Recibí la siguiente notificación de Windows Defender varias veces durante la última semana.
Cosas que creo:
- es malware
- Está intentando ocultar cosas de Windows Defender.
- Windows Defender no pudo hacer nada al respecto, aparte de rechazar la acción
¿Cómo hago para investigar más a fondo esto, por ejemplo, para descubrir qué es lo que realmente ejecuta este comando?
También intenté leer el enlace "Más información" e instalar las herramientas antimalware de Kaspersky, pero parecía no darse cuenta del problema.
A continuación se muestra parte del texto de la alerta para las personas que puedan buscar esto en el futuro:
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
Respuesta1
¡El mismo problema aqui! Muchas máquinas virtuales infectadas (DC e Hypervisor también). Windows Defender detecta y detiene el proceso, pero no detecta al atacante. La herramienta Kaspersky Anti-ransomware detecta dos tipos de infección: trojan.win32.bazon.a y trojan.win32.genautorunserviceimagepath.a
Todas las versiones de Windows Server se ven afectadas por el problema. El uso de la CPU del administrador de tareas muestra el 100% en muchas tareas de PowerShell. Es fácil posible matar el proceso.
Encontramos un "cmd.bat" en el menú de inicio automático de Windows y un script de PowerShell en C:\Windows\System32\WindowsPowerShell\v1.0\
Espero poder ayudarte!