Вредоносная задача в Планировщике задач
 

Хочу выяснить откуда пришел вредоностный гость.

Обратился знакомый. "Сидел в браузере, компьютер выключился. Включаю, он загружается и снова выключается". Географически, сам потыкать не могу. Попросил снять видео. Обычная загрузка до рабочего стола. Потом появляется командная строка без надписей. Закрывается и компьютер уходит на выключение.

Объяснил как дойти до безопасного режима. Посмотрели автозапуск и службы. Подозрительного ничего нет. Запустили планировщик задач, он не открывается в безопасном режиме. Пошли по путям Windows\Tasks и System32\Tasks. Во втором случаи лежит задача "sock my deck". Внутри команда на выключение по триггеру входа в систему через пользователя знакомого. Вошли с другой учеткой, удалили задачу. Не вернулась.

По дате и времени создания задачи выяснили, что работал браузер и посещали группу ВК и Яндекс.Почту. Флешки в этот день не использовали. По тому же времени известно, что задача создана в день первого выключения. То есть она не создана давно. А буквально в 12:34 создаётся, в 12:36 первое отключение.

Протыкал всю группу ВК, триггеров не нашёл. С почты брали пару доков по работе. Открыл их у себя, внутри нет макросов. Ко мне такая задача не пришла.

Откуда могло придти создание задачи?

Курите логи машины, там должны сохраниться кто и когда создал задачу

Компьютер пока вне доступа. Логи где? Журнал событий и/или журнал планировщика?

Если он включен, то его должно быть достаточно.