• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Появляется майнер, нагружающий CPU

Статус
В этой теме нельзя размещать новые ответы.

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Приветствую всех. Недавно на компьютерах заметил подтормаживания и высокую нагрузку процессора. Вскоре нашёл папки с этими файлами и удалил них при помощи бат файла. Вот его содержимое:


timeout 30
taskkill /im update.exe /f
timeout 5
rmdir "C:\u" /S /Q
rmdir "C:\Users\support\AppData\Roaming\Sysfiles" /S /Q
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f
del "C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url"
del "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url"
shutdown.exe /r /f
del "C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kill.bat"

Позже заметил, что у пользователя в автозапуске появляется Windows PowerShell с параметрами, которые можно увидеть в скриншоте. Как от него избавиться?
 

Вложения

  • CollectionLog-2020.06.26-19.19.zip
    72.8 KB · Просмотры: 13
  • IX3OU8M5CpA.jpg
    IX3OU8M5CpA.jpg
    201.5 KB · Просмотры: 48
  • AhxjxpcdlKY.jpg
    AhxjxpcdlKY.jpg
    235.7 KB · Просмотры: 43
  • aFdSrOyMNz0.jpg
    aFdSrOyMNz0.jpg
    69.2 KB · Просмотры: 50
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
Nssm (the Non-Sucking Service Manager) - сами устанавливали?
Ваше? Проверьте содержимое батников
O4 - Startup other users: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mount86.cmd
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\actwin.bat
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\choice.lnk -> C:\BAT\choice.bat
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mount86.cmd

Позже заметил, что у пользователя в автозапуске появляется Windows PowerShell с параметрами, которые можно увидеть в скриншоте. Как от него избавиться?
То, что на сринах убивали?


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Проверил батники, всё также. NSSM сам ставил. HijackThis использовал и пофиксил указанные вами строки. Те файлы, которые указаны в скрине, убивал при помощи бат файла.
Ссылка на архив AVZ: virusinfo_auto_WTF21.zip
 

Вложения

  • FRST.txt
    63.8 KB · Просмотры: 9
  • Addition.txt
    61.1 KB · Просмотры: 9
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
А какая роль компьютера? Много политик применено.

Все политики ваши?
KLM\...\Policies\Explorer: [HideRunAsVerb] 1
HKLM\...\Policies\Explorer: [NoRecycleFiles] 1
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKU\S-1-5-18\...\Policies\system: [NoDispScrSavPage] 1
HKU\S-1-5-18\...\Policies\system: [NoDispBackgroundPage] 1
HKU\S-1-5-18\...\Policies\system: [NoDispAppearancePage] 1
HKU\S-1-5-18\...\Policies\system: [NoProfilePage] 1
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Это компьютер в компьютерном клубе, за которым сидят пользователи
 

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
Понял, значит политики не трогаем. Просто зачистим остатки майнера

Пересмотрите администраторов, нет ли лишних
Admin (S-1-5-21-1550658673-1656720950-1958457091-1000 - Administrator - Enabled) => C:\Users\Admin
support (S-1-5-21-1550658673-1656720950-1958457091-1001 - Administrator - Enabled) => C:\Users\support

Антивирус принципиально вырезан?

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    S3 WinRing0_1_2_0; \??\C:\Users\support\AppData\Roaming\Sysfiles\WinRing0x64.sys [X]
    C:\Users\support\AppData\Roaming\Sysfiles\
    AlternateDataStreams: C:\desktop.ini:CachedTiles [472]
    AlternateDataStreams: C:\Windows\System32:tdsrset.gfc [5846]
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [476]
    AlternateDataStreams: C:\Users\support\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\support\Application Data:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\support\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\support\ntuser.ini:NTV [10074]
    AlternateDataStreams: C:\Users\support\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\support\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\support\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{47436C03-2305-4593-81C0-5688DB7A2200}] => (Allow) C:\Origin\GAMES\Apex\EasyAntiCheat_launcher.exe => No File
    FirewallRules: [{7A71FB44-9B45-4221-A5AE-B8803AECDBA0}] => (Allow) C:\Origin\GAMES\Apex\EasyAntiCheat_launcher.exe => No File
    FirewallRules: [{D7507AEF-488E-45C4-AE2D-183E844EEA37}] => (Allow) C:\Steam\steamapps\common\War Thunder\launcher.exe => No File
    FirewallRules: [{DBA5516A-86A7-43BA-840A-9BB6F2362591}] => (Allow) C:\Steam\steamapps\common\War Thunder\launcher.exe => No File
    FirewallRules: [{DD764EB5-9FEC-485C-9126-5D4CC9BE608A}] => (Allow) C:\Steam\steamapps\common\Crossout\launcher.exe => No File
    FirewallRules: [{96D69854-90D3-45B4-A2B1-6468D76F689F}] => (Allow) C:\Steam\steamapps\common\Crossout\launcher.exe => No File
    FirewallRules: [{924BFEB9-0A07-41ED-8D77-9DD95BF4259F}] => (Allow) C:\Program Files\Opera GX\64.0.3417.146\opera.exe => No File
    FirewallRules: [{19B49845-FF21-4A14-B1FF-22FD3A54ED95}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfvTrial.exe => No File
    FirewallRules: [{30C792F6-9715-4CEE-8A16-88EF5818A2AD}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfvTrial.exe => No File
    FirewallRules: [{1E39115A-38B3-4E3E-A49C-E033D872C6BF}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfv.exe => No File
    FirewallRules: [{C13851CE-B24A-4046-89C4-770D8505EF54}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfv.exe => No File
    FirewallRules: [{B632DBB5-09C8-4DD1-BC1C-333B01EBB163}] => (Allow) C:\Program Files\Opera\65.0.3467.62\opera.exe => No File
    FirewallRules: [{A2EE95D5-A26D-4562-A708-08F1F2E7D5E4}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win64\SmiteEAC.exe => No File
    FirewallRules: [{B4082D1B-1801-4DFF-A97B-F683614B654F}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win64\SmiteEAC.exe => No File
    FirewallRules: [{E02F1834-EA6F-4780-9384-025A89620844}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win32\SmiteEAC.exe => No File
    FirewallRules: [{C199D080-6B45-42C4-AC1A-1B932FC7E5A1}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win32\SmiteEAC.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В случае если зараза опять полезет, но не глушите ее до сбора логов, а то после очень сложно найти источник в логах.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Антивирус вырезан принципиально, с администраторами всё в порядке.
Проблема в том, что зараза и сам PowerShell появляются исключительно, когда вход выполнен пользователем. Но, я не совсем понимаю, как можно просмотреть логи, когда программа сама появляется в Автозагрузке. Есть ли способ просмотреть их, когда PowerShell уже загрузил всё. Сейчас попробую зайти.
 

