Powershell загружает серверы на 100%

[ChillingTouch]

Оформлен инцидент INC000008415373, в двух словах продублирую здесь.

 

На серверах с всевозможными версиями Windows Server обнаруживается работающий процесс powershell, грузящий процессор на 100%. Если процесс убить, то он потом снова запускается. Командные строки процессов отличаются, но типа этого:

powershell -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Win32_TaskService').Properties['mon'].Value; $funs = ([WmiClas*] 'root\default:Win32_TaskService').Properties['funs'].Value ; iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))); Invoke-Command  -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"

После загрузки системы в безопасном режиме и сканирования с помощью KVRT находится в System Memory и удаляется Trojan.Multi.GenAutorunWMI.a, после перезагрузки всё вроде бы нормально.

 

На серверах установлен KSWS 10.0.0.486, посоветуйте, где что настроить, чтобы избежать повторных случаев.

[Sandor]

Здравствуйте!

 

Дождитесь ответа ТП. Одновременное лечение в разных местах только сбивает с толку консультантов.

Изменено 26 октября, 2017 пользователем Sandor

[kmscom]

Этот раздел посвящен уничтожению вирусов, в соответствии с правилами раздела вы должны внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».
Если ваш вопрос не касается этого раздела, то ваша тема будет перенесена в раздел Помощь по продуктам Лаборатории Касперского