Перейти к содержанию

powershell.exe вредоносная ссылка


Рекомендуемые сообщения

Здравствуйте, вот такая ситуация вторые сутки, поиск проблемы с помощью разных антивирусов не дал результата 

Событие: Переход остановлен
Пользователь: DESKTOP-0CHI1MB\Мой
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=d1ygFMB_1380
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 21.11.2021 1:06:00

 

При приостановке антивируса, стандарнтый Microsoft Defender проблем не видит. В Chrome делала сброс настроек и поиск вредносного ПО, так же не помогло. Так же как и в предыдущих темах форума, проблема очень похожа- каждые 20 минут оповещение, не зависимо от того, выполнен вход в браузер или нет.

 

Пожалуйста, помогите решить эту проблему.

 

Прилагаю файл протоколов

CollectionLog-2021.11.21-02.24.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\SyncCenter\SyncCenter');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Здравствуйте, скрипт выполнила

Новые логи  прилагаю

CollectionLog-2021.11.21-08.49.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{294FA9C8-D46D-4161-9955-9E0BC90EE475}C:\program files\java\jre1.8.0_271\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_271\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{DC726C53-A95A-4B49-8335-D4D128B2AF55}C:\program files\java\jre1.8.0_271\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_271\bin\javaw.exe => Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.13.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления
WinRAR 5.01 (32-разрядная) v.5.01.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2227, 01.09.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 13 Plugin v.13.0.0.206 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.21.11.0.1996 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • kurosakichel
      От kurosakichel
      Всем привет! Связался с такой проблемой, что скачал давным-давно вирус с майнером, который как я понял за некоторое время вшился в мой биос. Когда я убедился, что на моем компьютере есть майнер по двум признакам. Это когда с закрытым диспетчером задач вентиляторы в компьютере начинают шуметь и компьютер загружается на 60-70%, а когда я открываю диспетчер задач вентиляторы утихают и резко с 70% загруженности цп падает до низкого процента (10-30%). И еще один признак, когда мне посоветовали скачать антивирус Dr.Web он начал вечно блокировать приложение powershell.exe и тогда я понял, что благодаря нему майнер и сидит в моем компьютере и удалить его без посторонней помощи для меня - никак. Пробная подписка на Dr.Web истекла и я решился переустановить виндовс вновь с надеждой на везение, но увы, не помогло. Майнер так и остался в моем компьютере... Очень хочется удалить майнер без замены деталей в компьютере. Помогите пожалуйста!!
    • kotodrotin
      От kotodrotin
      Здравствуйте.
      Заметил что ноутбук начал шуметь в простое и нагружать процессор на 50-60 процентов, а нагрузка шла от программы Powershell, причем проверял в программе process explorer, потому что открывая просто диспетчер задач нагрузка процессора падала, а процесс powershell сбрасывался. Проверил антивирусом malware и drweb culteir и без результатно

    • JohnJohnson
      От JohnJohnson
      Привет! Подхватил майнер, уже знаю откуда, больше не подхвачу. Прогнал через dr web cureit, он несколько файлов нашёл и удалил, но майнер остался. Потом пошёл через AutoLogger, там в планировщке 3 файла вредоносного скрипта в powershell. Я сделал скрипт для удаления, ввёл его в АВЗ, ребутнул компьютер. Потом снова прогнал через AutoLogger, там эти файлы всё равно остались. Видимо, что-то ещё нужно добавить в скрипт. Тут я уже не компетентен(

      Заранее большое спасибо!
      CollectionLog-2022.06.25-23.31.zip
    • RevMirin
      От RevMirin
      Последнее время появилась в диспетчере задача powershell.exe. Нагружает систему так, что даже браузер хром позавидует (Скрин скину ниже). Что мне делать? Сама программа не появляется, появляется только в диспетчере
      Очень надеюсь на вашу помощь

×
×
  • Создать...