[РЕШЕНО] PowerShell каждые 20 минут пытается перейти на вредоносный сайт

[Baize]

Здравствуйте!

Каждые 20 минут Kaspersky Total Security фиксирует попытку PowerShell перейти на вредоносный сайт

это происходит независимо от того открыт какой-нибудь браузер или нет.

Полное сканирование ПК программой KTS вирусов не обнаружило.

 

KVRT при сканировании указало 3 объекта - легальные программы которые могут быть использованы злоумышленниками... 

Помогите пожалуйста решить проблему!

Лог после работы AutoLogger прилагаюCollectionLog-2021.11.20-17.08.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\service.exe','');
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\ProgramData\windows\dlchosts.exe','');
 DeleteSchedulerTask('Microsoft\Windows\Printing\Printing');
 DeleteFile('C:\ProgramData\windows\dlchosts.exe','32');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
 DeleteFile('C:\ProgramData\windows\profile\service.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Baize]

Скрипты выполнил. Карантин отправил через форму.

Новый лог AutoLogger прикрепилCollectionLog-2021.11.21-00.40.zip

Пока сообщение о попытке перехода не появлялось

Спасибо

Изменено 20 ноября, 2021 пользователем Baize

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Baize]

Спасибо за помощь!

FRSTResult.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
C:\ProgramData\windows\profile
FirewallRules: [{A7D05C88-AD34-4C68-BBCC-96CA4B989EE3}] => (Allow) C:\Users\Админ\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{6F375116-C064-4EA2-8C8E-3B0BCBB0BBBE}] => (Allow) C:\Users\Админ\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{7B7114DF-8C51-4A3E-B7FF-789D924B3F5A}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{DB0A982F-C474-4326-8B85-161CB56A6936}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe (WaspAce Service -> WaspAce) [Файл не подписан]
FirewallRules: [{7E9E9D6D-39A7-4AE3-806F-84903094965D}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [Файл не подписан]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Baize]

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Baize]

SecurityCheck.txt

[thyrex]

Цитата

--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.16 v.6.1.16 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.5.2 (12494.0204) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.9-I601-Win10  v.2.4.9-I601-Win10 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
VdhCoApp 1.6.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

выполните рекомендации, и на этом закончим

[Baize]

Рекомендации выполнены

Спасибо!

Изменено 21 ноября, 2021 пользователем Baize

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".