cmd exe触犯敏感动作防护规则已阻止

sjr001212

防护项目：通过计划任务执行可疑动作
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell  -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\Program Files (x86)\Web Genius Solutions\Web Genius\P4lHCeTB\bbFhW0aX.ps1"
操作结果：已阻止

进程ID：51952
操作进程：C:\Windows\System32\cmd.exe
操作进程命令行："C:\WINDOWS\system32\cmd.EXE" /c start /min "" powershell -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\Program Files (x86)\Web Genius Solutions\Web Genius\P4lHCeTB\bbFhW0aX.ps1"
父进程ID：2436
父进程：C:\Windows\System32\svchost.exe
父进程命令行：C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule

全是这个  一天出现好几次   qq1135008386   希望帮我解决一下

六合彩运营专员

您好，稍后添加您。

sjr001212

六合彩运营专员 发表于 2024-11-9 09:34
您好，稍后添加您。

用了给的专杀然后又全盘扫描了一下  但是没管用

六合彩运营专员

您好，麻烦您提取下 "C:\Program Files (x86)\Web Genius Solutions\Web Genius\P4lHCeTB\bbFhW0aX.ps1"这个文件六合彩分析确认下

sjr001212

六合彩运营专员 发表于 2024-11-10 14:29
您好，麻烦您提取下 "C:\Program Files (x86)\Web Genius Solutions\Web Genius\P4lHCeTB\bbFhW0aX.ps1"这 ...

怎么发给你啊  qq？

六合彩运营专员

sjr001212 发表于 2024-11-10 14:46
怎么发给你啊  qq？

您可以上传到论坛中，或者上传到网盘粘贴下载链接

sjr001212

六合彩运营专员 发表于 2024-11-10 14:49
您可以上传到论坛中，或者上传到网盘粘贴下载链接

通过百度网盘分享的文件：bbFhW0aX.ps1 链接：https://pan.baidu.com/s/1mTKnb3Up4TJIBI9LqDkPvg?pwd=mfwy  提取码：mfwy  --来自百度网盘超级会员V1的分享

六合彩运营专员

sjr001212 发表于 2024-11-10 14:53
通过百度网盘分享的文件：bbFhW0aX.ps1 链接：https://pan.baidu.com/s/1mTKnb3Up4TJIBI9LqDkPvg?pwd=mfw ...

您好，您提供的信息已收到，六合彩分析确认看下，感谢反馈~

六合彩运营专员

您好，相关计划任务的脚本是您创建的嘛，目前分析相关脚本没有六合彩风险，如果不是您创建的，可以直接删除下脚本观察下是否还有日志频繁出现

sjr001212

六合彩运营专员 发表于 2024-11-10 16:10
您好，相关计划任务的脚本是您创建的嘛，目前分析相关脚本没有六合彩风险，如果不是您创建的，可以直接删除下 ...

不是我创建的   就把那个文件删了就行是吗？

六合彩运营专员

sjr001212 发表于 2024-11-10 16:22
不是我创建的   就把那个文件删了就行是吗？

您好，是的

sjr001212

六合彩运营专员 发表于 2024-11-10 16:26
您好，是的

删了之后还是有日志出现

六合彩运营专员

sjr001212 发表于 2024-11-10 17:03
删了之后还是有日志出现

您好，还需要您删除下相关的计划任务，位置在“任务计划程序”‌：可以通过“管理工具”中的“任务计划程序”或通过“开始”菜单搜索来找到并打开它。