Перейти к содержанию

powershell.exe вредоносная ссылка


Рекомендуемые сообщения

Здравствуйте, вот такая ситуация вторые сутки, поиск проблемы с помощью разных антивирусов не дал результата 

Событие: Переход остановлен
Пользователь: DESKTOP-0CHI1MB\Мой
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=d1ygFMB_1380
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 21.11.2021 1:06:00

 

При приостановке антивируса, стандарнтый Microsoft Defender проблем не видит. В Chrome делала сброс настроек и поиск вредносного ПО, так же не помогло. Так же как и в предыдущих темах форума, проблема очень похожа- каждые 20 минут оповещение, не зависимо от того, выполнен вход в браузер или нет.

 

Пожалуйста, помогите решить эту проблему.

 

Прилагаю файл протоколов

CollectionLog-2021.11.21-02.24.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\SyncCenter\SyncCenter');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Здравствуйте, скрипт выполнила

Новые логи  прилагаю

CollectionLog-2021.11.21-08.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{294FA9C8-D46D-4161-9955-9E0BC90EE475}C:\program files\java\jre1.8.0_271\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_271\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{DC726C53-A95A-4B49-8335-D4D128B2AF55}C:\program files\java\jre1.8.0_271\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_271\bin\javaw.exe => Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.13.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления
WinRAR 5.01 (32-разрядная) v.5.01.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2227, 01.09.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 13 Plugin v.13.0.0.206 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.21.11.0.1996 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Gectar
      От Gectar
      Привет.
      Kaspersky Anti-Virus каждые 20 минут фиксирует попытку PowerShell перейти на вредоносный сайт

      Событие: Переход остановлен
      Пользователь: DESKTOP-HKUMLCG\gecta
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=bpj2fVZ_1380
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Сегодня, 27.11.2021 8:05:00

      Сканирование с помощью Kaspersky Anti-Virus и Kaspersky Virus Removal Tool ничего не обнаружило.
      Помогите пожалуйста решить проблему!
      Лог после работы AutoLogger прилагаю 
      CollectionLog-2021.11.27-11.27.zip
    • L4H
      От L4H
      Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:
       
      Событие: Переход остановлен
      Пользователь: AMENO\Heller
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=g7LVNEq_1790
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Вчера, 23.11.2021 19:43:00

      Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
      KVRT и CureIt ничего не нашли.

      Помогите решить проблему, пожалуйста.
      CollectionLog-2021.11.23-23.54.zip
    • guts
      От guts
      Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.
      CollectionLog-2021.11.23-16.17.zip
    • Ark
      От Ark
      Добрый день.
       
      Появляется процесс powershell.exe, грузит ЦПУ и ГПУ.
       
      При открытии таск-менеджера прячется, приостанавливается вручную через process explorer, если прервать, возобновляется минут через 5.
       
      KVRT и CureIt ничего не находят, Malwarebytes - тоже. Возможно не связано, но перестал запускаться Outlook.
       
       
      CollectionLog-2021.11.22-12.32.zip
    • Baize
      От Baize
      Здравствуйте!
      Каждые 20 минут Kaspersky Total Security фиксирует попытку PowerShell перейти на вредоносный сайт
      это происходит независимо от того открыт какой-нибудь браузер или нет.
      Полное сканирование ПК программой KTS вирусов не обнаружило.
       
      KVRT при сканировании указало 3 объекта - легальные программы которые могут быть использованы злоумышленниками... 
      Помогите пожалуйста решить проблему!
      Лог после работы AutoLogger прилагаюCollectionLog-2021.11.20-17.08.zip
×
×
  • Создать...