Kaspersky

Вирус в Powershell

  • 17 November 2021
  • 10 replies
  • 233 views

Всем доброго времени суток! Недавно подцепил вирус который залез в Powershell 2.0. Kaspersky периодический оповещает об “Остановке перехода” по вредоносной ссылке.

Подробная информация:

Событие: Переход остановлен
Пользователь: DESKTOP-URGJR8L\user
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: 66.248.206.252
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=lFjQGbX_1796
Путь к объекту: http://google.ru
Причина: Kaspersky Security Network
Дата выпуска баз: Вчера, 16.11.2021 22:27:00 

Итак каждые минут 5-10 когда открыт браузер

 Пробовал заблокировать сайт через Blocksite app и отключил оболочку Powershell в Windows + r > optionalfeatures. Заблокировал http://google.ru и 66.248.206.252

Оповещения никуда не исчезли, но появились изменения. Вместо события “Переход остановлен” стало событие “Обнаружена ранее открытая опасная ссылка” подробно : 

Событие: Обнаружена ранее открытая опасная ссылка
Пользователь: DESKTOP-URGJR8L\user
Тип пользователя: Активный пользователь
Имя программы: powershell.exe
Путь к программе: C:\Windows\System32\WindowsPowerShell\v1.0
Компонент: Веб-Антивирус
Описание результата: Не обработано
Тип: Вредоносная ссылка
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: update.php?i=lFjQGbX_1796
Путь к объекту: http://google.ru
Причина: Облачная защита

Пожалуйста помогите, не хочется форматировать диски и винду заново ставить.

 

Igor Kurzin 19 days ago

Получил ответ: обнаружили новый зловред, будет добавлен в базы как Trojan.PowerShell.Agent.pj

@Vans99 через некоторое время можно будет обновить базы и выполнить полную проверку. 

View original

10 replies

Userlevel 7
Badge +6

Добрый день, 

Если детектирование происходит при запущенном браузере, то удалите подозрительные расширения в браузере. 

Если не поможет, сделайте сброс браузера, например, можно сбросить настройки Chrome по инструкции: https://support.google.com/chrome/answer/3296214?hl=ru

Если ситуация сохранится, проверьте наличие подозрительных ярлыков в папке: 

C:\Users\здесь укажите имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

А так же наличие подозрительно выглядящих папок (например, nPROhUCsLBxIugFeKW) в 

C:\Users\здесь укажите имя пользователя\AppData\Roaming\Microsoft\

Проверьте задания в папке: 

C:\WINDOWS\system32\Tasks\

Все подозрительное можно загрузить на opentip.kaspersky.com, в случае отсутствия детекта нажать на “Submit to reanalyze”. 

Точно такая же проблема.

с тем же ip

Userlevel 7
Badge +7

@ArMer добрый день!

 

Совет выше выполнили? Каков результат?

Выполнил, ничего. Щас попробывал почистить dr.web cureit. Нашел что-то связанное с powershell

 

Появилось после обновления винды кстати.

Просто текстовик с таким содержанием.

 

содержание удалено

Удалил его в task sheduler, и все. Он пропал.

Userlevel 7
Badge +6

Добрый день, отправил данный скрипт вирусным аналитикам, как только будут новости - отпишусь. 

Userlevel 7
Badge +6

Получил ответ: обнаружили новый зловред, будет добавлен в базы как Trojan.PowerShell.Agent.pj

@Vans99 через некоторое время можно будет обновить базы и выполнить полную проверку. 

Reply