Перейти к содержимому


Фото
- - - - -

Windows Powershell


  • Please log in to reply
10 ответов в этой теме

#1 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 423 Сообщений:

Отправлено 31 Октябрь 2019 - 09:01

Здравствуйте!

Заметил, что с недавнего времени на сервере (видимо после очередного обновления винды) в процессах появился некий powershell.exe, а то и не один. Причем в описании его приписывают к Windows. Поискал в инете описание, оказалось действительно продукт от Microsoft, как я понял замена командной строки с расширенными возможностями. Ну и как бы все бы ничего, только этот процесс сожрал 100% ресурсов ЦП, что соответственно не есть хорошо. Собственно, сам процесс завершить можно и ресурсы освобождаются, вот только он позднее выскочил снова и опять - 100% ЦП. Если кто-нибудь сталкивался с таким, подскажите, как этот powershell отключить. В инете есть советы, но в моем случае ни один не подошел.



#2 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 423 Сообщений:

Отправлено 31 Октябрь 2019 - 09:08

Забыл добавить - ОС на сервере Windows Server 2008 R2 Enterprise SP1.



#3 basid

basid

    Guru

  • Posters
  • 4 126 Сообщений:

Отправлено 31 Октябрь 2019 - 09:43

Домен есть?
Администраторы "развлекаются" PowerShell-скриптами?

#4 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 423 Сообщений:

Отправлено 31 Октябрь 2019 - 10:02

basid, домен есть. Администратор - это собственно я, но про powershell до недавнего времени и не знал, поэтому естественно скриптами не балуюсь :)



#5 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 423 Сообщений:

Отправлено 31 Октябрь 2019 - 10:15

Вот и сейчас в процессах висит с десяток powershell-ов и жрут 100% проца и значительную часть оперативы :(



#6 pig

pig

    Бредогенератор

  • Helpers
  • 10 676 Сообщений:

Отправлено 31 Октябрь 2019 - 11:02

Идите в помощь по лечению.
Почтовый сервер Eserv тоже работает с Dr.Web

#7 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 423 Сообщений:

Отправлено 31 Октябрь 2019 - 11:50

pig, ок, понял.



#8 Denis Nikolayev

Denis Nikolayev

    Member

  • Posters
  • 423 Сообщений:

Отправлено 31 Октябрь 2019 - 12:09

pig, Запустил быструю проверку сканером - уже обезврежено 2 угрозы PowerShell.Downloader.884 в \MSTask\... Я так понимаю, что речь идет о планировщике задач? Как раз в это время работала задача, а процессов powershell.exe становилось все больше. Так что лечиться надо однозначно, но странно, что сканер вирусняк обнаружил, а спайдер его не увидел.



#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 101 Сообщений:

Отправлено 31 Октябрь 2019 - 14:01

Фонова проверка на руткиты включена? Это ее часть.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 932 Сообщений:

Отправлено 31 Октябрь 2019 - 14:14

Denis Nikolayev, отчет sysinfo-next ( http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe) нужен. Без него гадание на кофейной гуще.



#11 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 932 Сообщений:

Отправлено 31 Октябрь 2019 - 14:16

А пока отчет собираете, можете заодно MS17-010 поставить, тут он, видимо, не стоит.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых