Не понятная активность процесса Powershell.exe

akok · Отправлено: **21:16, 17-11-2017** | #2

Доброго времени суток. Подготовьте, пожалуйста логи http://forum.oszone.net/thread-98169.html

Sandor · Отправлено: **12:36, 20-11-2017** | #3

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\tasks\4565c8d6-f8dc-5949-6cd4149e0baa5ade', '');
 ExecuteFile('schtasks.exe', '/delete /TN "4565c8d6-f8dc-5949-6cd4149e0baa5ade" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

carloscom · Отправлено: **16:19, 20-11-2017** | #4

Цитата Sandor:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. »

Sandor · Отправлено: **16:54, 20-11-2017** | #5

Что с проблемой?

carloscom · Отправлено: **17:20, 20-11-2017** | #6

Цитата Sandor:

Что с проблемой? »

Была ещё проблема с запуском google chrome, теперь браузер запускается. Сканировал eset scanner и norton scanner. Вирусы, которые сканеры обнаружили, , успешно удалились. Но powershell не успокаивается. Грузит процессор сразу после входа в систему.
Ноутбук пока не доступен. Завтра проверю как изменилась ситуация.

akok · Отправлено: **00:38, 21-11-2017** | #7

Если проблема наблюдается, то скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

carloscom · Отправлено: **14:18, 21-11-2017** | #8

Цитата akok:

Прикрепите отчеты к своему следующему сообщению. »

Цитата Sandor:

Что с проблемой? »

powershell не наблюдается. Проблема вроде решена. Спасибо! Что интересно это было?

Sandor · Отправлено: **09:38, 22-11-2017** | #9

Было удалено вредоносное задание, использовавшее Powershell.

Видны следы Norton Security Scan и Eset.
Удалите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.