[РЕШЕНО] Вирус Powershell, возможно майнер

[Egrassa]

Здравствуйте. Заметил что в простое нагружается процессор на 60-70%. Открывая диспетчер задач, все резко приходило в норму, переставало грузить. 
Воспользовавшись сторонним диспетчером задач (при нем процесс не сбрасывался), выяснил что грузит powershell.exe который невозможно определить где находится. Помогите разобраться. Прилагаю логи и скрин из процессов. 

CollectionLog-2021.10.26-23.07.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\Active Directory Rights Management Services Client\Active Directory Rights Management Services Client');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Egrassa]

Актуальные логи

CollectionLog-2021.10.26-23.49.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Egrassa]

Прикрепил сканы.

FRST.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [SecurityHealth] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2021-10-25 19:55 - 2021-10-26 21:08 - 000000000 ____D C:\Users\egras\AppData\Local\WaspAce
CustomCLSID: HKU\S-1-5-21-942834631-954418287-3247520087-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\egras\AppData\Local\Microsoft\OneDrive\19.222.1110.0006\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-942834631-954418287-3247520087-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\egras\AppData\Local\Microsoft\OneDrive\19.222.1110.0006\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-942834631-954418287-3247520087-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\egras\AppData\Local\Microsoft\OneDrive\19.222.1110.0006\amd64\FileSyncShell64.dll => Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
FirewallRules: [{DA9C3629-C5CD-40E1-82DE-D112AFA16E64}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{E5ACEEA9-B2AA-4B1E-BC35-DB6957B3ADDA}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{C2E89229-72F5-4E90-8E84-971F68C842D5}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{255971E8-7C8C-4681-8A15-BDF4A32FFB08}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{E9D4FDED-7C0C-49FC-802E-F2C2BAF04A0C}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Tools\Launcher.exe => Нет файла
FirewallRules: [{0884C16F-C921-4CD2-9FD7-39B3BBE63E31}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{21198B40-A92A-4B95-ADC3-9F6AA102CCB6}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Warframe.x64.exe => Нет файла
FirewallRules: [{CA3AB28F-8991-486B-B48E-595D078F2679}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Warframe\Tools\RemoteCrashSender.exe => Нет файла
FirewallRules: [{DF11D0B6-E1AD-434C-B9FD-692E9016DC0A}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Platzkart Simulator\Platzkart Simulator\Platzkart Simulator.exe => Нет файла
FirewallRules: [{F35ABBF7-76F8-4199-9EDD-2873BD408DA7}] => (Allow) F:\Instal Games\SteamLibrary\steamapps\common\Platzkart Simulator\Platzkart Simulator\Platzkart Simulator.exe => Нет файла
FirewallRules: [TCP Query User{B07DAA4A-D293-4FF7-833C-DB2184A509DB}C:\users\egras\appdata\roaming\gameranger\gameranger\gameranger.exe] => (Allow) C:\users\egras\appdata\roaming\gameranger\gameranger\gameranger.exe => Нет файла
FirewallRules: [UDP Query User{3EC0A8FD-92CF-4F63-B737-32AD677E21E8}C:\users\egras\appdata\roaming\gameranger\gameranger\gameranger.exe] => (Allow) C:\users\egras\appdata\roaming\gameranger\gameranger\gameranger.exe => Нет файла
FirewallRules: [TCP Query User{8DA15D82-D420-4AFE-8397-F620274A5BD4}F:\instal games\swat 4\contentexpansion\system\swat4x.exe] => (Allow) F:\instal games\swat 4\contentexpansion\system\swat4x.exe => Нет файла
FirewallRules: [UDP Query User{4F7C67F6-342A-46A6-983F-D4D58E02C742}F:\instal games\swat 4\contentexpansion\system\swat4x.exe] => (Allow) F:\instal games\swat 4\contentexpansion\system\swat4x.exe => Нет файла
FirewallRules: [TCP Query User{03D7C6E8-2E3B-44DE-9479-4ECB1B80BC7F}C:\programdata\windows\profile\wasp.exe] => (Block) C:\programdata\windows\profile\wasp.exe => Нет файла
FirewallRules: [UDP Query User{B1989426-D547-44B9-8E43-C1A2F9011C0E}C:\programdata\windows\profile\wasp.exe] => (Block) C:\programdata\windows\profile\wasp.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Egrassa]

Сделал.

Fixlog.txt

[thyrex]

Проблема решена?

[Egrassa]

Думаю да, подозрительной активности не наблюдаю. Большое спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Egrassa]

Готово

SecurityCheck.txt

[thyrex]

Цитата

-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 79.0 (x64 ru) v.79.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

выполните рекомендованное, и на этом закончим
 

[Egrassa]

Больше спасибо!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".