Перейти к содержимому


Фото
- - - - -

Powershell подозрительная команда

Powershell

  • Закрыто Тема закрыта
19 ответов в этой теме

#1 Justauser

Justauser

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 21 Ноябрь 2025 - 10:56

При проверки на читы в игре мне сказали вписать эту команду в повер шел:

Скрипт удалён.

 

После того как я ее ввел антивирус заблокировал ссылку и файл, но я не уверен что мой пк не был заражён. Можете рассказать что это за вирус и по возможности объяснить как от него избавится?


Сообщение было изменено VVS: 21 Ноябрь 2025 - 18:08
Удалил скрипт.


#2 Severnyj

Severnyj

    Advanced Member

  • Helpers
  • 852 Сообщений:

Отправлено 21 Ноябрь 2025 - 17:43

Скрипт будет пытаться скачать и запустить стилер паролей Trojan.PWS.Salat.319.
 
Для проверки на заражение подготовьте логи по правилам
 
Скачайте антивирусную утилиту Dr.Web CureIt!
Загруженный файл обычно имеет уникальное имя, например: q7a9tr4p.exe
Закройте все открытые приложения и дважды кликните по загруженному файлу, чтобы запустить его.
  • При запуске программа отобразит экран "Лицензия и обновление",
  • Поставьте галочку, чтобы согласиться с условиями и нажмите на кнопку "Продолжить".
  • Нажмите на подчеркнутую ссылку "Выбрать объекты для сканирования",
  • В левом верхнем углу установите галочку "Объекты проверки", которая должна автоматически установить галочки напротив всех строк.
  • Нажмите на маленький гаечный ключ в правом верхнем углу и убедитесь, что установлен флажок "Автоматически применять действия к угрозам",
  • Затем нажмите большую кнопку в правом нижнем углу "Запустить проверку".
  • Как только сканирование будет завершено, появится ссылка с надписью "Открыть отчет", нажмите на нее, в Блокноте откроется отчет с именем cureit.log
  • Отчет будет сохранен в папке C:\Users\<пользователь>\Doctor Web
  • Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.
Скачайте утилиту Dr.Web SysInfo и сохраните её на Рабочем столе.
  • Щелкните правой кнопкой мыши по dwsysinfo.exe и запустите его от имени администратора.
  • Нажмите кнопку «Сформировать отчет», чтобы начать сканирование.
  • По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.
  • Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.


#3 Justauser

Justauser

    Newbie

  • Posters
  • 11 Сообщений:

Отправлено 21 Ноябрь 2025 - 22:40

https://disk.yandex.ru/d/hHv27pjCjMOuOQcureit.log

https://disk.yandex.ru/d/CU4obZaAeAGhQg
Dwsysinfo

#4 Severnyj

Severnyj

    Advanced Member

  • Helpers
  • 852 Сообщений:

Отправлено 21 Ноябрь 2025 - 23:23

Скачайте утилиту Dr.Web FixIt! и сохраните её на Рабочем столе.
 
  • Запустите скачанный файл.
  • Нажмите кнопку «Начать сканирование», чтобы начать сканирование.
  • По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.
  • Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.


  • #5 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 01:13

    https://disk.yandex.ru/d/x8LIy227hgHneg

    #6 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 10:52

    Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
     
    Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
     
    • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).
  •  
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.


    #7 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 16:06

     

    Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
     
    Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
     
    • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
    • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
    • Нажмите кнопку Scan (Сканировать).
     
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

     

    держите

    Прикрепленный файл  1.rar   23,27К   2 Скачано раз


    Сообщение было изменено Justauser: 22 Ноябрь 2025 - 16:07


    #8 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 16:22

    Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    Отключите до перезагрузки антивирус.
    Выделите следующий код:
     
    Spoiler

    Скопируйте выделенный текст (правой кнопкой - Копировать).
    Запустите FRST (FRST64) от имени администратора.
    Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
    Компьютер будет перезагружен автоматически.

    #9 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 16:41

    Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    Отключите до перезагрузки антивирус.
    Выделите следующий код:
     

    Spoiler

    Скопируйте выделенный текст (правой кнопкой - Копировать).
    Запустите FRST (FRST64) от имени администратора.
    Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
    Компьютер будет перезагружен автоматически.

     

    Вот Прикрепленный файл  Fixlog.rar   40,42К   3 Скачано раз



    #10 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 16:58

    У вас поврежден файл Edge Secure Preferences, за последнюю неделю вижу 3-й такой случай, - пока непонятно связано ли это с заражением. Поэтому:

    • Скачайте установщик Edge
    • Перезагрузитесь в безопасном режиме Windows
    • Удалите файл:
    • C:\Users\Artem\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences
    • Перезагрузитесь в нормальном режиме и переустановите Edge с помощью скачанного установщика.
    • Удалите в корзину старые логи FRST.txt и Addition.txt и подготовьте новые.


    #11 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 17:11

     

    У вас поврежден файл Edge Secure Preferences, за последнюю неделю вижу 3-й такой случай, - пока непонятно связано ли это с заражением. Поэтому:

    • Скачайте установщик Edge
    • Перезагрузитесь в безопасном режиме Windows
    • Удалите файл:
    • C:\Users\Artem\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences
    • Перезагрузитесь в нормальном режиме и переустановите Edge с помощью скачанного установщика.
    • Удалите в корзину старые логи FRST.txt и Addition.txt и подготовьте новые.

