Вирус в Powershell

[Vans99]

Всем доброго времени суток! Недавно подцепил вирус который залез в Powershell 2.0. Kaspersky периодический оповещает об “Остановке перехода” по вредоносной ссылке.

Подробная информация:

Событие: Переход остановлен
Пользователь: DESKTOP-URGJR8L\user
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.252
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=lFjQGbX_1796
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Вчера, 16.11.2021 22:27:00 

Итак каждые минут 5-10 когда открыт браузер

 Пробовал заблокировать сайт через Blocksite app и отключил оболочку Powershell в Windows + r > optionalfeatures. Заблокировал http://google.ru и 66.248.206.252

Оповещения никуда не исчезли, но появились изменения. Вместо события “Переход остановлен” стало событие “Обнаружена ранее открытая опасная ссылка” подробно : 

Событие: Обнаружена ранее открытая опасная ссылка
Пользователь: DESKTOP-URGJR8L\user
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Вредоносная ссылка
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=lFjQGbX_1796
Путь к объекту: http://google.ru
Причина: Облачная защита

Пожалуйста помогите, не хочется форматировать диски и винду заново ставить.

 

[Igor Kurzin]

Добрый день, 

Если детектирование происходит при запущенном браузере, то удалите подозрительные расширения в браузере. 

Если не поможет, сделайте сброс браузера, например, можно сбросить настройки Chrome по инструкции: https://support.google.com/chrome/answer/3296214?hl=ru

Если ситуация сохранится, проверьте наличие подозрительных ярлыков в папке: 

C:\Users\здесь укажите имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

А так же наличие подозрительно выглядящих папок (например, nPROhUCsLBxIugFeKW) в 

C:\Users\здесь укажите имя пользователя\AppData\Roaming\Microsoft\

Проверьте задания в папке: 

C:\WINDOWS\system32\Tasks\

Все подозрительное можно загрузить на opentip.kaspersky.com, в случае отсутствия детекта нажать на “Submit to reanalyze”. 

[Danila T.]

Добрый день,

1. Обновите базы продукта и запустите полную проверку.
2. В браузерах удалите все неизвестные\подозрительные расширения. Сбросьте настройки браузеров.
3. Удалите все подозрительное из Планировщика заданий Windows.

[ArMer]

Точно такая же проблема.

[ArMer]

с тем же ip

[Danila T.]

@ArMer добрый день!

 

Совет выше выполнили? Каков результат?

[ArMer]

Выполнил, ничего. Щас попробывал почистить dr.web cureit. Нашел что-то связанное с powershell

 

[ArMer]

Появилось после обновления винды кстати.

[ArMer]

Просто текстовик с таким содержанием.

 

содержание удалено

[ArMer]

Удалил его в task sheduler, и все. Он пропал.

[Igor Kurzin]

Добрый день, отправил данный скрипт вирусным аналитикам, как только будут новости - отпишусь. 

[Igor Kurzin]

Получил ответ: обнаружили новый зловред, будет добавлен в базы как Trojan.PowerShell.Agent.pj

@Vans99 через некоторое время можно будет обновить базы и выполнить полную проверку.