Вирус DPC:PowerShell.AVKill.10

[dpv909]

Поймал судя по всему майнер. Откуда - идей нет. DrWeb - он обнаруживает его, выдает следующее: Дата:
12.08.2025 8:16Компонент:
SpIDer GuardКод:
501Событие:
Обнаружена угрозаСведения:
Объект: powershell.exe Угроза: DPC:PowerShell.AVKill.10 Действие: Не обезврежено Путь: \PROC\CMDLINE\2664\powershell.exe 

Проверку выполнял: найти угроз не удалось.

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[dpv909]

Логи прикрепил

CollectionLog-2025.08.12-17.52.zip

[thyrex]

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Avto - 1-T-A\AppData\Roaming\Sandboxie\sandboxie.exe','');
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 DeleteService('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
 DeleteFile('C:\Users\Avto - 1-T-A\AppData\Roaming\Sandboxie\sandboxie.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[dpv909]

Новые логи прикрепил, файл карантина отправлен через форму. 

CollectionLog-2025.08.13-08.36.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[dpv909]

Выполнено

FRST and Addition.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {036050E1-F58B-4571-952F-4764516A8785} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
Task: {14781715-A107-40A6-B224-22AA5DDE0211} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {D729C6E1-1610-4DD7-8E56-3C51A0194A97} - System32\Tasks\Eventer utilityS-1-5-21-1884392200-2399271191-1826644144-1000 => C:\Users\Avto - 1-T-A\AppData\Local\Mail.Ru\Atom\Application\eventer.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {B88EA158-5504-41A8-98F5-A665D874A7BE} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => %windir%\system32\sipnotify.exe  -LogonOrUnlock (Нет файла)
Task: {B29AC08D-B613-45A4-8D3C-40BA815E174D} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => %windir%\system32\sipnotify.exe  -Daily (Нет файла)
Task: {193EBF02-02F3-474C-8A8F-05344B726785} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => %SystemRoot%\ehome\ehPrivJob.exe  /DoActivateWindowsSearch (Нет файла)
Task: {3E00D638-BA8A-417D-9963-7821C2B00B35} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => %SystemRoot%\ehome\ehPrivJob.exe  /DoConfigureInternetTimeService (Нет файла)
Task: {C506FE43-D42E-4101-A345-DB86BB8E9474} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => %SystemRoot%\ehome\ehPrivJob.exe  /DoRecoveryTasks $(Arg0) (Нет файла)
Task: {1B41CA6C-7A8F-41F5-9EA3-E0B7F51CF647} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => %SystemRoot%\ehome\ehPrivJob.exe  /DRMInit (Нет файла)
Task: {BF402DB6-757E-4923-ADD7-FD8AFF07E4B9} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => %SystemRoot%\ehome\ehPrivJob.exe  /InstallPlayReady $(Arg0) (Нет файла)
Task: {448BE7FD-0523-44F4-970E-07E54064D2C3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => %SystemRoot%\ehome\mcupdate  $(Arg0) (Нет файла)
Task: {01AD9421-41BD-4536-9393-FD56843A50FE} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => %SystemRoot%\ehome\mcupdate.exe  -MediaCenterRecoveryTask (Нет файла)
Task: {6081F4C8-DC92-470E-80FD-3DA2A91ED3AC} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => %SystemRoot%\ehome\mcupdate.exe  -ObjectStoreRecoveryTask (Нет файла)
Task: {13E03956-60C4-4964-A266-0B5DB43E8DD2} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => %SystemRoot%\ehome\ehPrivJob.exe  /OCURActivate (Нет файла)
Task: {A6E71FEB-B734-4F4E-BCEE-BAE3D69CD486} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => %SystemRoot%\ehome\ehPrivJob.exe  /OCURDiscovery $(Arg0) (Нет файла)
Task: {F09712D6-A300-488D-9889-9A3436D6A102} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => %SystemRoot%\ehome\ehPrivJob.exe  /PBDADiscovery (Нет файла)
Task: {3031486E-88B6-4BAD-82D9-4B0D255AF8E5} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => %SystemRoot%\ehome\ehPrivJob.exe  /wait:7 /PBDADiscovery (Нет файла)
Task: {6E69F8C2-8E10-44B5-A1C5-79B835B9A7D9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => %SystemRoot%\ehome\ehPrivJob.exe  /wait:90 /PBDADiscovery (Нет файла)
Task: {63D7C37C-44B5-4484-B876-354BADD79128} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => %windir%\ehome\MCUpdate.exe  -pscn 0 (Нет файла)
Task: {5368A9E0-F871-4433-A908-A9DA13B36AB6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => %SystemRoot%\ehome\mcupdate.exe  -PvrRecoveryTask (Нет файла)
Task: {F6ACBDF6-AAFE-4BB6-9070-90B2DF6E696F} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => %SystemRoot%\ehome\mcupdate.exe  -PvrSchedule (Нет файла)
