Перейти к содержанию

[РЕШЕНО] Подозрение на вирусы и майнеры (Powershell 3x, wasping, и тп.)


Рекомендуемые сообщения

Начну коротко и сразу: пару дней назад увидел в диспетчере задач Wasping (процесс), перешёл по расположению - удалил, больше не появлялся. Нашёл ещё какой-то майнер (загуглив выяснил что майнер), тоже удалил. После этого пк частенько начал грузить процессор или диск под 100%, процессами "System, Powershell (по три открывается, нагуглив узнал что это для скриптов, если сам не врубал - скорее всего вирус). Искал пару дней пордяд методы проверки вручную, перепробовал много, ничего не нашёл. Пк постоянно грузит. AVZ скан сделал, отчёт прикреплю. Антивирус Kaspersky Security Cloud сканировал, помог удалить Wasping и ещё один майнер до конца (по крайней мере не находил более), сейчас не знаю что может вызвать, прошу помочь.

CollectionLog-2021.10.31-20.16.zip

Ещё дополню, проверял (включая и выключая диспетчер задач, часто при выключении пк начинает нагружаться, а при включении - "успокаивается", что намекает на майнер или другой вирус)

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\rempl\sedlauncher.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Feedback\Feedback');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Всё сделал по инструкции, про отправку файл в карантин - перед загрузкой выдало много ошибок, "ошибка, попытка прямого чтения", что-то такое, красным текстом. архив Quarantine.zip пустой.

Только что повторил весь код (по новой запустил), пишет следующее: Ошибка чтения, карантина файла C\program files\rempl\sedlauncher.exe (и ещё что-то в конце)

Ссылка на сообщение
Поделиться на другие сайты

Во время создания нового лога, в 9 пункте написано следующее было: 9 мастер поиска и устранения проблем нарушение ассоциации ACR файлов. Так же сделал скриншот диспетчера задач, Powershell и "центр отзывов" продолжают появлятся грузя диск.

Безымянный.png

CollectionLog-2021.10.31-21.46.zip

Ссылка на сообщение
Поделиться на другие сайты
Click Install if prompted [20201117]-->MsiExec.exe /I{40830C8E-936E-4E08-AE37-240FF3343927}
ExpressVPN [20201117]-->MsiExec.exe /X{36A1885F-4576-438F-8A99-51A4F06E3F90}
ExpressVPN [2021/06/08 23:23:36]-->"C:\ProgramData\Package Cache\{93b3f447-5cfb-4b6f-a006-1e0902af5ff3}\ExpressVPN_6.6.1.4227.exe"  /uninstall
Менеджер браузеров [20200711]-->MsiExec.exe /X{C187DB08-7705-4616-834B-87B3087AE698}
Менеджер браузеров [2021/10/26 07:40:37]-->"C:\Users\vipkr\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall

Эти программы сами ставили?

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

Начну по немногу. Для начала прикину отчёт ClearLNK, после начну следующее. (после проделанного, появилось 2 лога, какой из них нужен - не знаю, скину оба, и начну делать шаги с uVS)

Check_Browsers_LNK.log ClearLNK-2021.10.31_22.40.43.log

Пока идёт формирование списка, отвечу на вопрос про программы: "Click Install if prompted" - вообще не понимаю, что это такое, если что-то лишнее то не нужно. Express VPN ставил, ибо проблемы с блокировками РКН начинались, нужно было крутиться. Менеджер браузеров был поставлен когда-то давно, при установке игры (случайно не выключенная галочка), удалял его несколько раз, возвращается так что забросил его.

Прикрепляю ЛОГ uVS

DESKTOP-9ABB609_2021-10-31_22-58-38_v4.11.11.7z

Насчёт AutorunsVTchecker: программа отписала что "всё проверенно", про логи или что-либо такое не писалось, только кнопка "ОК"

Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, Maksimvini сказал:

"Click Install if prompted" - вообще не понимаю, что это такое

Удалите тогда через установку и удаление программ.

