Перейти к содержанию

Powershell загружает серверы на 100%


Рекомендуемые сообщения

Оформлен инцидент INC000008415373, в двух словах продублирую здесь.

 

На серверах с всевозможными версиями Windows Server обнаруживается работающий процесс powershell, грузящий процессор на 100%. Если процесс убить, то он потом снова запускается. Командные строки процессов отличаются, но типа этого:

powershell -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Win32_TaskService').Properties['mon'].Value; $funs = ([WmiClas*] 'root\default:Win32_TaskService').Properties['funs'].Value ; iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))); Invoke-Command  -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"

После загрузки системы в безопасном режиме и сканирования с помощью KVRT находится в System Memory и удаляется Trojan.Multi.GenAutorunWMI.a, после перезагрузки всё вроде бы нормально.

 

На серверах установлен KSWS 10.0.0.486, посоветуйте, где что настроить, чтобы избежать повторных случаев.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дождитесь ответа ТП. Одновременное лечение в разных местах только сбивает с толку консультантов.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Этот раздел посвящен уничтожению вирусов, в соответствии с правилами раздела вы должны внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».
Если ваш вопрос не касается этого раздела, то ваша тема будет перенесена в раздел Помощь по продуктам Лаборатории Касперского

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • kurosakichel
      От kurosakichel
      Всем привет! Связался с такой проблемой, что скачал давным-давно вирус с майнером, который как я понял за некоторое время вшился в мой биос. Когда я убедился, что на моем компьютере есть майнер по двум признакам. Это когда с закрытым диспетчером задач вентиляторы в компьютере начинают шуметь и компьютер загружается на 60-70%, а когда я открываю диспетчер задач вентиляторы утихают и резко с 70% загруженности цп падает до низкого процента (10-30%). И еще один признак, когда мне посоветовали скачать антивирус Dr.Web он начал вечно блокировать приложение powershell.exe и тогда я понял, что благодаря нему майнер и сидит в моем компьютере и удалить его без посторонней помощи для меня - никак. Пробная подписка на Dr.Web истекла и я решился переустановить виндовс вновь с надеждой на везение, но увы, не помогло. Майнер так и остался в моем компьютере... Очень хочется удалить майнер без замены деталей в компьютере. Помогите пожалуйста!!
    • spbcity
      От spbcity
      Добрый день!
      Вчера звонил в техническую поддержку, потом в отдел продаж. Потратил уйму времени, но, как оказалось, ответы на том конце провода были неверны.
      Стояла задача получить модуль веб-контроль на Windows Server 2019. Поставил по рекомендации Kaspersky Endpoint Security для Windows. Но оказалось, что функция веб-контроль для серверной ОС недоступна. Это очень печально ...
      Скажите, есть ли продукт Касперского, в котором данная функция доступна для серверных ОС?
      Благодарю!
    • SergeyKorolev
      От SergeyKorolev
      Доброго времени суток. Столкнулся с такой проблемой. При установке нового KES 11.11 на windows server 2016 Выдает ошибку о несовместимости ПО. В списке несовместимых указан Windows Defender.
      Defender полностью отключил + перезагрузил сервер, но проблема осталась на месте. 
      Так же устанавливал KES 11.11 на Windows Server 2012 R2 и такой проблемы не было. 
       
      В чем может быть проблема? 
       
      P.S. Скрин прилагается. 

    • kotodrotin
      От kotodrotin
      Здравствуйте.
      Заметил что ноутбук начал шуметь в простое и нагружать процессор на 50-60 процентов, а нагрузка шла от программы Powershell, причем проверял в программе process explorer, потому что открывая просто диспетчер задач нагрузка процессора падала, а процесс powershell сбрасывался. Проверил антивирусом malware и drweb culteir и без результатно

×
×
  • Создать...