Ich habe in der letzten Woche mehrmals die folgende Benachrichtigung von Windows Defender erhalten.
Dinge, an die ich glaube:
- Es handelt sich um Malware
- Es versucht, Dinge vor Windows Defender zu verbergen
- Windows Defender konnte nichts dagegen tun, außer die Aktion zu untersagen
Wie gehe ich bei der weiteren Untersuchung vor, um beispielsweise herauszufinden, was diesen Befehl tatsächlich ausführt?
Ich habe auch versucht, den Link „Weitere Informationen“ zu lesen und die Anti-Malware-Tools von Kaspersky zu installieren, aber das Problem war offenbar nicht bekannt.
Hier ist ein Auszug aus dem Warntext für Personen, die in Zukunft möglicherweise danach suchen:
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
Antwort1
Gleiches Problem hier! Viele VMs infiziert (auch DC und Hypervisor). Windows Defender erkennt und stoppt den Prozess, erkennt aber nicht den Angreifer. Das Anti-Ransomware-Tool von Kaspersky erkennt zwei Arten von Infektionen: trojan.win32.bazon.a und trojan.win32.genautorunserviceimagepath.a
Alle Versionen von Windows Server sind von dem Problem betroffen. Die CPU-Auslastung des Task-Managers zeigt bei vielen Powershell-Aufgaben 100 % an. Es ist leicht möglich, den Prozess zu beenden.
Wir haben eine „cmd.bat“ im Windows-Autostartmenü und ein Powershell-Skript in C:\Windows\System32\WindowsPowerShell\v1.0\ gefunden.
Hoffe, dir helfen zu können!