V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
waytogoer
V2EX  ›  问与答

Windows PC 经常一闪而过一个 Powershell 窗口,很神秘,很害怕

  •  
  •   waytogoer · 2023-06-06 23:36:16 +08:00 · 3859 次点击
    这是一个创建于 553 天前的主题,其中的信息可能已经有所发展或是发生改变。

    已经持续很久了,电脑上会突然闪出来一个 Powershell 窗口,然后再隐去。之前玩游戏的话也会被弹出来。 今天终于逮到它了,但是 Powershell 已经不活动了,只能看到 PID:19688 ,占了大概 3G 内存。 很神秘,有 V 友见过吗?

    31 条回复    2023-06-07 16:14:10 +08:00
    kangyue9999
        1
    kangyue9999  
       2023-06-06 23:42:23 +08:00 via Android
    windows update ,或者某些驱动更新安装他的附加程序的时候会因为调用 execute 而强行闪出控制台
    waytogoer
        2
    waytogoer  
    OP
       2023-06-07 00:10:30 +08:00
    @kangyue9999 我几乎每次开机大概 2 小时左右必出现,很怪。
    另外别人从门里面开门你真的会很生气嘛?
    FanyFull
        3
    FanyFull  
       2023-06-07 00:15:15 +08:00
    一样一样。但是速度太快都来不及截屏看具体情况。又懒得录屏。
    waytogoer
        4
    waytogoer  
    OP
       2023-06-07 00:19:23 +08:00
    @FanyFull 我估计录屏应该也看不清具体的情况了..
    kangyue9999
        5
    kangyue9999  
       2023-06-07 00:30:16 +08:00 via Android
    @waytogoer 竟然还联动了😂 找很久钥匙的话会有失落感啦
    djv
        6
    djv  
       2023-06-07 01:32:08 +08:00
    看看安了什么软件。
    tf141
        7
    tf141  
       2023-06-07 04:50:12 +08:00
    我的也是,不过是全新笔记本预装的 WIN11 所以也懒得管,确实挺烦人的
    Trim21
        8
    Trim21  
       2023-06-07 05:32:47 +08:00   ❤️ 3
    看看是不是 taskscheduler 里有什么定时任务
    Jirajine
        9
    Jirajine  
       2023-06-07 05:44:14 +08:00
    记得以前用 Windows 的时候有个第三方的任务管理器,已经结束的进程也会留存显示一段时间,可以看到具体命令。
    opengps
        10
    opengps  
       2023-06-07 07:33:00 +08:00 via Android
    装那个时间管理的工具统计下跑了什么 exe
    LifStge
        11
    LifStge  
       2023-06-07 08:04:03 +08:00
    讲道理 固定复现的 真不可怕
    hyperbin
        12
    hyperbin  
       2023-06-07 08:11:17 +08:00 via Android
    看一下计划任务库
    icegaze
        13
    icegaze  
       2023-06-07 08:18:38 +08:00 via Android
    计划任务吧?

    用 SYSTEM 用户执行就不会出现前台的黑色窗口了。
    locoz
        14
    locoz  
       2023-06-07 08:21:03 +08:00 via Android
    检查定时任务。像你如果装了 pgsql 之类的,是会有个定时任务时不时启动一下弹个框的。
    moya
        15
    moya  
       2023-06-07 08:28:33 +08:00
    Start-Process
    cxshun
        16
    cxshun  
       2023-06-07 08:36:53 +08:00
    大概率是定时任务,mysql 等一些数据库都会干这些事情,会弹出个 terminal 干点啥,一闪而过
    xenme
        17
    xenme  
       2023-06-07 08:57:09 +08:00 via iPhone
    Process Monitor
    dfkjgklfdjg
        18
    dfkjgklfdjg  
       2023-06-07 08:58:15 +08:00
    之前玩游戏的也总是弹出来。自从禁用掉 CMD ,只开启 PowerShell 好像就没出现过弹窗了。
    jstony
        19
    jstony  
       2023-06-07 08:58:54 +08:00
    一般应该没啥大事,我记得真要干坏事,好像是可以把窗口隐掉完全不可见的。
    djoiwhud
        20
    djoiwhud  
       2023-06-07 09:01:17 +08:00 via Android
    放心。如果是后门,完全可以做成系统任务(没界面),不会这么轻易让你发现。
    Amber2011
        21
    Amber2011  
       2023-06-07 09:01:24 +08:00
    我之前是装了个 win11 的 powershell,之后又装 terminal,卸载了某一个,然后开机就会有一闪而过的 powershell 窗口说读不到啥配置
    interim
        22
    interim  
       2023-06-07 09:17:50 +08:00
    这个之前打游戏的时候也经常遇到过,查了下没查出来...
    julypanda
        23
    julypanda  
       2023-06-07 09:35:59 +08:00
    公司的电脑经常有
    以前总是感觉:
    “Oh 是不是公司 IT 那帮蛋疼玩意儿, 又在给我电脑加料了?”
    yqlian
        24
    yqlian  
       2023-06-07 09:49:01 +08:00
    是不是装了“阿里云盘”?之前有朋友发现它经常调用 PowerShell 运行命令,后来禁用了也没有影响下载。
    xdeng
        25
    xdeng  
       2023-06-07 09:59:16 +08:00
    Procmon 监控下 就知道了
    asm
        26
    asm  
       2023-06-07 10:21:13 +08:00
    我之前也显示过。大概率的 intel 集成的显卡下载那个配置文件。我这之前 igfxEM.exe 这个进程总是创建一个下载的子进程,把这个文件自启动删了,就没在显示过。
    不过可以放心,后门是不会有这种弱智的错误的。
    mxmbfa
        27
    mxmbfa  
       2023-06-07 10:38:26 +08:00
    我开机的时候会一闪而过 cmd 窗口
    deng81416754
        28
    deng81416754  
       2023-06-07 10:44:31 +08:00
    看看任务计划呗,里面默认会有系统的触发器,还有第三方软件的添加的,楼上说了,如果真有问题,bat 脚本完全可以不显示出来的,我自己的脚本没配置什么 默认也不显示出来的,完全不用担心这个 有杀毒软件帮你挡着
    busterian
        29
    busterian  
       2023-06-07 12:18:46 +08:00 via Android
    去 autoruns 看下呗
    amrice
        30
    amrice  
       2023-06-07 15:06:14 +08:00
    看看任务计划程序
    poporange
        31
    poporange  
       2023-06-07 16:14:10 +08:00
    @cxshun 我的电脑就是,定时任务是每天半夜十二点准时更新什么东西。最开始我以为电脑中了什么不知名的病毒什么的...然后就在某一天的半夜十二点卡点来了一个截图...然后才发现是 mysql...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2850 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:37 · PVG 20:37 · LAX 04:37 · JFK 07:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.