Вложения

  • Fixlog.txt
    8.2 KB · Просмотры: 8
Последнее редактирование:

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Также я заметил, что в автозапуске лежит файл Update.exe, который находится по пути C:\Users\user\AppData\Roaming\Sysfiles\update.exe, но самого файла там нет, как и папки. Сейчас посмотрю компьютер и отвечу, всё ли работает.
 

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
В логах файла не было видно update.exe Запустите поиск папки Sysfiles, возможно еще где найдется.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Ничего не вышло, PowerShell снова появился в автозапуске с такими же параметрами, наплодил файлы и пропал оттуда.
 

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Вот
 

Вложения

  • WTF21_2020-06-26_22-33-39_v4.1.9.7z
    786.5 KB · Просмотры: 4

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    ; C:\S\UPDATE.EXE
    bp C:\S\UPDATE.EXE
    ; C:\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    bp C:\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    ;---------command-block---------
    ; %SystemDrive%\S\UPDATE.EXE
    bl BCA79CD363A45C563D8A544B1E8E4F14 4886016
    zoo %SystemDrive%\S\UPDATE.EXE
    delall %SystemDrive%\S\UPDATE.EXE
    ; %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    bl 63241578670201C3FFA8B086C0B60995 140
    zoo %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    delall %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    apply
    
    ;---------command-block---------
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_6724_700155859\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_9432_387881496\AKRYQTTTSURGRIL6FXZLSL4
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_5396_744599803\0.57.44.2492_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRX
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_28272_1128845092\AMDOB-DZ41PRKCF6R23CB2G
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_812_751364998\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_7216_511079068\AMTVBICVQXDH9BJ3EOH46MS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_2124_1048986806\AMTVBICVQXDH9BJ3EOH46MS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_624_751422612\4.10.1610.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_9016_1483658207\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVNODE\NVNODEJSLAUNCHER.EXE
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\UPDATE CORE\NVPROFILEUPDATER64.EXE
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVBACKEND\NVTMREP.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref Z:\GAMES LOCAL\LINEAGE2_INTERLUDE\SYSTEM\MSXML4.DLL
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref Z:\GAMES LOCAL\WARCRAFT III\WTFT\BLIZZARD.AX
    delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\ESEADRIVER2.SYS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\SYSFILES\WINRING0X64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    delref Z:\SOFT\ADOBE PHOTOSHOP CC 2019 (20.0.6) X64 PORTABLE BY PUNSH (WITH PLUGINS)\PHOTOSHOP.20\APP\PS\PHOTOSHOP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GAIJIN\PROGRAM FILES (X86)\NETAGENT\GJAGENT.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\FACEITAPP\UPDATE.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GAMECENTER\GAMECENTER.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\DISCORD\APP-0.0.305\DISCORD.EXE
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\SYSFILES\UPDATE.EXE
    delref Z:\GAMES\AGE OF EMPIRES II DEFINITIVE EDITION\AOE2DE_S.EXE
    delref Z:\GAMES\BORDERLANDS 3\BORDERLANDS3.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\FACEITAPP\FACEIT.EXE
    delref Z:\GAMES\RAILROAD CORPORATION\RAILROADCORPORATIONSTEAM.EXE
    delref Z:\GAMES\RUNE II\RUNERAGNAROK.EXE
    delref Z:\GAMES\STAR WARS JEDI FALLEN ORDER\SWGAME\BINARIES\WIN64\STARWARSJEDIFALLENORDER.EXE
    delref %SystemDrive%\STEAM\STEAMAPPS\COMMON\CROSSOUT\LAUNCHER.EXE
    delref %SystemDrive%\STEAM\STEAMAPPS\COMMON\CROSSOUT\UNINS000.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\DISCORD\UPDATE.EXE
    delref Z:\4GAME\BDO\GAMEMANAGER\GAMEMANAGER.EXE
    apply
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
В общем, удалось найти причину появления PowerShell в автозапуске. Это файл или строчка (не знаю, как назвать) в реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Но как можно найти источник появления этой строки в реестре?
1593236567612.png
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
Сделайте экспорт ключа и прикрепите его к сообщению, попробую понять, почему не видно в секции автозапуска. А после ключ удалите вручную. Судя по всему запуск был от имени администратора, смените пароли.... а векторов атаки много, от установки софта с сюрпризом, до баловства пользователей.
 
Последнее редактирование:

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Вот
 

Вложения

  • 1.rar
    454 байт · Просмотры: 8
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
Запуска скрипта больше нет? (после удаления ключа).
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Он появляется каким-то образом заново :(
 

akok

Команда форума
Администратор
Сообщения
19,665
Реакции
13,508
Баллы
2,203
Проверяю на виртуальной машине.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу