Закрыто Появляется майнер, нагружающий CPU

Статус
В этой теме нельзя размещать новые ответы.

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Приветствую всех. Недавно на компьютерах заметил подтормаживания и высокую нагрузку процессора. Вскоре нашёл папки с этими файлами и удалил них при помощи бат файла. Вот его содержимое:


timeout 30
taskkill /im update.exe /f
timeout 5
rmdir "C:\u" /S /Q
rmdir "C:\Users\support\AppData\Roaming\Sysfiles" /S /Q
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f
del "C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url"
del "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url"
shutdown.exe /r /f
del "C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kill.bat"

Позже заметил, что у пользователя в автозапуске появляется Windows PowerShell с параметрами, которые можно увидеть в скриншоте. Как от него избавиться?
 

Вложения

  • CollectionLog-2020.06.26-19.19.zip
    72.8 KB · Просмотры: 13
  • IX3OU8M5CpA.jpg
    IX3OU8M5CpA.jpg
    201.5 KB · Просмотры: 178
  • AhxjxpcdlKY.jpg
    AhxjxpcdlKY.jpg
    235.7 KB · Просмотры: 149
  • aFdSrOyMNz0.jpg
    aFdSrOyMNz0.jpg
    69.2 KB · Просмотры: 153
Последнее редактирование:
Nssm (the Non-Sucking Service Manager) - сами устанавливали?
Ваше? Проверьте содержимое батников
O4 - Startup other users: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mount86.cmd
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\actwin.bat
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\choice.lnk -> C:\BAT\choice.bat
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mount86.cmd

Позже заметил, что у пользователя в автозапуске появляется Windows PowerShell с параметрами, которые можно увидеть в скриншоте. Как от него избавиться?
То, что на сринах убивали?


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Проверил батники, всё также. NSSM сам ставил. HijackThis использовал и пофиксил указанные вами строки. Те файлы, которые указаны в скрине, убивал при помощи бат файла.
Ссылка на архив AVZ: virusinfo_auto_WTF21.zip
 

Вложения

  • FRST.txt
    63.8 KB · Просмотры: 9
  • Addition.txt
    61.1 KB · Просмотры: 9
Последнее редактирование:
А какая роль компьютера? Много политик применено.

Все политики ваши?
KLM\...\Policies\Explorer: [HideRunAsVerb] 1
HKLM\...\Policies\Explorer: [NoRecycleFiles] 1
HKLM\...\Policies\Explorer: [NoInstrumentation] 1
HKU\S-1-5-18\...\Policies\system: [NoDispScrSavPage] 1
HKU\S-1-5-18\...\Policies\system: [NoDispBackgroundPage] 1
HKU\S-1-5-18\...\Policies\system: [NoDispAppearancePage] 1
HKU\S-1-5-18\...\Policies\system: [NoProfilePage] 1
 
Это компьютер в компьютерном клубе, за которым сидят пользователи
 
Понял, значит политики не трогаем. Просто зачистим остатки майнера

Пересмотрите администраторов, нет ли лишних
Admin (S-1-5-21-1550658673-1656720950-1958457091-1000 - Administrator - Enabled) => C:\Users\Admin
support (S-1-5-21-1550658673-1656720950-1958457091-1001 - Administrator - Enabled) => C:\Users\support

Антивирус принципиально вырезан?

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    S3 WinRing0_1_2_0; \??\C:\Users\support\AppData\Roaming\Sysfiles\WinRing0x64.sys [X]
    C:\Users\support\AppData\Roaming\Sysfiles\
    AlternateDataStreams: C:\desktop.ini:CachedTiles [472]
    AlternateDataStreams: C:\Windows\System32:tdsrset.gfc [5846]
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [476]
    AlternateDataStreams: C:\Users\support\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\support\Application Data:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\support\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\support\ntuser.ini:NTV [10074]
    AlternateDataStreams: C:\Users\support\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\support\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\support\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{47436C03-2305-4593-81C0-5688DB7A2200}] => (Allow) C:\Origin\GAMES\Apex\EasyAntiCheat_launcher.exe => No File
    FirewallRules: [{7A71FB44-9B45-4221-A5AE-B8803AECDBA0}] => (Allow) C:\Origin\GAMES\Apex\EasyAntiCheat_launcher.exe => No File
    FirewallRules: [{D7507AEF-488E-45C4-AE2D-183E844EEA37}] => (Allow) C:\Steam\steamapps\common\War Thunder\launcher.exe => No File
    FirewallRules: [{DBA5516A-86A7-43BA-840A-9BB6F2362591}] => (Allow) C:\Steam\steamapps\common\War Thunder\launcher.exe => No File
    FirewallRules: [{DD764EB5-9FEC-485C-9126-5D4CC9BE608A}] => (Allow) C:\Steam\steamapps\common\Crossout\launcher.exe => No File
    FirewallRules: [{96D69854-90D3-45B4-A2B1-6468D76F689F}] => (Allow) C:\Steam\steamapps\common\Crossout\launcher.exe => No File
    FirewallRules: [{924BFEB9-0A07-41ED-8D77-9DD95BF4259F}] => (Allow) C:\Program Files\Opera GX\64.0.3417.146\opera.exe => No File
    FirewallRules: [{19B49845-FF21-4A14-B1FF-22FD3A54ED95}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfvTrial.exe => No File
    FirewallRules: [{30C792F6-9715-4CEE-8A16-88EF5818A2AD}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfvTrial.exe => No File
    FirewallRules: [{1E39115A-38B3-4E3E-A49C-E033D872C6BF}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfv.exe => No File
    FirewallRules: [{C13851CE-B24A-4046-89C4-770D8505EF54}] => (Allow) \\192.168.88.86\Games\Games\BattleField 5\bfv.exe => No File
    FirewallRules: [{B632DBB5-09C8-4DD1-BC1C-333B01EBB163}] => (Allow) C:\Program Files\Opera\65.0.3467.62\opera.exe => No File
    FirewallRules: [{A2EE95D5-A26D-4562-A708-08F1F2E7D5E4}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win64\SmiteEAC.exe => No File
    FirewallRules: [{B4082D1B-1801-4DFF-A97B-F683614B654F}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win64\SmiteEAC.exe => No File
    FirewallRules: [{E02F1834-EA6F-4780-9384-025A89620844}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win32\SmiteEAC.exe => No File
    FirewallRules: [{C199D080-6B45-42C4-AC1A-1B932FC7E5A1}] => (Allow) \\192.168.88.86\Games\Steam\steamapps\common\SMITE\Binaries\Win32\SmiteEAC.exe => No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В случае если зараза опять полезет, но не глушите ее до сбора логов, а то после очень сложно найти источник в логах.
 
Антивирус вырезан принципиально, с администраторами всё в порядке.
Проблема в том, что зараза и сам PowerShell появляются исключительно, когда вход выполнен пользователем. Но, я не совсем понимаю, как можно просмотреть логи, когда программа сама появляется в Автозагрузке. Есть ли способ просмотреть их, когда PowerShell уже загрузил всё. Сейчас попробую зайти.
 

Вложения

  • Fixlog.txt
    8.2 KB · Просмотры: 8
Последнее редактирование:
Также я заметил, что в автозапуске лежит файл Update.exe, который находится по пути C:\Users\user\AppData\Roaming\Sysfiles\update.exe, но самого файла там нет, как и папки. Сейчас посмотрю компьютер и отвечу, всё ли работает.
 
В логах файла не было видно update.exe Запустите поиск папки Sysfiles, возможно еще где найдется.
 