     

    готово Прикрепленный файл  Addition.rar   21,16К   4 Скачано раз



    #12 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 17:44

    Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    Отключите до перезагрузки антивирус.
    Выделите следующий код:
     
    Spoiler

    Скопируйте выделенный текст (правой кнопкой - Копировать).
    Запустите FRST (FRST64) от имени администратора.
    Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
    Компьютер будет перезагружен автоматически.

    #13 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 17:52

    Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    Отключите до перезагрузки антивирус.
    Выделите следующий код:
     

    Spoiler

    Скопируйте выделенный текст (правой кнопкой - Копировать).
    Запустите FRST (FRST64) от имени администратора.
    Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
    Компьютер будет перезагружен автоматически.

     

    Прикрепленный файл  Fixlog.rar   1,71К   2 Скачано раз



    #14 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:11

    Попробуйте тот же самый скрипт выполнить в безопасном режиме Windows. Fixlog прикрепите



    #15 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:29

    Попробуйте тот же самый скрипт выполнить в безопасном режиме Windows. Fixlog прикрепите

    Прикрепленный файл  Fixlog.rar   1,52К   2 Скачано раз вот держите 

    Может на ваши поиски как то влияет тот факт что у меня укороченная винда, сборка от флибустира (Flibustier)?



    #16 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:29

    Так, Стоп, я тут мучаюсь с  Secure Preferences и узнаю, что они могут быть под защитой ESET. Так что скрипт можно не выполнять.

     

    Но... Учитывая то, что стилер был у Вас на момент первых логов и самоудалился ко вторым, могу предположить, что пароли могли оказаться в руках злоумышленника.

     

    Советую сменить пароли на соц.сети, мессенджеры и банк-клиенты, и включить двухфакторную авторизацию.



    #17 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:38

    Так, Стоп, я тут мучаюсь с  Secure Preferences и узнаю, что они могут быть под защитой ESET. Так что скрипт можно не выполнять.

     

    Но... Учитывая то, что стилер был у Вас на момент первых логов и самоудалился ко вторым, могу предположить, что пароли могли оказаться в руках злоумышленника.

     

    Советую сменить пароли на соц.сети, мессенджеры и банк-клиенты, и включить двухфакторную авторизацию.

    Понял спасибо


    Так, Стоп, я тут мучаюсь с  Secure Preferences и узнаю, что они могут быть под защитой ESET. Так что скрипт можно не выполнять.

     

    Но... Учитывая то, что стилер был у Вас на момент первых логов и самоудалился ко вторым, могу предположить, что пароли могли оказаться в руках злоумышленника.

     

    Советую сменить пароли на соц.сети, мессенджеры и банк-клиенты, и включить двухфакторную авторизацию.

    а сейчас новые пароли они не смогут украсть, я сейчас в безопасности?



    #18 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:42

     

    Попробуйте тот же самый скрипт выполнить в безопасном режиме Windows. Fixlog прикрепите

    attachicon.gifFixlog.rar вот держите 

    Может на ваши поиски как то влияет тот факт что у меня укороченная винда, сборка от флибустира (Flibustier)?

     

    Выполнили. Хорошо. Я выше в сообщении описал причину.

     

    Если других проблем нет, то кроме смены паролей выполните следующее:

     

    Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
    Компьютер будет перезагружен автоматически.
     
    По скрипту, держите ссылки на virustotal с кратким анализом:
     
    Вот ваш скрипт, который вам дали запустить под видом античита, после запуска он якобы начинает действия с отчетом процентов или времени, а по факту скачивает и запускает на исполнение Trojan.PWS.Salat.319, а потом отображает окно с якобы ошибкой. По факту стилеры интересуются кошельками криптовалюты, игровыми кошельками, сессиями и паролями в браузерах.
     
    Надеюсь любопытство удовлетворил.


    #19 Severnyj

    Severnyj

      Advanced Member

    • Helpers
    • 852 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:45

    я сейчас в безопасности?

    Вредоносной активности в логах не видно. Можете запустить полное сканирование вашего антивируса и CureIt! для поиска остатков и записей в историю.



    #20 Justauser

    Justauser

      Newbie

    • Posters
    • 11 Сообщений:

    Отправлено 22 Ноябрь 2025 - 18:46

     

     

    Попробуйте тот же самый скрипт выполнить в безопасном режиме Windows. Fixlog прикрепите

    attachicon.gifFixlog.rar вот держите 

    Может на ваши поиски как то влияет тот факт что у меня укороченная винда, сборка от флибустира (Flibustier)?

     

    Выполнили. Хорошо. Я выше в сообщении описал причину.

     

    Если других проблем нет, то кроме смены паролей выполните следующее:

     

    Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
    Компьютер будет перезагружен автоматически.
     
    По скрипту, держите ссылки на virustotal с кратким анализом:
     
    Вот ваш скрипт, который вам дали запустить под видом античита, после запуска он якобы начинает действия с отчетом процентов или времени, а по факту скачивает и запускает на исполнение Trojan.PWS.Salat.319, а потом отображает окно с якобы ошибкой. По факту стилеры интересуются кошельками криптовалюты, игровыми кошельками, сессиями и паролями в браузерах.
     
    Надеюсь любопытство удовлетворил.

     

    Огромное вам спасибо 





    Also tagged with one or more of these keywords: Powershell