Google Play Services — принудительно обновляются на более низком уровне. Обновление надстроек от производителя смартфона. Все, что отличает смартфон Samsung, Oppo или Xiaomi от «чистого» Android, — надстройки собственной разработки, часто полностью меняющие внешний вид операционной системы и носящие замысловатые имена вроде OneUI, ColorOS и так далее. Их внутреннее устройство и способ обновления отличаются у разных производителей — многие из них стараются приурочить обновление надстройки к общему обновлению Android, но это не универсальное правило.  
      Посмотреть статью полностью
×
×
  • Создать...