Ничего не вышло, PowerShell снова появился в автозапуске с такими же параметрами, наплодил файлы и пропал оттуда.
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Вот
 

Вложения

  • WTF21_2020-06-26_22-33-39_v4.1.9.7z
    786.5 KB · Просмотры: 4
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    ; C:\S\UPDATE.EXE
    bp C:\S\UPDATE.EXE
    ; C:\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    bp C:\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    ;---------command-block---------
    ; %SystemDrive%\S\UPDATE.EXE
    bl BCA79CD363A45C563D8A544B1E8E4F14 4886016
    zoo %SystemDrive%\S\UPDATE.EXE
    delall %SystemDrive%\S\UPDATE.EXE
    ; %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    bl 63241578670201C3FFA8B086C0B60995 140
    zoo %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    delall %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL
    apply
    
    ;---------command-block---------
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_6724_700155859\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_9432_387881496\AKRYQTTTSURGRIL6FXZLSL4
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_5396_744599803\0.57.44.2492_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRX
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_28272_1128845092\AMDOB-DZ41PRKCF6R23CB2G
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_812_751364998\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_7216_511079068\AMTVBICVQXDH9BJ3EOH46MS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_2124_1048986806\AMTVBICVQXDH9BJ3EOH46MS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_624_751422612\4.10.1610.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\CHROME_BITS_9016_1483658207\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVNODE\NVNODEJSLAUNCHER.EXE
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\UPDATE CORE\NVPROFILEUPDATER64.EXE
    delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVBACKEND\NVTMREP.EXE
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref Z:\GAMES LOCAL\LINEAGE2_INTERLUDE\SYSTEM\MSXML4.DLL
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref Z:\GAMES LOCAL\WARCRAFT III\WTFT\BLIZZARD.AX
    delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\LOCAL\TEMP\ESEADRIVER2.SYS
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\SYSFILES\WINRING0X64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    delref Z:\SOFT\ADOBE PHOTOSHOP CC 2019 (20.0.6) X64 PORTABLE BY PUNSH (WITH PLUGINS)\PHOTOSHOP.20\APP\PS\PHOTOSHOP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GAIJIN\PROGRAM FILES (X86)\NETAGENT\GJAGENT.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\FACEITAPP\UPDATE.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GAMECENTER\GAMECENTER.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\DISCORD\APP-0.0.305\DISCORD.EXE
    delref %SystemDrive%\USERS\SUPPORT\APPDATA\ROAMING\SYSFILES\UPDATE.EXE
    delref Z:\GAMES\AGE OF EMPIRES II DEFINITIVE EDITION\AOE2DE_S.EXE
    delref Z:\GAMES\BORDERLANDS 3\BORDERLANDS3.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\FACEITAPP\FACEIT.EXE
    delref Z:\GAMES\RAILROAD CORPORATION\RAILROADCORPORATIONSTEAM.EXE
    delref Z:\GAMES\RUNE II\RUNERAGNAROK.EXE
    delref Z:\GAMES\STAR WARS JEDI FALLEN ORDER\SWGAME\BINARIES\WIN64\STARWARSJEDIFALLENORDER.EXE
    delref %SystemDrive%\STEAM\STEAMAPPS\COMMON\CROSSOUT\LAUNCHER.EXE
    delref %SystemDrive%\STEAM\STEAMAPPS\COMMON\CROSSOUT\UNINS000.EXE
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\DISCORD\UPDATE.EXE
    delref Z:\4GAME\BDO\GAMEMANAGER\GAMEMANAGER.EXE
    apply
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 
В общем, удалось найти причину появления PowerShell в автозапуске. Это файл или строчка (не знаю, как назвать) в реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Но как можно найти источник появления этой строки в реестре?
1593236567612.png
 
  • Like
Реакции: akok
Сделайте экспорт ключа и прикрепите его к сообщению, попробую понять, почему не видно в секции автозапуска. А после ключ удалите вручную. Судя по всему запуск был от имени администратора, смените пароли.... а векторов атаки много, от установки софта с сюрпризом, до баловства пользователей.
 
Последнее редактирование:
Вот
 

Вложения

  • 1.rar
    454 байт · Просмотры: 8
  • Like
Реакции: akok
Запуска скрипта больше нет? (после удаления ключа).
 
Он появляется каким-то образом заново :(
 
Проверяю на виртуальной машине.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу