PowerShell пытается перекинуть на вредоносную ссылку

[Snake200221]

Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
 

Цитата

Событие: Переход остановлен
Пользователь: ILYA\sc211
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://i.404.pm/2024/11/16/1731762779-9803.jpeg
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731762779-9803.jpeg
Путь к объекту: https://i.404.pm/2024/11/16
Причина: Облачная защита

Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 

CollectionLog-2025.01.04-00.02.zip

Изменено 3 января пользователем Snake200221

[Snake200221]

Также не было найдено вирусов при проверке программой Dr.Web Curelt! и Kaspersky Internet Security 

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
 DeleteSchedulerTask('SecurityHealthSystray');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Snake200221]

После выполнения скрипта касперский не ругался на переход, а powershell не высветился. За 10 минут вроде бы ничего не запустилось CollectionLog-2025.01.04-02.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Snake200221]

Logs.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-985872274-3998727868-663803244-1003\...\Run: [YandexBrowserAutoLaunch_ACEF9219E7E291FD78B57B786F01C070] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-985872274-3998727868-663803244-1003_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\sc211\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла
C:\Users\sc211\AppData\Roaming\Microsoft\Word\ЛЦ_5_Хм24о1_ИС_модел_БД%20311518900655605645\ЛЦ_5_Хм24о1_ИС_модел_БД%20.pdf.lnk
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
FirewallRules: [{99601530-E570-49DB-B47D-1C011965A953}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{63B14168-969B-4670-A1A3-22C20F6932EC}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{76D42EFE-74D0-4B63-9D47-56B5F5DD7F31}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{BFF0C097-E31F-4E77-958B-E287FDDE2D0F}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{451D5751-E2AB-4D55-AC79-C3E9463A2554}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{8BD20539-BDF3-4140-B713-4D00E2F8F70D}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{F67070DF-6CC5-47B0-B97C-CDF107F24596}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{803A7CE8-9B11-4A83-A9D9-344C785EC9D7}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{4910CED1-9271-4DFD-A4D2-AF16415E97D4}] => (Allow) D:\Steam\steamapps\common\Age of History 3\aoh3.exe => Нет файла
FirewallRules: [{E8258F27-9D9C-4E2C-9AA5-466E2536EF78}] => (Allow) D:\Steam\steamapps\common\Age of History 3\aoh3.exe => Нет файла
FirewallRules: [{7CC2F999-C28E-40F8-B011-CBC6BD6C30AF}] => (Allow) D:\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe => Нет файла
FirewallRules: [{939762D0-0872-4FF7-8E84-15ABAEEDBE13}] => (Allow) D:\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Snake200221]

Fixlog_04-01-2025 16.20.22.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Snake200221]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Notepad++ (64-bit x64) v.8.6.9 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20481 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.12.6 (64-bit) v.3.12.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.95.3 Внимание! Скачать обновления
GIMP 2.10.38-1 v.2.10.38 Внимание! Скачать обновления
Discord v.1.0.9152 Внимание! Скачать обновления
Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
Yandex (All Users) v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.