上週我多次收到來自 Windows Defender 的以下通知。
我相信的事:
- 這是惡意軟體
- 它試圖向 Windows Defender 隱藏內容
- Windows Defender 除了禁止該操作之外無法執行任何操作
我該如何進一步調查這個問題,例如找出實際執行這個命令的是什麼?
我還嘗試閱讀“了解更多”鏈接,並安裝卡巴斯基的反惡意軟體工具,但它似乎沒有意識到這個問題。
以下是警報中的一些文本,供將來可能搜尋此內容的人使用:
VirTool:Win32/ExcludeProc.A
CmdLine: C:\Windows\System32\cmd.exe /C cmd /c powershell.exe -NoP -NonI -W Hidden -exec bypass Add-MpPreference -ExclusionProcess 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe'
答案1
這裡同樣的問題!許多虛擬機器被感染(DC 和虛擬機器管理程式也是如此)。 Windows Defender 會偵測並停止該進程,但不會偵測攻擊者。卡巴斯基反勒索軟體工具檢測兩種類型的感染:trojan.win32.bazon.a 和 trojan.win32.genautorunserviceimagepath.a
所有版本的 Windows Server 都會受到該問題的影響。任務管理器 CPU 使用率在許多 powershell 任務中顯示為 100%。殺死該過程很容易。
我們在Windows自動啟動選單中發現了一個“cmd.bat”,並在C:\Windows\System32\WindowsPowerShell\v1.0\中發現了一個powershell腳本
希望對您有幫助!