За последнюю неделю я несколько раз получал следующее уведомление от Защитника Windows.
Во что я верю:
- Это вредоносное ПО.
- Он пытается скрыть что-то от Защитника Windows.
- Защитник Windows не смог ничего с этим поделать, кроме как запретить действие.
Как мне провести дальнейшее расследование, например, выяснить, что на самом деле выполняет эту команду?
Я также попытался прочитать ссылку «Подробнее» и установить антивирусные инструменты Касперского, но, похоже, он не знает о проблеме.
Вот часть текста оповещения для тех, кто может искать это в будущем:
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
решение1
Та же проблема здесь! Множество зараженных VM (DC и Hypervisor тоже). Windows Defender обнаруживает и останавливает процесс, но не обнаруживает атакующего. Kaspersky Anti-ransomware tool обнаруживает два типа заражения: trojan.win32.bazon.a и trojan.win32.genautorunserviceimagepath.a
Все версии Windows Server подвержены этой проблеме. Загрузка ЦП диспетчера задач показывает 100% во многих задачах PowerShell. Процесс можно легко завершить.
Мы нашли «cmd.bat» в меню автозапуска Windows и скрипт PowerShell в C:\Windows\System32\WindowsPowerShell\v1.0\
Надеюсь, мы вам поможем!