Powershell se abrió, cambió al modo administrador y ejecutó todos los scripts sin que yo tocara mi computadora. ¿Qué tan preocupado debería estar?

Aunque recomiendo seguir la sugerencia de ekaj y rastrear sus registros para estar seguro, me parece muy sospechoso.

Si ha permitido actualizaciones automáticas, es posible que esto formara parte de un script de actualización ... pero, por lo general, las actualizaciones presentan información del usuario bastante formalizada.

La apuesta más segura es asumir lo peor, y borrarla y reconstruirla. Un Powershell ejecutándose como administrador podría haber hecho cualquier cosa.

Tenemos una serie de preguntas aquí sobre qué hacer una vez que una máquina se haya visto comprometida ... la respuesta canónica es, sin embargo, hacer una limpieza completa y reconstruir desde una copia de seguridad limpia conocida o desde un medio de instalación. / p>     

Sé que llego muy tarde a esta fiesta, pero me surgió esta pregunta mientras buscaba en la Sec.SE en relación con otra situación con la que estoy lidiando en el trabajo. También creo que podría proporcionar algo útil que no había sido mencionado todavía. Aunque estoy de acuerdo con Rory Alsop, también me gustaría agregar algo que respalde su respuesta y te dé otro consejo además de limpiar tu computadora; lo cual te recomiendo totalmente que hagas (espero que ya hayas HECHO esto). Por último, esto es para cualquier otra persona que se encuentre con esta pregunta y pueda obtener una visión global de nuestras respuestas.

A mi respuesta ... (y esto solo se agrega a la respuesta original aceptada; siempre revise los registros primero y realice una investigación)

Para mí, me preocuparía tanto que lo que se estaba ejecutando pudiera elevarse a Admin en PowerShell. Esto podría (no es definitivo) indicar que lo que se estaba ejecutando tomó sus credenciales ya sea de las credenciales almacenadas en caché que Windows almacena en el disco local, o de algún keylogger que puede haber permanecido oculto, y luego las usó para elevarse y ejecutar un innumerables cosas Hay varias maneras en que su contraseña de administrador (y otras contraseñas) podrían haberse comprometido si de hecho eso sucedió. Eso me lleva por el camino de ser paranoico y asumir lo peor como ya se ha dicho, lo que significa que sus contraseñas fueron robadas (digamos WERE STOLEN para el contexto de esta respuesta) y ahora tiene eso como un problema. Aquí hay dos cosas que hacer, además de limpiar su computadora y comenzar desde cero.

1. Cambie su (s) contraseña (s) utilizada (s) en esta computadora sin importar para qué fueron. Nunca se sabe qué fue lo que se comprometió si un keylogger o software malicioso aparecía en su sistema sin que lo supiera.
2. Cree una cuenta de usuario regular que use para el uso diario y una cuenta de usuario administrativo que solo use cuando algo deba ejecutarse con permiso de una cuenta elevada; active UAC (Control de cuentas de usuario) para reforzar esta táctica y ejecutar cosas como administrador cuando sea necesario. De esa manera, si su cuenta normal se ve comprometida, la cuenta de administrador no se verá comprometida automáticamente y los piratas informáticos tendrán más dificultades para intentar realizar un ataque exitoso.
3. Use una máquina virtual: cree una máquina virtual en la que realice trabajos confidenciales de tipo privilegiado de administrador. Todavía use la táctica n. ° 2 de arriba cuando use esta máquina virtual e inicie sesión con un usuario regular y solo use las credenciales de administrador según sea necesario usando "Ejecutar como administrador". Si la VM está comprometida, simplemente elimínela y cree una nueva desde cero. Si bien el escape de VM (el acto de escapar de la VM de nuevo al equipo host) no es imposible, es mucho más difícil de lo que la mayoría de la gente cree. Utilice las diversas herramientas de instantáneas integradas en la mayoría de los hipervisores de hoy en día para hacer que esta táctica sea realmente eficiente, de modo que no tendrá que borrar su máquina principal cada vez que suceda algo así.