Добрый день.
Уже несколько раз приходится бороться со следующей проблемой.
В планировщике создаются задачи, запускающие скрипты PowerShell в огромном количестве, меняется DNS на 8.8.8.8 и 9.9.9.9 в папке C:\Windows\Temp появляются файлы прикрепленные к теме.
После удаления задач, файлов и исправления DNS всё начинает работать нормально, но они могут появиться заново как через день, так и через месяц. Будто не везде получается зачистить.
Сегодня с помощью FRST было удалено в очередной раз следующее:
Task: {A5255791-0097-41F6-A596-C8E450ECB13E} - System32\Tasks\t.hwqloan.com => t.hwqloan.com
Task: {C1410759-C17F-4A6B-9F85-AA01256620E1} - System32\Tasks\blackball1 => blackball1
Task: {E9355185-79E0-4AF0-A46C-63D8E68F7E1D} - System32\Tasks\blackball => blackball
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c7sASmwdf\"",Filter="__EventFilter.Name=\"f7sASmwdf\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c1YZNMOLn\"",Filter="__EventFilter.Name=\"f1YZNMOLn\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cpFx4PKRaNEl\"",Filter="__EventFilter.Name=\"fpFx4PKRaNEl\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c9vTrG1S\"",Filter="__EventFilter.Name=\"f9vTrG1S\"::
WMI:subscription\__EventFilter->f1YZNMOLn::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->f9vTrG1S::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->t.hwqloan.com::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->blackball1::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\__EventFilter->fpFx4PKRaNEl::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->f7sASmwdf::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
Уже несколько раз приходится бороться со следующей проблемой.
В планировщике создаются задачи, запускающие скрипты PowerShell в огромном количестве, меняется DNS на 8.8.8.8 и 9.9.9.9 в папке C:\Windows\Temp появляются файлы прикрепленные к теме.
После удаления задач, файлов и исправления DNS всё начинает работать нормально, но они могут появиться заново как через день, так и через месяц. Будто не везде получается зачистить.
Сегодня с помощью FRST было удалено в очередной раз следующее:
Task: {A5255791-0097-41F6-A596-C8E450ECB13E} - System32\Tasks\t.hwqloan.com => t.hwqloan.com
Task: {C1410759-C17F-4A6B-9F85-AA01256620E1} - System32\Tasks\blackball1 => blackball1
Task: {E9355185-79E0-4AF0-A46C-63D8E68F7E1D} - System32\Tasks\blackball => blackball
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c7sASmwdf\"",Filter="__EventFilter.Name=\"f7sASmwdf\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c1YZNMOLn\"",Filter="__EventFilter.Name=\"f1YZNMOLn\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cpFx4PKRaNEl\"",Filter="__EventFilter.Name=\"fpFx4PKRaNEl\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c9vTrG1S\"",Filter="__EventFilter.Name=\"f9vTrG1S\"::
WMI:subscription\__EventFilter->f1YZNMOLn::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->f9vTrG1S::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->t.hwqloan.com::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->blackball1::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\__EventFilter->fpFx4PKRaNEl::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->f7sASmwdf::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']