Powershell грузить процессор + память.

Sandor · Отправлено: **16:58, 02-10-2019** | #2

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\tasks\00-19-D1-A9-99-6E', '');
 QuarantineFile('C:\Windows\system32\tasks\Rass', '');
 DeleteSchedulerTask('Microsoft\Windows\00-19-D1-A9-99-6E');
 DeleteSchedulerTask('Microsoft\Windows\Rass');
end.

Перезагрузите компьютер вручную.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

TimofeevAGVN53 · Отправлено: **17:35, 02-10-2019** | #3

Спасибо, как снимать лог с виртуальных машин Hyper-V?

Sandor · Отправлено: **08:38, 03-10-2019** | #4

В первом сообщении вы же прикрепили лог.

TimofeevAGVN53 · Отправлено: **08:49, 03-10-2019** | #5

Этот был один из серверов. И там всё стало хорошо. Есть ещё три сервера, но они на виртуальных машинах и логирование не удаётся выполнить из-за того что подключен по РДП. Через оснастку mmc то же самое говорит.

Sandor · Отправлено: **10:00, 03-10-2019** | #6

Цитата TimofeevAGVN53:

И там всё стало хорошо »

Так покажите контрольный лог.

Цитата TimofeevAGVN53:

Есть ещё три сервера »

Действуем по принципу один компьютер - одна тема.
Сделайте на виртуалках так:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

TimofeevAGVN53 · Отправлено: **14:48, 10-10-2019** | #7

После выполнения данных скриптов - через несколько дней опять появляются процессы powershell.
Выполнение данного скрипта помогает на некоторое время.

TimofeevAGVN53 · Отправлено: **15:11, 10-10-2019** | #8

на hyper-v core как то можно запустить эти скрипты?

Sandor · Отправлено: **15:32, 10-10-2019** | #9

Я ведь говорил, что

Цитата Sandor:

один компьютер - одна тема »

так как скрипт не универсальный и основан на логах конкретной системы.

Продолжать вы почему-то не хотите.

TimofeevAGVN53 · Отправлено: **16:13, 10-10-2019** | #10

Это про тот же компьютер. Нам опять запустились процессы. Про Hyper-v мне создать отдельную тему?