Висят процессы powershell, кто их использует?

Question

[Юрий]

Оставляю комп включенным, на утро вижу несколько процессов powershell, каждый из них ест по 10-12% cpu.
Как отследить кто использует, может майнер какой-то? Посоветуйте прогу, которая раскопает суть))

скриншот

Comments

[AUser0]

Process Explorer хотя-бы, покажет дерево процессов, кто кого запустил, команды запуска можно будет посмотреть.

[ElxkoT]

Там случаем нет в списке процессов пары лишних Explorer.exe? Если есть, то это поддельные, должен быть один. Как раз на днях бодался с очень похожей проблемой. Оказалось, что в планировщик задач прописался вирус под видом Google Updater. Он после своего запуска, особым образом запускал палёный explorer.exe (который сам по себе вполне нормальный, подозреваю, что в него инжектилась вредоносная .dll и уже она делала гадости), а сам родительский процесс сразу же самоустранялся. В результате информации о родительском процессе нет, в аргументах командной строки какой-то мусор, и все они дружно при смерти друг друга перезапускают. Даже антивирус ничего не нашёл, только опытным путем, отключая задачи, удалось понять, что происходит.

Answer 1

[Adler]

Добавьте колонку "командная строка" и посмотрите полный путь выполнения.

Answer 2

[VoidVolker]

Sysinternals Suite -> ProcessExplorer

Answer 3

[MaxKozlov]

Ну и для полноты ответа в теме с тэгом Powershell ;-)

Get-CimInstance Win32_Process -Filter "Name='powershell.exe'" | Select-Object ProcessId, CommandLine