троян powershall разлетелся по сети

[Максим Павельев]

не получилось 

scan.txt

[Sandor]

Всё найденное можно удалить (поместить в карантин).

[Максим Павельев]

Всё найденное можно удалить (поместить в карантин).

повторное сканирование угроз не обнаружило.

кстати запустилась после этого программа автозапуска

PAVELEV_2019-01-30_16-43-27_v4.1.2.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  zoo %SystemDrive%\USERS\PC.MAXIM\APPDATA\LOCAL\TEMP\BMCSECURITY\STUNNEL.EXE
  ;---------command-block---------
  delref %SystemRoot%\TEMP\GUR8F5.EXE
  bl 9DEA0DA217DC6CCCDF8FEDCB239172C6 1054464
  zoo %Sys32%\TESSAFE.SYS
  delall %Sys32%\TESSAFE.SYS
  delref INLINE.GO.MAIL.RU
  delref %SystemDrive%\USERS\PC\DOWNLOADS\JXPIINSTALL.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  apply
  
  deltmp
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

[Максим Павельев]

2019.01.30_ZOO_2019-01-30_18-45-31_09d08b2f5693328ec72577b218565342.7z

[Sandor]

Что сейчас с проблемой?

[Максим Павельев]

Что сейчас с проблемой?

вируса не наблюдаю, ЦП не нагружается.

все как раньше , спасибо.

могу ли я узнать как вирус мог попасть ко мне?

[Sandor]

как вирус мог попасть ко мне?

Всё нижеследующее по возможности следует исправить:

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Учетная запись гостя включена. Пароль не установлен.

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3156016 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

HotFix KB4056894 Внимание! Скачать обновления

HotFix KB4056897 Внимание! Скачать обновления

HotFix KB4074587 Внимание! Скачать обновления

HotFix KB4103712 Внимание! Скачать обновления

HotFix KB4343899 Внимание! Скачать обновления

HotFix KB4457145 Внимание! Скачать обновления

HotFix KB4462923 Внимание! Скачать обновления

HotFix KB4480970 Внимание! Скачать обновления

HotFix KB4487345 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-bit) v.5.50.0 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления

Oracle VM VirtualBox 5.2.16 v.5.2.16 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.6.0.74 v.3.6.0.74 Внимание! Скачать обновления

LibreOffice 5.3.3.2 v.5.3.3.2 Внимание! Скачать обновления

Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

TeamViewer 13 v.13.1.3629 Внимание! Скачать обновления

VLC media player v.3.0.4 Внимание! Скачать обновления

WinRAR 5.50 (32-разрядная) v.5.50.0 Внимание! Скачать обновления

OpenOffice 4.1.3 v.4.13.9783 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.44994 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------------- [ SPY ] ---------------------------------

TightVNC v.2.8.11.0 Внимание! Программа удаленного доступа!

UltraVnc v.1.2.1.2 Внимание! Программа удаленного доступа!

Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!

-------------------------------- [ Java ] ---------------------------------

Java SE Development Kit 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u201-windows-x64.exe)^

Java 8 Update 191 v.8.0.1910.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 31 ActiveX v.31.0.0.108 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 62.0.3 (x64 ru) v.62.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Yandex v.18.11.1.805 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------

Google Toolbar for Internet Explorer Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Рекомендации после удаления вредоносного ПО