Ноутбук Toshiba satelite A300 с windows 7. Процесс Powershell.exe грузит процессор в среднем на 50%. Путь к файлу С\Windows\System32\WindowsPowerShell\v1.0. Процесс запускается от системы. Virustotal не видит в файле угрозы. Однако я предполагаю, что это может быть вредоносный скрипт. Возможно у кого-то есть идеи по этому поводу. Заранее благодарен.

gwmi win32_process | where {.processName -eq
Powershell.exe} | select -prop processName,ProcessId,commandLine

ProcessName ProcessId commandLine
----------- --------- -----------
powershell.exe 1772
powershell.exe 5508 "C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe"

Доброго времени суток. Подготовьте, пожалуйста логи http://forum.oszone.net/thread-98169.html

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\system32\tasks\4565c8d6-f8dc-5949-6cd4149e0baa5ade', '');
ExecuteFile('schtasks.exe', '/delete /TN "4565c8d6-f8dc-5949-6cd4149e0baa5ade" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.


Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. »

Что с проблемой?

Что с проблемой? »
Была ещё проблема с запуском google chrome, теперь браузер запускается. Сканировал eset scanner и norton scanner. Вирусы, которые сканеры обнаружили, , успешно удалились. Но powershell не успокаивается. Грузит процессор сразу после входа в систему.
Ноутбук пока не доступен. Завтра проверю как изменилась ситуация.

Если проблема наблюдается, то скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Прикрепите отчеты к своему следующему сообщению. »

Что с проблемой? » powershell не наблюдается. Проблема вроде решена. Спасибо! Что интересно это было?

Было удалено вредоносное задание, использовавшее Powershell.

Видны следы Norton Security Scan и Eset.
Удалите по соотв. инструкции - Чистка системы после некорректного удаления антивируса. (http://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/)

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.