Ссылка на сообщение
Поделиться на другие сайты

"Click install if prompted" - не находит как не искал в ручную, или писал (даже словами, по типу "Click, if, install и тп". Удаление программ не видит, в Програмы и компоненты тоже не видно. (прикреплю фото и там и там, склею в Paint в одно фото)1312755403_.thumb.png.6f5f92027ce053a2195fae077945d9c4.png

Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11.11 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    BREG
    dirzoo %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE
    dirzooex %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE
    ;---------command-block---------
    bl 654429A818A6FF18A6B2F5DAD6C28548 160
    zoo %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE\1.VBS
    delall %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE\1.VBS
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
    delref %SystemRoot%\TEMP\RADMIN_VPN_1.1.4395.16 (1).EXE
    apply
    
    czoo
    restart
    
    
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z)
  7. Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

что с проблемой?

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Всё сделал как вы сказали, пк запустился нормально, в процессах не было с самого начала два процесса про отзыв (1 настоящий, дефолтный был, второго вирусного не было), Powershell вроде-бы перестали пропадать, но что-бы точно выяснить пропала ли проблема, нужно время (ибо эти процессы запускались раз в пол часа). Оправил письмо по почте, прикреплю ещё один текстовик (на всякий случай, вдруг поможет чем. Получился отдельно от скана, в тот архив не кидался)

2021-10-31_23-51-58_log.txt

на счёт "Powershell перестали пропадать" оговорился, появляться перестали)

Ссылка на сообщение
Поделиться на другие сайты

Понаблюдайте, проявится ли проблема. Письмо пришло без архива.

 

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Gectar
      От Gectar
      Привет.
      Kaspersky Anti-Virus каждые 20 минут фиксирует попытку PowerShell перейти на вредоносный сайт

      Событие: Переход остановлен
      Пользователь: DESKTOP-HKUMLCG\gecta
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=bpj2fVZ_1380
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Сегодня, 27.11.2021 8:05:00

      Сканирование с помощью Kaspersky Anti-Virus и Kaspersky Virus Removal Tool ничего не обнаружило.
      Помогите пожалуйста решить проблему!
      Лог после работы AutoLogger прилагаю 
      CollectionLog-2021.11.27-11.27.zip
    • L4H
      От L4H
      Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:
       
      Событие: Переход остановлен
      Пользователь: AMENO\Heller
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=g7LVNEq_1790
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Вчера, 23.11.2021 19:43:00

      Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
      KVRT и CureIt ничего не нашли.

      Помогите решить проблему, пожалуйста.
      CollectionLog-2021.11.23-23.54.zip
    • guts
      От guts
      Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.
      CollectionLog-2021.11.23-16.17.zip
    • Ark
      От Ark
      Добрый день.
       
      Появляется процесс powershell.exe, грузит ЦПУ и ГПУ.
       
      При открытии таск-менеджера прячется, приостанавливается вручную через process explorer, если прервать, возобновляется минут через 5.
       
      KVRT и CureIt ничего не находят, Malwarebytes - тоже. Возможно не связано, но перестал запускаться Outlook.
       
       
      CollectionLog-2021.11.22-12.32.zip
    • Anastasia11011
      От Anastasia11011
      Здравствуйте, вот такая ситуация вторые сутки, поиск проблемы с помощью разных антивирусов не дал результата 
      Событие: Переход остановлен
      Пользователь: DESKTOP-0CHI1MB\Мой
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=d1ygFMB_1380
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Сегодня, 21.11.2021 1:06:00
       
      При приостановке антивируса, стандарнтый Microsoft Defender проблем не видит. В Chrome делала сброс настроек и поиск вредносного ПО, так же не помогло. Так же как и в предыдущих темах форума, проблема очень похожа- каждые 20 минут оповещение, не зависимо от того, выполнен вход в браузер или нет.
       
      Пожалуйста, помогите решить эту проблему.
       
      Прилагаю файл протоколов
      CollectionLog-2021.11.21-02.24.zip
×
×
  • Создать...