powershell.exe不停创建DismHost.exe，被火绒拦截

smxclj123

操作进程：C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
命令行：C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
防护项目：[结束]系统进程防护.B.01
操作目标：【创建】 C:\WINDOWS\TEMP\38C73A70-0C23-40A7-939B-87326032A203\DismHost.exe
操作结果：已阻止

火绒安全日志一直重复刷出这个，不知道是不是系统文件被感染，之前刚安装ESET NOD32的时候扫过一次（不知道是不是全盘扫描），更之前用360系统急救箱强力模式全盘扫过两次，再之前用WINDOWS DEFENDER全盘扫过无数次

请求分析

smxclj123

系统是WINDOWS 10 64位，系统已经开启自动更新并更新到最新版，版本号1909

联想笔记本，系统是刚买的时候厂家预装的，因为懒没从微软官网重装纯净版系统，之前就爆出过联想系统预装软件

Superfish

有病毒木马，莫非这次也是同样套路？

QVM360

@Jerry.Lin

VT全绿
https://www.virustotal.com/gui/file/908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53/detection

【创建】 C:\WINDOWS\TEMP\38C73A70-0C23-40A7-939B-87326032A203\DismHost.exe

把这个DismHost.exe传上来看看

C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1

还有这个DisableUnusedSmb1.ps1

zay365

你把powershell给发上来有什么用，你得把DismHost.exe和DisableUnusedSmb1.ps1给发上来

swizzer

真是迷人，竟然把powershell发上来

先允许创建那个exe，再把那个exe打包上来，顺便把那个ps1发上来

不懂这点知识的话还是不要自定义规则的好

Jerry.Lin

https://forum.avast.com/index.php?topic=220331.0

4楼

暗_黑

不懂的话还是不建议使用自定义规则

smxclj123

统一回复，DismHost.exe这个文件所在的文件夹，只要允许创建下一秒马上就被自动删除，我一直复制都复制不出来，所以没办法上传。。只有DisableUnusedSmb1.ps1


找不到删除线就用下划线代替了，用改权限的方法终于把DismHost.exe复制出来了，所在文件夹的其他文件因为大小不能上传附件，如果需要就上传到百度网盘，里面有5个DLL文件特别难打包需要单独改所有者改权限不知道怎么回事

因为电脑刚买回来用的时候有一个游戏一直是60FPS左右，后来因为需要不得不下载运行了很多来路不明的软件，这个游戏不知道从什么时候开始只有30FPS了，用WINDOWS DEFENDER全盘扫过很多次整理磁盘碎片也没用，后来用360急救箱扫了两回那个游戏才终于又重新回到60FPS了

但是有之前WNDOWS DEFENDER没用的先例，所以也不知道电脑里还有没有其他没扫出来的。。而且这个创建文件在日志里一直刷，有好多条看起来比较奇怪

QVM360

smxclj123 发表于 2020-4-9 11:15
统一回复，DismHost.exe这个文件所在的文件夹，只要允许创建下一秒马上就被自动删除，我一直复制都复制不出 ...

VT全绿，应该没问题

嗜血大叔

Norton miss all 签名是微软的