Перейти к содержанию

[РЕШЕНО] Kaspersky (Защита AMSI) постоянно помечает powershell.exe как троян HEUR:Trojan-Downloader.BAT.Agent.gen


Рекомендуемые сообщения

Опубликовано

15.03.2026 при загрузке системы начало появляться окно PowerShell.

Мои аккаунты Discord, Steam и Telegram были взломаны, но на данный момент я восстановил к ним доступ. Kaspersky удаляет трояны, но уведомления об угрозах продолжают появляться до сих пор.

(Примечание: русский язык не является моим родным).

Application name: powershell.exe
Application path: C:\Windows\System32\WindowsPowerShell\v1.0
Component: AMSI Protection
Result description: Detected
Type: Trojan
Name: HEUR:Trojan-Downloader.BAT.Agent.gen
Precision: Heuristic analysis
Threat level: High
Object type: File
Object name: amsi_stream_1991
Object path: uid://
MD5 of an object: B3127F27D52B5A4B709C5ABD09B52141
Reason: Expert analysis

image.thumb.png.d82c3af55c5d954b7cd941c0fb49198a.pngimage.thumb.png.7f78beea429690b828d5be7b829c9218.png
Я следую инструкциям, но не очень хорошо читаю по-русски. Посмотрите, пожалуйста, скачал ли я правильную программу?

Опубликовано

Здравствуйте!

 

Да, правильную и нужно нажать "Run anyway".

  • Like (+1) 1
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteSchedulerTask('GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem47.0.7703.3{47263A17-2D66-43B9-9692-30514D0C1AEC}');
 DeleteSchedulerTask('Windows Perflog');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Опубликовано

Файл не загрузился. Попробуйте ещё раз его перетащить в область ответа или по ссылке "выберите файлы":

image.png

Опубликовано

Хорошо, проблема уже должна решиться. Но для верности сделайте, пожалуйста, дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано (изменено)

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    CreateRestorePoint:
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\coredata.lnk [2026-03-13] <==== ATTENTION
    ShortcutTarget: coredata.lnk -> J:\Eroge\DOujin\WorkNite Games\Free Files Downloaded\data\.temp\2MppoPjys.exe (No File) <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox Private Browsing.lnk:C5112377E0 [3442]
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Убрал очистку временных.
Опубликовано

Касательно выхода из всех аккаунтов: из каких именно аккаунтов будет произведен выход? Это касается всех приложений и всех веб-сайтов, или только учетных записей Google?

Опубликовано

Подразумевается аккаунт Google. То есть, вы должны быть готовы к тому, что придется снова входить. Но такой выход из аккаунтов может и не произойти.

Если это для вас критично, сообщите и я изменю скрипт, уберу эту очистку.

Опубликовано

Спасибо. У меня несколько профилей Google для разных целей, поэтому повторный вход во все аккаунты может стать для меня проблемой. Если это не сильно повлияет на безопасность, я бы предпочел не выходить из систем...
 

Могу ли я сохранить свои открытые вкладки в закладки прямо сейчас? Учитывая, что история браузера будет удалена.

Опубликовано

Сохранить нужные вкладки не помешает в любом случае.

Я убрал команду из скрипта и теперь ни выхода из аккаунта, ни очистки временных файлов и истории не будет.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Bloodii
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • mkukgh
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...