Task: {0BA3A670-4484-4683-9FD9-0C9DDF6EA034} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => %SystemRoot%\ehome\ehrec  /RestartRecording (Нет файла)
Task: {9CEF0385-4421-4008-8F95-35D79AA972AA} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => %SystemRoot%\ehome\ehPrivJob.exe  /DoRegisterSearch $(Arg0) (Нет файла)
Task: {1DC6FF1A-0ECE-4FC1-B044-01DFCA4605C3} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => %SystemRoot%\ehome\ehPrivJob.exe  /DoReindexSearchRoot (Нет файла)
Task: {79408892-A235-454F-818F-150CBCFEE273} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => %SystemRoot%\ehome\mcupdate.exe  -SqlLiteRecoveryTask (Нет файла)
Task: {96ED648D-3EAE-4BC2-A500-0F0B0E99073C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => %SystemRoot%\ehome\ehPrivJob.exe  /DoUpdateRecordPath $(Arg0) (Нет файла)
Task: {DCCFDE28-D5BA-45D8-B3FD-AF1AA5DCC7B2} - System32\Tasks\Opera scheduled Autoupdate 1538480425 => C:\Users\Avto - 1-T-A\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-05-15] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-04-09] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3438080 2025-06-11] (Microsoft Windows -> Microsoft Corporation)
2025-06-25 13:56 - 2025-08-12 19:15 - 000000000 ____D C:\Users\Avto - 1-T-A\AppData\Roaming\Sandboxie
CustomCLSID: HKU\S-1-5-21-1884392200-2399271191-1826644144-1000_Classes\CLSID\{0002DF01-0000-0000-C000-000000000046}\localserver32 -> "C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe" => Нет файла
FirewallRules: [UDP Query User{3E998FD3-C1CE-4EA5-ABCF-CE585CF0E3E6}C:\users\avto - 1-t-a\desktop\aa_v3.exe] => (Block) C:\users\avto - 1-t-a\desktop\aa_v3.exe => Нет файла
FirewallRules: [TCP Query User{2B6EE4C4-154B-4696-86D0-9D1333911951}C:\users\avto - 1-t-a\desktop\aa_v3.exe] => (Block) C:\users\avto - 1-t-a\desktop\aa_v3.exe => Нет файла
FirewallRules: [UDP Query User{A30F101C-6B41-4263-90A8-CEEC444164BF}C:\users\avto - 1-t-a\desktop\aa_v3.exe] => (Allow) C:\users\avto - 1-t-a\desktop\aa_v3.exe => Нет файла
FirewallRules: [TCP Query User{8ACC95B9-8E31-40A8-8969-C37BC29C216F}C:\users\avto - 1-t-a\desktop\aa_v3.exe] => (Allow) C:\users\avto - 1-t-a\desktop\aa_v3.exe => Нет файла
FirewallRules: [{0B6AD3E8-7742-436A-A525-FF3FB4BE84E1}] => (Allow) C:\Users\Avto - 1-T-A\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{CF5B286B-1C28-4C60-AFCB-68FCA2344C5F}] => (Allow) C:\Users\Avto - 1-T-A\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{C1CA263B-51B7-41ED-BDB6-258BAF0B5189}] => (Allow) C:\Users\Avto - 1-T-A\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{DB44742A-EF28-4EC7-A66A-AC7225E58AEB}] => (Allow) C:\Users\Avto - 1-T-A\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{D1F77231-2AD0-444F-B966-415E9FCB0ECB}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\Programs\Opera\opera.exe => Нет файла
FirewallRules: [{38ABEDEF-FF78-4973-9004-BE43B8329A98}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{05745730-E4AE-4EFC-987B-C5E193C85C35}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{560C1BFB-A0B6-4172-892B-B244142C06A8}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe => Нет файла
FirewallRules: [{6A2AB2CC-C162-4C91-9269-4CFB7F708DE3}] => (Allow) C:\Program Files (x86)\360\Total Security\Repair.exe => Нет файла
FirewallRules: [{C0D7FADF-FC51-4AED-B8F6-2A31FFCA0926}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\22.3.5106.64\installer\ceup.exe => Нет файла
FirewallRules: [{D93A46C9-E049-4721-BEB8-A41CD58AF76D}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\22.3.5106.64\installer\ceup.exe => Нет файла
FirewallRules: [{10457111-3899-4B3A-8978-269A1789C800}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{A50AD924-60B1-45EA-BE9E-6DB2B9B2FE3A}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла
FirewallRules: [{B8525012-E12E-4F49-9219-05F1AFE3FB7B}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\22.3.5106.64\installer\360mlupdate.exe => Нет файла
FirewallRules: [{CCC563D4-6ADF-4422-A790-14F74D0988CA}] => (Allow) C:\Users\Avto - 1-T-A\AppData\Local\360extremebrowser\Chrome\Application\22.3.5106.64\installer\360mlupdate.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[dpv909]

Выполнено, внесение информации в реестр - выполнено.

Fixlog.txt

[thyrex]

Проблема решена?

[dpv909]

Да! Спасибо огромное за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.