svchost.exe触犯敏感动作防护规则

1442877804

每隔一分钟就会报一次  已经按照之前帖子全面查杀过一遍了，还是不行



防护项目：通过计划任务执行可疑动作
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："PowerShell.exe" -ExecutionPolicy Bypass -File C:\Windows\m6.ps1
操作结果：已阻止

进程ID：2208
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule
父进程ID：772
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\Windows\system32\services.exe

六合彩运营专员

您好，C:\Windows\m6.ps1相关计划任务的脚本是您创建的嘛，如果不是您创建的，可以直接删除下脚本观察下是否还有日志频繁出现

www.

检查计划任务，有计划任务在反复尝试启动PowerShell执行"C:\Windows\m6.ps1"