Вирус (Возможно) использует PowerShell

[GrigoryBel 0]

Здравствуйте, совсем недавно появилась проблема связанная с PowerShell. Примерно каждые 15 мин. эта командная строка запускается сама по себе, и из за этого выкидывает из приложений на раб. стол. Открывается и тут же пропадает, происходит это за секунду, но жутко надоедает когда сворачиваются приложения. В самой строке пусто, почему это происходит я так и не смог понять . Пытался найти решение в сети, ничего не помогло, наткнулся на вот такую статью  "MSH/Cibyz не использует какой-либо уязвимости PowerShell, а эксплуатирует его функциональную возможность исполнять скрипты. Тем самым новый код похож на batch-вирусы, написанные на Javascript или Visual Basic, команда загрузить которые поступает в систему при исполнении скрипта." Не исключаю возможность того что сам мог скачать вирус, при выкл антивирусе. Производил полную проверку с самыми свежими базами ничего не находит. Если даже это не вирус может есть какие нибудь варианты отключения самого PowerShell или того процесса который заставляет его с периодичностью появляться? 

[kmscom 1936]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[GrigoryBel 0]

Логи

CollectionLog-2017.10.26-17.46.zip

[Sandor 957]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\thzXuJvjU\ZSraoGc.dll', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFileF('c:\users\grigory\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\thzXuJvjU\ZSraoGc.dll', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Grigory\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 DeleteFileMask('c:\users\grigory\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\grigory\appdata\roaming\setupsk');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[GrigoryBel 0]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\thzXuJvjU\ZSraoGc.dll', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\setupsk\ml.py', '');
 QuarantineFile('C:\Users\Grigory\AppData\Roaming\setupsk\python\pythonw.exe', '');
 QuarantineFileF('c:\users\grigory\appdata\roaming\setupsk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\thzXuJvjU\ZSraoGc.dll', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\Microsoft\msi.exe', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\setupsk\ml.py', '32');
 DeleteFile('C:\Users\Grigory\AppData\Roaming\setupsk\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Grigory\Favorites\Links\Интернет.url');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 DeleteFileMask('c:\users\grigory\appdata\roaming\setupsk', '*', true);
 DeleteDirectory('c:\users\grigory\appdata\roaming\setupsk');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

[KLAN-7041317428]

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[Sandor 957]

Не цитируйте, пожалуйста, полностью. Используйте форму быстрого ответа внизу.

Ждем повторные логи.

[GrigoryBel 0]

2

CollectionLog-2017.10.26-20.58.zip

[Sandor 957]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[GrigoryBel 0]

Приложение блокируется в целях безопасности. Пробовал напрямую через командную строку, через реестр отключал, одно окошко сменяется другим и все равно в прогу не пускает.
 

[Sandor 957]

Временно отключите Как отключить SmartScreen

[GrigoryBel 0]

Он с самого начала был отключен, с потом я включил этот adw

AdwCleanerS0.txt

[GrigoryBel 0]

Почистил с помощью adw уже 2 ч PowerShell не появляется, думаю убило заразу. Точнее могу сказать завтра. 

[Sandor 957]

Отчет об очистке (с символом [C] в имени файла) покажите.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[GrigoryBel 0]

Теперь могу точно сказать что ADW помог. Вот логи отчистки.

AdwCleanerC0.txt

[Sandor 957]

Отчеты Farbar Recovery Scan Tool покажете?