PowerShell пытается перекинуть на вредоносную ссылку

Пятница в 21:06

Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует

Цитата

Событие: Переход остановлен
Пользователь: ILYA\sc211
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://i.404.pm/2024/11/16/1731762779-9803.jpeg
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731762779-9803.jpeg
Путь к объекту: https://i.404.pm/2024/11/16
Причина: Облачная защита

Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему

CollectionLog-2025.01.04-00.02.zip

Изменено Пятница в 21:13 пользователем Snake200221

Пятница в 21:39

Также не было найдено вирусов при проверке программой Dr.Web Curelt! и Kaspersky Internet Security

Пятница в 23:20

Здравствуйте.

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
 DeleteSchedulerTask('SecurityHealthSystray');
ExecuteSysClean;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Пятница в 23:39

После выполнения скрипта касперский не ругался на переход, а powershell не высветился. За 10 минут вроде бы ничего не запустилось CollectionLog-2025.01.04-02.38.zip

Суббота в 03:19

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Суббота в 12:04

Logs.rar

Суббота в 13:16

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-985872274-3998727868-663803244-1003\...\Run: [YandexBrowserAutoLaunch_ACEF9219E7E291FD78B57B786F01C070] => "C:\Program Files (x86)\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-985872274-3998727868-663803244-1003_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\sc211\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла
C:\Users\sc211\AppData\Roaming\Microsoft\Word\ЛЦ_5_Хм24о1_ИС_модел_БД%20311518900655605645\ЛЦ_5_Хм24о1_ИС_модел_БД%20.pdf.lnk
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
FirewallRules: [{99601530-E570-49DB-B47D-1C011965A953}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{63B14168-969B-4670-A1A3-22C20F6932EC}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{76D42EFE-74D0-4B63-9D47-56B5F5DD7F31}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{BFF0C097-E31F-4E77-958B-E287FDDE2D0F}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{451D5751-E2AB-4D55-AC79-C3E9463A2554}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{8BD20539-BDF3-4140-B713-4D00E2F8F70D}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{F67070DF-6CC5-47B0-B97C-CDF107F24596}] => (Allow) D:\Steam\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{803A7CE8-9B11-4A83-A9D9-344C785EC9D7}] => (Allow) D:\Steam\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{4910CED1-9271-4DFD-A4D2-AF16415E97D4}] => (Allow) D:\Steam\steamapps\common\Age of History 3\aoh3.exe => Нет файла
FirewallRules: [{E8258F27-9D9C-4E2C-9AA5-466E2536EF78}] => (Allow) D:\Steam\steamapps\common\Age of History 3\aoh3.exe => Нет файла
FirewallRules: [{7CC2F999-C28E-40F8-B011-CBC6BD6C30AF}] => (Allow) D:\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe => Нет файла
FirewallRules: [{939762D0-0872-4FF7-8E84-15ABAEEDBE13}] => (Allow) D:\Steam\steamapps\common\Total War WARHAMMER\launcher\launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

Суббота в 13:24

Fixlog_04-01-2025 16.20.22.txt

Суббота в 15:32

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

Суббота в 15:36

SecurityCheck.txt

Суббота в 18:00

По возможности исправьте:

Notepad++ (64-bit x64) v.8.6.9 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20481 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.12.6 (64-bit) v.3.12.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.95.3 Внимание! Скачать обновления
GIMP 2.10.38-1 v.2.10.38 Внимание! Скачать обновления
Discord v.1.0.9152 Внимание! Скачать обновления
Audacity 3.6.4 v.3.6.4 Внимание! Скачать обновления
Yandex (All Users) v.24.6.1.766 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

На этом закончим.

PowerShell пытается перекинуть на вредоносную ссылку

Рекомендуемые сообщения

Snake200221

Ссылка на комментарий

Поделиться на другие сайты

Snake200221

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Snake200221

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Snake200221

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Snake200221

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Snake200221

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum