【小白求助】有大佬知道如图所示是不是电脑中后门了?
如图所示,电脑安装的火绒总是莫名其妙弹出这种提示,用火绒全盘扫描并没有提示有病毒,有大佬看得懂吗?感谢防护项目:隐藏执行PowerShell
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"powershell.exe" -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -enc UwBlAHQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEMAOgBcAA==
操作结果:已允许
进程ID:2360
操作进程:C:\Windows\System32\svchost.exe
操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
父进程ID:824
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe 这段命令是一个PowerShell脚本,使用了Base64编码。
解码后的命令是:
```powershell
Set-ExecutionPolicy Bypass -Scope Process -Force
```
这个命令的含义如下:
**Set-ExecutionPolicy Bypass -Scope Process -Force**:这是PowerShell的一个命令,用于设置执行策略。
**Set-ExecutionPolicy**:设置PowerShell的执行策略。
**Bypass**:设置执行策略为“Bypass”,这意味着脚本执行时不会被阻止,并且不会有任何警告或提示。
**-Scope Process**:设置执行策略的作用范围为当前进程。
**-Force**:强制执行,不显示任何确认提示。
**-WindowStyle Hidden**:隐藏PowerShell窗口。
**-NoProfile**:不加载PowerShell配置文件。
**-enc**:指定后面的字符串是Base64编码的。
总结来说,这段命令的目的是在隐藏的PowerShell窗口中,强制设置当前进程的执行策略为“Bypass”,以便允许执行未签名的脚本。
如果火绒无法查杀 建议使用360系统急救箱全盘强力杀毒
https://weishi.360.cn/jijiuxiang/index.html 自己查看一下任务计划程序有没有异常的计划 RS水果 发表于 2024-8-20 09:31
这段命令是一个PowerShell脚本,使用了Base64编码。
解码后的命令是:
感谢大佬的回复,按照您说的方式我看看,感谢回复。 jyjjf 发表于 2024-8-20 10:03
自己查看一下任务计划程序有没有异常的计划
感谢,我看看去。 PE进系统,然后离线查杀你的硬盘 那些年打的飞机 发表于 2024-8-20 10:21
PE进系统,然后离线查杀你的硬盘
谢谢,我看看去 你是不是在使用hfs2.x版本,hfs2.x版本有严重的漏洞,黑客可以利用这个漏洞执行任何命令。 解码 Set-MPPreference -ExclusionPath C:\
看这条命令的作用是通过 PowerShell 修改 Windows Defender 的配置设置排除扫描的路径为 C:\,也就是说,Windows Defender 将不会扫描 C:\ 目录该命令由 svchost.exe 进程执行,且 svchost.exe 进程的父进程为 services.exe。svchost.exe 是一个系统进程,通常用于托管多个服务,使用此进程来执行脚本可能表明某些服务被利用或劫持。建议 检查系统日志和进程:确认 svchost.exe 是否为正常的系统服务实例,并检查是否有异常的服务运行或被劫持。
扫描系统:使用其他安全工具(例如 Malwarebytes 或其他反恶意软件)扫描系统,尤其是 C:\ 目录,因为该目录可能包含恶意软件。
恢复 Windows Defender 设置:如果没有特定需求,建议将 Windows Defender 的排除设置恢复到默认状态,并确保其正常工作。 bfgxp 发表于 2024-8-20 12:22
你是不是在使用hfs2.x版本,hfs2.x版本有严重的漏洞,黑客可以利用这个漏洞执行任何命令。
hfs2.x版本是什么呀?
页:
[1]
2