며칠 전에 작업 관리자에서 powershell.exe 프로세스가 실행 중임을 확인했습니다. msconfig에 가보니 정말 긴 명령이 있습니다. 여기있어:
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)));
이것은 정말 이상한 일입니다. 왜냐하면 이전에 문제가 있었던 임의의 프로세스가 바이러스이고 Windows에서 말하는 것처럼 내 PC에 보안되지 않은 드라이버를 다운로드하려고 시도했기 때문입니다. 누구든지 이 PowerShell 프로세스에 대해 말해 줄 수 있나요? 시작할 때 시작되며 항상 실행됩니다. 다시 한 번 말씀드리지만, 무식한 소리로 들리지 않기를 바랍니다. 어쩌면 이는 정상적인 시작 프로세스일 수도 있습니다.
답변1
이는 거의 확실히 악의적입니다.
분해해 봅시다. -noprofile숨겨진 창( )에서 사용자 지정( ) 없이 Windows PowerShell(합법적이고 매우 유용한 명령 해석기)을 호출하여 -windowstyle hiddenPowerShell 세션이 시스템 정책( -executionpolicy bypass)에 관계없이 스크립트를 실행할 수 있도록 합니다. 그런 다음 다음 명령을 실행합니다.
iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)))
gp이는 Get-ItemProperty레지스트리 키 값을 검색하는 데 사용할 수 있으며 여기서 수행하는 작업입니다. SAJELFZIXHQTV현재 사용자 키에 호출된 키가 있는 것 같습니다 Software\Classes. 해당 키 ADUXJH에는 검색되는 데이터인 이라는 값이 있습니다 gp. 해당 데이터(분명히 문자열)는 다음과 같습니다.Base64-바이트 배열( FromBase64String)로 디코딩됩니다. 그런 다음 해당 바이트는 ASCII 텍스트( )로 해석됩니다 ASCII.GetString. 이상하게도 원본에는 추가 점이 있는데, 개체에 ASCII라는 멤버가 없기 때문에 오류가 발생합니다 Get. 하지만 프로세스가 계속 진행되고 있다는 점을 감안할 때 추가 점은 단지 전사 오류일 뿐이라고 생각합니다.
해당 오류가 없으면 결과 텍스트가 PowerShell 명령( iex)으로 호출됩니다. 즉, 이 명령은 레지스트리에서 인코딩된 스크립트를 로드하고 실행하도록 설계되었습니다. 실행 중인 내용을 정확하게 보려면 위의 PowerShell 명령에서 iex및 추가 점을 제거한 후 PowerShell 프롬프트에 복사하고 실행하세요. 호출될 명령을 인쇄합니다. 거의 확실하게 양성이 아닐 것입니다.
다음을 사용하여 해당 항목이 자동으로 시작되는 것을 중지할 수 있습니다.자동 실행도구. 그러나 컴퓨터가 감염되었을 가능성이 있으므로 컴퓨터를 더 철저하게 청소하는 것이 좋습니다. 참조하세요내 PC에서 악성 스파이웨어, 맬웨어, 애드웨어, 바이러스, 트로이 목마 또는 루트킷을 제거하려면 어떻게 해야 합니까?