[РЕШЕНО] Powershell грузит процессор на 50% и съедает 2,5 ГБ оперативной памяти.

[MadWaterfild 0]

Заметил, что стали сильно шуметь кулер на ноутбуке и подтормаживать система. С помощью Dr.Web Curelt! обнаружил вредоносные процессы Wasp и Waspwing. Думал, что проблема решена, но через несколько минут кулер снова угрюмо зашумел. С помощью process explorer отследил, что виноват powershell.exe. Но когда запускается диспетчер задач или один из антивирусов (в том числе Dr.Web Curelt!) процесс "прячется" (перестаёт загружать ЦП). Прилагаю скрины и логи. CollectionLog-2021.12.28-17.30.zip

Спойлер

 

 

 

[thyrex 1 411]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\79371\AppData\Local\Temp\5c0194fe2.sys','');
 QuarantineFile('C:\Users\79371\AppData\Local\Temp\51842665f.sys','');
 DeleteFile('C:\Users\79371\AppData\Local\Temp\51842665f.sys','64');
 DeleteFile('C:\Users\79371\AppData\Local\Temp\5c0194fe2.sys','64');
 DeleteFile('C:\Users\79371\AppData\Local\Browserupdphenix\Browserupdphenix.exe','64');
 DeleteSchedulerTask('Browserupdphenix');
 DeleteSchedulerTask('Microsoft\Windows\DiskCleanup\DiskCleanup');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\MUI\277592684');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[MadWaterfild 0]

Выполнено. 

CollectionLog-2021.12.28-18.27.zip

[thyrex 1 411]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[MadWaterfild 0]

Готово.Addition.txtFRST.txt

[thyrex 1 411]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Task: {C09FEBBB-4260-4B93-8B9E-C9CD5AE215A4} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [684976 2021-12-07] (Piriform Software Ltd -> Piriform)
"C:\Windows\System32\Tasks\McAfee\McAfee Idle Detection Task" был разблокирован. <==== ВНИМАНИЕ
R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3255480 2020-05-13] (LLC Mail.Ru -> Mail.Ru) <==== ВНИМАНИЕ
R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2020-05-13] (LLC Mail.Ru -> Mail.Ru) <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Алминистратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[MadWaterfild 0]

Выполнено. Fixlog.txt

[thyrex 1 411]

Проблема решена?

[MadWaterfild 0]

28 минут назад, thyrex сказал:

Проблема решена?

Да! Спасибо огромное )

[thyrex 1 411]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[MadWaterfild 0]

Выполнено.SecurityCheck.txt

[thyrex 1 411]

Цитата

---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET NOD32 Antivirus v.8.0.319.1 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 7.0.3.1 v.7.0.3.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.7.1 (543) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.2-I601 amd64 v.2.5.021 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

выполните рекомендованное, и на этом закончим

[MadWaterfild 0]

Спасибо ) 

[thyrex 1 411]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".