查找并停止已执行的 PowerShell 命令的来源

查找并停止已执行的 PowerShell 命令的来源

前段时间,我感染了一堆病毒和恶意软件。我使用 malware bytes、windows defender 和手动检查未知进程(我会打开它们的文件位置并删除)清除了大部分病毒和恶意软件。我还遇到最后一个特别烦人的病毒:

在随机时间(频率从几天到几周不等),Google Chrome 会崩溃并从任务栏中删除。然后会安装另一个假 Chrome 和假 Firefox(外观和功能相同,但不是正确的文件路径)。

还创建了一些新文件夹。我每次都会删除它们,但病毒下次运行时仍会创建它们。每次都略有不同,但一致的是:

  1. %appdata% 中名为“WinSapSvc”的文件夹,其中包含一个文件“WinSAP.dll”。该文件随后在任务管理器中运行
  2. 在 Program Files (x86) 中,有多个包含长乱码的文件夹(例如:{61A49C04-9843-4B67-8890-1862F29D01AD})。这些文件夹包含一个名为“允许删除(更多乱码)”,其中包含一堆 .exe 和 .dll 文件,以及一个名为 Snarer.msi 的 .msi。此外,还有一些没有扩展名的文件,看起来像与 google hangouts 相关的 javascript。

编辑:#3- 它关闭了 Windows Defender,并让它认为定义已过期 1 年。它似乎还重新安装了 Windows Defender

编辑#2:它所做的主要事情之一是启动一个名为“kitty”的服务。它在 svchost.exe 下运行,命令为“C:\windows\system32\svchost.exe -k Kitty -s”。我不知道如何摆脱它(虽然在停止它之后,它又启动了,所以也许这不是根本问题)


这次,当 Google Chrome 崩溃时,我立即打开了任务管理器,发现有 10-20 个正在运行的 powershell 命令正在快速关闭。我想如果我能找出这些命令是从哪里触发的,我就能最终杀死病毒了。powershell 命令可能从哪里触发?任务计划程序显示过去 24 小时内没有运行任何任务。

答案1

好吧,我想我至少找到了答案。我有一个名为 BIT 的服务,它一直在后台运行,并且运行带有一些我不认识的额外参数的 svchost。我用下面的命令删除了它,从那以后再也没有发生过事故。(之后我还运行了 malwarebytes 和 simplysup 木马扫描程序,结果都是阳性,但之后没有检测到任何新东西)。

sc 停止位

sc 删除BIT

更新:一段时间后,服务会自行重新安装。我认为 Spotify 更新程序被感染了,因为每次 Spotify 更新时,它都会运行命令、安装服务以及一堆其他恶意软件。重新安装 Spotify 后,我再也没有遇到任何问题。

相关内容