Windows Server：如何找出PowerShell进程持续启动的原因及其作用？

我看到一个不断启动的PowerShell进程，我不知道为什么

根据Process Explorer，PowerShell进程如下所示：

powershell -NoP -NonI -W Hidden -exec bypass "$am = ([WmiClass] 'root\default:systemcore_Updater8').Properties['am'].Value;$deam=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($am));iex $deam;$co = ([WmiClass] 'root\default:systemcore_Updater8').Properties['enco'].Value;$deco=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($co));iex $deco"

从Base64字符串转换过来的东西在我看来很可疑，但除此之外，我无法解码（哈！）这里发生了什么

当我终止进程时，它会在某个时间重新启动（几分钟到半小时）

我在任务管理器中找不到任何似乎启动该过程的东西

我开始怀疑一些非常可疑的事情

---

有什么建议吗？

不是答案，但不适合评论： 您可以执行以下命令来显示脚本正在调用什么（iex）

---

看起来确实是恶意代码。我会尝试使用MalwareBytesCheck删除它您的Scheduled Tasks集合，它很可能从那里开始（并解释它的功能）。

systemcore\u Updater8

不是我能找到的标准，代码基本上有两个属性，对Base64值进行解码，然后作为PowerShell脚本执行这两个属性，因此这可以用来执行任意代码。这并不一定意味着它是恶意的（Hanlon的Razor适用，它可能是一些官方的第三方软件，以一种迟钝的方式处理事情），但确实让它变得可疑。使用

systemcore\u Updater8

，但我不清楚它是该类的源代码还是只是在使用它。但很有可能，这是来源。您可以指示Powershell全局记录它执行的所有操作，并获取实际调用的get。

$am = ([WmiClass] 'root\default:systemcore_Updater8').Properties['am'].Value;
$deam=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($am));
Write-Output $deam

$co = ([WmiClass] 'root\default:systemcore_Updater8').Properties['enco'].Value;
$deco=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($co));
Write-Output $deam