Перейти к содержимому


Фото
- - - - -

Windows Powershell


  • Please log in to reply
38 ответов в этой теме

#1 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 31 Октябрь 2019 - 09:01

Здравствуйте!

Заметил, что с недавнего времени на сервере (видимо после очередного обновления винды) в процессах появился некий powershell.exe, а то и не один. Причем в описании его приписывают к Windows. Поискал в инете описание, оказалось действительно продукт от Microsoft, как я понял замена командной строки с расширенными возможностями. Ну и как бы все бы ничего, только этот процесс сожрал 100% ресурсов ЦП, что соответственно не есть хорошо. Собственно, сам процесс завершить можно и ресурсы освобождаются, вот только он позднее выскочил снова и опять - 100% ЦП. Если кто-нибудь сталкивался с таким, подскажите, как этот powershell отключить. В инете есть советы, но в моем случае ни один не подошел.



#2 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 31 Октябрь 2019 - 09:08

Забыл добавить - ОС на сервере Windows Server 2008 R2 Enterprise SP1.



#3 basid

basid

    Guru

  • Posters
  • 4 476 Сообщений:

Отправлено 31 Октябрь 2019 - 09:43

Домен есть?
Администраторы "развлекаются" PowerShell-скриптами?

#4 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 31 Октябрь 2019 - 10:02

basid, домен есть. Администратор - это собственно я, но про powershell до недавнего времени и не знал, поэтому естественно скриптами не балуюсь :)



#5 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 31 Октябрь 2019 - 10:15

Вот и сейчас в процессах висит с десяток powershell-ов и жрут 100% проца и значительную часть оперативы :(



#6 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 31 Октябрь 2019 - 11:02

Идите в помощь по лечению.
Почтовый сервер Eserv тоже работает с Dr.Web

#7 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 31 Октябрь 2019 - 11:50

pig, ок, понял.



#8 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 31 Октябрь 2019 - 12:09

pig, Запустил быструю проверку сканером - уже обезврежено 2 угрозы PowerShell.Downloader.884 в \MSTask\... Я так понимаю, что речь идет о планировщике задач? Как раз в это время работала задача, а процессов powershell.exe становилось все больше. Так что лечиться надо однозначно, но странно, что сканер вирусняк обнаружил, а спайдер его не увидел.



#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 31 Октябрь 2019 - 14:01

Фонова проверка на руткиты включена? Это ее часть.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 31 Октябрь 2019 - 14:14

Denis Nikolayev, отчет sysinfo-next ( http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe) нужен. Без него гадание на кофейной гуще.



#11 Ivan Korolev

Ivan Korolev

    Poster

  • Virus Analysts
  • 1 352 Сообщений:

Отправлено 31 Октябрь 2019 - 14:16

А пока отчет собираете, можете заодно MS17-010 поставить, тут он, видимо, не стоит.



#12 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 10:03

Здравствуйте!

Прошу прощения за долгое молчание - был в отпуске. Проблема собственно осталась.Перед отпуском прогнал систему сканером, выловил два повершелла, вроде все пошло нормально. Вот вышел - ситуация такая же, если не хуже. Создается вдобавок куча процессов cmd и conhost. Грохнул все эти процессы, прогнал CureIt-ом - тот опять нашел повершеллы - кроме тех, которые в планировщике, так и еще парочку в системной папке. Убил. Через какое-то время опять появились. Убил процессы, прогнал штатным сканером, сделал отчет (прикреплен).

Ivan Korolev, отчет сделал, насчет обновления - как только у меня начались проблемы с Troyan.Siggen, провел полное обновление, думаю и этот патч там был.



#13 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 10:10

Ссылка на отчет



#14 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 929 Сообщений:

Отправлено 03 Декабрь 2019 - 10:50

две задачи "\dmconOgrw" и "\ncWTY\wviKURtmj" удалите в Планировщике заданий.



#15 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 11:44

AndreyKa, Действительно были такие задачи, я их не создавал. Грохнул, посмотрим, что будет дальше. Кстати, на другом сервере в планировщике тоже висела левая задача и повершелы плодились. Грохнул задачу, процессы, прошелся сканером - тот ничего не нашел, благо спайдер до этого все поймал.



#16 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 12:19

Фонова проверка на руткиты включена? Это ее часть.

У меня стоит на сервере агент от DrWeb Security Suite. Подскажите пожалуйста, где проверить, работает ли проверка на руткиты и как ее включить, если не работает. DrWeb Security Suite 11, если что.



#17 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 03 Декабрь 2019 - 12:25

11 версия устарела и не имеет нужного и эффективного функционала против такого класса угроз
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#18 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 12:48

Konstantin Yudin, что-то пропустил выход нового ESS :( Подскажите, как наиболее безболезненно мигрировать на новую версию? Просто ставить новую серверную часть поверх старой, а агенты сами обновятся? Или придется потанцевать с бубном?



#19 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Декабрь 2019 - 12:55

Просто в ЦУ выбрать последний выпуск и нажать "применить".


Семь раз отрежь – один раз проверь

#20 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 461 Сообщений:

Отправлено 03 Декабрь 2019 - 16:12

Afalin, вы, конечно, извините мою тупость - тяжелый рабочий день, голова туго соображает. Можно поподробнее, где мне это найти?




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых