Jump to content
Kaspersky Support Forum

Устранение последствий заражения, модификации PowerShell и Windows Defender

Matrix

By Matrix
in Kaspersky Free

 Share
Go to solution Solved by AlexeyK,

Recommended Posts

Matrix

Matrix

Posted
Posted

Добрый день. Скачал программу через интернет. Проверил EXE файл через Касперский Free - никаких вирусов он не нашел (параметры проверки максимальные с углубленным анализом). Со спокойной душой, я нажал установить и ...

При установке программы Касперский Free обнаружил активное заражение компьютера и начал процедуру лечения с перезагрузкой. После перезагрузки провёл полную проверку системы и никаких заражений не обнаружилось. В отчёте Касперский указывает только на директорию установки программы и удаление из неё всех зараженных файлов. Однако, я решил проверить этот файл через вирустотал. Вот отчёт: https://www.virustotal.com/gui/file/785f5d6fbf74e2c330c27b3611f116d297e1cc62b08fdc873649dd18733a70e7

Согласно отчёту всего 2 срабатывания от неизвестных антивирусов. Касперский, опять же, согласно отчёту - на файл не жалуется. Однако! В процедуре проверки файла с помощью песочниц было обнаружено, что файл всё же заражен вирусом. Действует он так: сначала ослабляет защиту PowerShell, затем с помощью него меняет конфигурацию Защитника Windows, а далее создаёт какие-то исключения позволяющие удалённо управлять компьютером пользователя.

000628.thumb.jpg.b0950663e4aacb8c3d38096df99c0731.jpg

Мой вопрос таков - какова вероятность, что Касперский не успел предотвратить все эти изменения в PowerShell и в защитнике Windows - и сейчас у злоумышленников есть доступ к моему компьютеру? Как проверить и убедиться, что все эти зловредные изменения системы были пресечены? В отчете Касперского про это ничего не указано! Там даже нет упоминания PowerShell или Защитника windows. Существуют ли какие-то утилиты позволяющие проверить изменения в PowerShell или в Защитнике Windows? Как быть в этой ситуации?

 

AlexeyK

AlexeyK

Posted
Posted
14 минут назад, Matrix сказал:

В процедуре проверки файла с помощью песочниц было обнаружено, что файл всё же заражен вирусом.

Как Вы считаете, вот этот анализ в песочнице указывает на вредоносность файла?

Screenshot_14.thumb.png.94a0b8a243135b383efa287bb5be96d0.png

  • Like 1
andrew75

andrew75

Posted
Posted
17 минут назад, Matrix сказал:

а далее создаёт какие-то исключения позволяющие удалённо управлять компьютером пользователя.

нет там ничего подобного.

Если подозреваете заражение, создайте тему на форуме Клуба лаборатории Касперского, выполнив порядок оформления запроса о помощи. 

  • Like 1
Matrix

Matrix

Posted
  • Author
Posted
10 минут назад, AlexeyK сказал:

Как Вы считаете, вот этот анализ в песочнице указывает на вредоносность файла?

Я в этом не знаток и мало понимаю, но судя по действиям - да, песочницы реагируют на действия файла с большим подозрением.

5 минут назад, andrew75 сказал:

нет там ничего подобного.

Вы считаете, что беспокоится не стоит? Касперский предотвратил заражение? Или всё же лучше провести дополнительную проверку, как у вас в ссылках?

AlexeyK

AlexeyK

Posted
Posted
Только что, Matrix сказал:

Я в этом не знаток и мало понимаю, но судя по действиям - да, песочницы реагируют на действия файла с большим подозрением.

Ну а зачем тогда смотреть в эти песочницы?

Скрин сделан с анализа в песочницах на VT антивирусного сканера Касперского KVRT.

Вот еще установщик антивируса Касперского последней версии 21.19. Вредоносный, между прочим, по версии Google.)

  • Like 1
AlexeyK

AlexeyK

Posted
Posted
52 минуты назад, Matrix сказал:

Как быть в этой ситуации?

Судя по описания, был детект Мониторинга активности, файлы удалены, откат вредоносных действий выполнен, при скане ничего не обнаружено. Если это было не ложное срабатывание - тогда все нормально. Если было ложное срабатывание - тоже все в норме.) Думаю, этого достаточно. Если есть желание, можно и проверить на форуме по ссылке выше.

  • Like 1
Matrix

Matrix

Posted
  • Author
Posted

@AlexeyK я понимаю вашу точку зрения, однако если запустить и установить KVRT - то не будет сообщения об инфицировании и запуске процедуры лечения. Если бы у меня этого не произошло - то я бы, конечно, даже внимания не обратил. Но Касперский счёл это атакой заражения и даже присвоил высокую степень угрозы.

Скриншот из отчёта:

2024-11-1618_35_23-.thumb.jpg.7fc3e5309d43f5d589734044ac8921d1.jpg

8 минут назад, AlexeyK сказал:

Если это было не ложное срабатывание - тогда все нормально. Если было ложное срабатывание - тоже все в норме.) Думаю, этого достаточно.

Спасибо!

  • Solution
AlexeyK

AlexeyK

Posted
  • Solution
Posted (edited)

@Matrix Ну судя по части лога, откат выполнен. Думаю, все нормально должно быть. По этому логу трудно что-то сказать. Но еще раз - никто не запрещает собрать все отчеты и обратиться за проверкой на сайт клуба.)

Edited by AlexeyK
  • Like 1

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...