Решена Подозрительная активность powerShell

[VjachSmirn]

Добрый вечер! Подозреваю наличие вируса на компьютере, в частности вредоносного скрипта в powershell, который обнаруживается при запуске ProcessExplorer и который исчезает после открытия диспетчера задач. Помогите его убить, пожалуйста

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\MUI\1043222182');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1376238325');
RebootWindows(false);
end.

Компьютер перезагрузится.


Ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OSGeo4W\OSGeo4W Shell.lnk
C:\Users\NoGiN\Desktop\Cuphead.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acquisition\Acquisition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Median XL Launcher.lnk
C:\Users\NoGiN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Project Reality\Project Reality BF2\Project Reality BF2.lnk
C:\Users\NoGiN\Desktop\PCSX2 1.6.0.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[VjachSmirn]

Всё выполнил, температура процессора вроде ровная. Что ещё нужно сделать?

 

[Sandor]

Для верности посмотрим ещё такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[VjachSmirn]

Готово!

 

[Sandor]

Немного мусора почистим.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-475287156-480915722-3178934442-1001\...\MountPoints2: {38659e45-37aa-11eb-832c-74d435ed656d} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-475287156-480915722-3178934442-1001\...\MountPoints2: {38659e54-37aa-11eb-832c-74d435ed656d} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-475287156-480915722-3178934442-1001\...\MountPoints2: {6ec29f1d-8012-11eb-836d-8c882b307833} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-475287156-480915722-3178934442-1001\...\MountPoints2: {c7e9c345-7fc7-11eb-836c-8c882b307833} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-475287156-480915722-3178934442-1001\...\MountPoints2: {c7e9c358-7fc7-11eb-836c-8c882b307833} - "D:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-475287156-480915722-3178934442-1001\...\MountPoints2: {c7e9c39b-7fc7-11eb-836c-8c882b307833} - "D:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[VjachSmirn]

Было неожиданно, что после исправления будет совершён выход из всех аккаунтов, но это отличная возможность поменять пароли)
Лог-файл прикладываю

 

[Sandor]

Хорошо. Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[VjachSmirn]

Выполнил

 

[akok]

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.17.7 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.0.11.2643 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
WhatsApp v.2.2140.7 Внимание! Скачать обновления
Zoom v.5.8.3 (1581) Внимание! Скачать обновления
Telegram Desktop version 3.3 v.3.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.0 v.4.4.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
iTunes v.12.11.4.15 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
Audacity 3.0.0 v.3.0.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 77.0.1 (x64 en-US) v.77.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 82.0.4227.33 v.82.0.4227.33 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

 

[Sandor]

+
Читайте Рекомендации после удаления вредоносного ПО

 

[VjachSmirn]

Спасибо большое за помощь! Постараюсь вас поддержать по возможности