吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1017|回复: 10
收起左侧

【小白求助】有大佬知道如图所示是不是电脑中后门了?

[复制链接]
alinwei 发表于 2024-8-20 09:00
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
如图所示,电脑安装的火绒总是莫名其妙弹出这种提示,用火绒全盘扫描并没有提示有病毒,有大佬看得懂吗?感谢

防护项目:隐藏执行PowerShell
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"powershell.exe" -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -enc UwBlAHQALQBNAHAAUAByAGUAZgBlAHIAZQBuAGMAZQAgAC0ARQB4AGMAbAB1AHMAaQBvAG4AUABhAHQAaAAgAEMAOgBcAA==
操作结果:已允许

进程ID:2360
操作进程:C:\Windows\System32\svchost.exe
操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
父进程ID:824
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe

火绒提示

火绒提示

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

RS水果 发表于 2024-8-20 09:31

这段命令是一个PowerShell脚本,使用了Base64编码。

解码后的命令是:

Set-ExecutionPolicy Bypass -Scope Process -Force

这个命令的含义如下:

Set-ExecutionPolicy Bypass -Scope Process -Force:这是PowerShell的一个命令,用于设置执行策略。

Set-ExecutionPolicy:设置PowerShell的执行策略。

Bypass:设置执行策略为“Bypass”,这意味着脚本执行时不会被阻止,并且不会有任何警告或提示。

-Scope Process:设置执行策略的作用范围为当前进程。

-Force:强制执行,不显示任何确认提示。

-WindowStyle Hidden:隐藏PowerShell窗口。

-NoProfile:不加载PowerShell配置文件。

-enc:指定后面的字符串是Base64编码的。

总结来说,这段命令的目的是在隐藏的PowerShell窗口中,强制设置当前进程的执行策略为“Bypass”,以便允许执行未签名的脚本。

如果火绒无法查杀 建议使用360系统急救箱全盘强力杀毒

https://weishi.360.cn/jijiuxiang/index.html

jyjjf 发表于 2024-8-20 10:03
 楼主| alinwei 发表于 2024-8-20 10:09
RS水果 发表于 2024-8-20 09:31
[md]这段命令是一个PowerShell脚本,使用了Base64编码。

解码后的命令是:

感谢大佬的回复,按照您说的方式我看看,感谢回复。
 楼主| alinwei 发表于 2024-8-20 10:11
jyjjf 发表于 2024-8-20 10:03
自己查看一下任务计划程序有没有异常的计划

感谢,我看看去。
那些年打的飞机 发表于 2024-8-20 10:21
PE进系统,然后离线查杀你的硬盘
 楼主| alinwei 发表于 2024-8-20 12:18
那些年打的飞机 发表于 2024-8-20 10:21
PE进系统,然后离线查杀你的硬盘

谢谢,我看看去
bfgxp 发表于 2024-8-20 12:22
你是不是在使用hfs2.x版本,hfs2.x版本有严重的漏洞,黑客可以利用这个漏洞执行任何命令。
matxi 发表于 2024-8-20 12:57
解码 Set-MPPreference -ExclusionPath C:\
看这条命令的作用是通过 PowerShell 修改 Windows Defender 的配置  设置排除扫描的路径为 C:\,也就是说,Windows Defender 将不会扫描 C:\ 目录  该命令由 svchost.exe 进程执行,且 svchost.exe 进程的父进程为 services.exe。svchost.exe 是一个系统进程,通常用于托管多个服务,使用此进程来执行脚本可能表明某些服务被利用或劫持。建议 检查系统日志和进程:确认 svchost.exe 是否为正常的系统服务实例,并检查是否有异常的服务运行或被劫持。
扫描系统:使用其他安全工具(例如 Malwarebytes 或其他反恶意软件)扫描系统,尤其是 C:\ 目录,因为该目录可能包含恶意软件。
恢复 Windows Defender 设置:如果没有特定需求,建议将 Windows Defender 的排除设置恢复到默认状态,并确保其正常工作。
 楼主| alinwei 发表于 2024-8-21 09:14
bfgxp 发表于 2024-8-20 12:22
你是不是在使用hfs2.x版本,hfs2.x版本有严重的漏洞,黑客可以利用这个漏洞执行任何命令。

hfs2.x版本是什么呀?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:38

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表