Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Нагрузка хост-процесс Windows(Rundll32)

kenassash

Автор kenassash
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kenassash Новичок

kenassash

Опубликовано
Опубликовано

Добрый день.

Используем Kaspersky ES 11.9.0.351 + Агент администрирования, Kaspersky Security Center 13.2

На всех ПК с windows 10 21H2 (сборка 19044, 1806) идет нагрузка на ЦП с Rundll32 (скриншот 1). После удаления ES и перезагрузки, процесс исчезает. Агент  при этом установлен и не трогается.

На ПК с win 7 такой проблемы не наблюдается.

 

В итоге скорее всего проблему. При включении компьютера в сети, появляется в мониторинге активных приложений tmp файл(скриншота 2). Гугл говорит что это вирус Trojan.PWS.Steam.20607 https://vms.drweb.ru/virus/?i=24692849 . Распространился он у  кого стоит windows 10, server 2016. На других пк  не замечено. Если включить пк без сети, tmp файла нету. После включения в сети, он появляется. Гасится служба снятием задачи. Появляется после перезагрузки.  Каждый раз новый tmp файл

 

Есть предположение что в планировщике заданий что то весит. Но поиск пока безуспешный. В автозагрузке ничего не найдено. В livecd через dr web cureit и в ручную поиском тоже ниче не найдено.

 

Где то наверное в админке можно сделать чтоб поля были активными, но не пойму где. Правила приложения и последовательность запуска. скрин 3

 

1. Какие логи и какие отчеты еще предоставить для полной инфы? (откуда)

2. Куда копать и как вылечить. 

 

 

1.png

2.png

3.png

CollectionLog-2022.07.14-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 


O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Addition.txtFRST.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижней области быстрого ответа.

 

Деинсталлируйте нежелательное ПО

Bonjour

 

Если программу

Chromium-Gost

не ставили самостоятельно, тоже удалите.

 

Сейчас проблема сохраняется?

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано

Деинсталлировали:

Bonjour

 

Проблема не решена.

  

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

Когда увидели эти записи что вы прислали, появилось подозрение, что возможно кроется вирус в домене. Эти файлы что service_update.exe и WinUpService.exe были удалены в ручную и после не появлялись. Подскажите, может проанализировать сам домен? если да, то что нужно сделать

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, подобная задача опять появилась.

 

18 минут назад, kenassash сказал:

проанализировать сам домен

На вашем предприятии есть администратор, который за этим должен следить?

Нужно смотреть какие политики распространяются на ПК, входящие в домен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sencity72
      вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

    • tomoethespirit
      Нагрузка Службы узла DNS-клиент
      Автор tomoethespirit
      Нагрузка Службы узла DNS-клиент
      при открытии онлайн игр и браузера грузиться  до 60+- процентов 

      CollectionLog-2025.03.14-16.19.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
    • mallorik9
      NVIDIA GeForce GTX 1050 Ti нагрузка в простое
      Автор mallorik9
      Сижу в гугл хроме в простое видеокарта подскочила до 100%  сейчас пишу и опять 100% и за 5 сек падает до 0 смотрю через nvidia панель открываю диспетчер там нечего нет нагрузка но присутствует помогите пожалуйста незнаю что делать ps Отключал программой защитник пхд подхватил майнер
      Только что опять подскочило и упало на 5 сек 
          NVIDIA GeForce GTX 1050 Ti
          Версия драйвера:    32.0.15.7242
          Дата разработки:    12.02.2025
          Версия DirectX:    12 (FL 12.1)
          Физическое расположение:    PCI-шина 39, устройство 0, функция 0
          Использование    0%
          Выделенная память графического процессора    0,4/4,0 ГБ
          Общая память графического процессора    0,0/8,0 ГБ
          Оперативная память графического процессора    0,5/12,0 ГБ

×
×
  • Создать...