Перейти к содержанию

PowerShell пытается перейти по вредоносной ссылке


Рекомендуемые сообщения

Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:
 

Событие: Переход остановлен
Пользователь: AMENO\Heller
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=g7LVNEq_1790
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Вчера, 23.11.2021 19:43:00


Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
KVRT и CureIt ничего не нашли.

Помогите решить проблему, пожалуйста.

CollectionLog-2021.11.23-23.54.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\WindowsColorSystem\WindowsColorSystem');
 RebootWindows(true);
end.

 

Компьютер перезагрузится.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1163552212-2536915812-2746443528-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    AutoConfigURL: [{0EC85377-90FE-4529-A7BD-15470B8E90AD}] => hxxps://antizapret.prostovpn.org/proxy.pac
    Hosts:
    FirewallRules: [{E89B3CB0-8441-4F65-B64A-7FDE90D9938F}] => (Allow) LPort=5357
    FirewallRules: [{7F73B9E2-9270-42F4-92EF-6290606D652B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

Проблема решена?

Да, антивирус больше не сообщает о попытках перехода по ссылкам.
Большое спасибо за помощь!

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.864.17763.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5004244 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.1.5 Внимание! Скачать обновления
LibreOffice 6.1.3.2 v.6.1.3.2 Внимание! Скачать обновления
Evernote v. 6.24.2 v.6.24.2.8919 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 6.2 v.6.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8 YNDX007 v.2.4.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.1.6 v.4.1.6 Внимание! Скачать обновления
µTorrent v.3.2.3.28705 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.13.1887, 19.02.2017 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.0.0 v.14.0.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.321 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 29 PPAPI v.29.0.0.171 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Yandex Team Messenger 2.48.0 v.2.48.0 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.92.0.4515.159 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Pale Moon 29.4.1 (x86 en-US) v.29.4.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
3D Youtube Downloader - Batch v.2.12.10 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

 

Постарайтесь всё выше указанное исправить.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Gectar
      От Gectar
      Привет.
      Kaspersky Anti-Virus каждые 20 минут фиксирует попытку PowerShell перейти на вредоносный сайт

      Событие: Переход остановлен
      Пользователь: DESKTOP-HKUMLCG\gecta
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=bpj2fVZ_1380
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Сегодня, 27.11.2021 8:05:00

      Сканирование с помощью Kaspersky Anti-Virus и Kaspersky Virus Removal Tool ничего не обнаружило.
      Помогите пожалуйста решить проблему!
      Лог после работы AutoLogger прилагаю 
      CollectionLog-2021.11.27-11.27.zip
    • guts
      От guts
      Добрый день, есть проблема с процессом Powershell.exe, который грузит ЦПУ на 100%. При запуске диспетчера задач он пропадает, после закрытия диспетчера появляется вновь, потому невозможно определить где он находится. CureIt и другие утилиты ничего не находят. Пожалуйста, помогите разобраться.
      CollectionLog-2021.11.23-16.17.zip
    • Ark
      От Ark
      Добрый день.
       
      Появляется процесс powershell.exe, грузит ЦПУ и ГПУ.
       
      При открытии таск-менеджера прячется, приостанавливается вручную через process explorer, если прервать, возобновляется минут через 5.
       
      KVRT и CureIt ничего не находят, Malwarebytes - тоже. Возможно не связано, но перестал запускаться Outlook.
       
       
      CollectionLog-2021.11.22-12.32.zip
    • Anastasia11011
      От Anastasia11011
      Здравствуйте, вот такая ситуация вторые сутки, поиск проблемы с помощью разных антивирусов не дал результата 
      Событие: Переход остановлен
      Пользователь: DESKTOP-0CHI1MB\Мой
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=d1ygFMB_1380
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Сегодня, 21.11.2021 1:06:00
       
      При приостановке антивируса, стандарнтый Microsoft Defender проблем не видит. В Chrome делала сброс настроек и поиск вредносного ПО, так же не помогло. Так же как и в предыдущих темах форума, проблема очень похожа- каждые 20 минут оповещение, не зависимо от того, выполнен вход в браузер или нет.
       
      Пожалуйста, помогите решить эту проблему.
       
      Прилагаю файл протоколов
      CollectionLog-2021.11.21-02.24.zip
    • Baize
      От Baize
      Здравствуйте!
      Каждые 20 минут Kaspersky Total Security фиксирует попытку PowerShell перейти на вредоносный сайт
      это происходит независимо от того открыт какой-нибудь браузер или нет.
      Полное сканирование ПК программой KTS вирусов не обнаружило.
       
      KVRT при сканировании указало 3 объекта - легальные программы которые могут быть использованы злоумышленниками... 
      Помогите пожалуйста решить проблему!
      Лог после работы AutoLogger прилагаюCollectionLog-2021.11.20-17.08.zip
×
×
  • Создать...