Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Нагрузка хост-процесс Windows(Rundll32)

kenassash

Автор kenassash
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kenassash Новичок

kenassash

Опубликовано
Опубликовано

Добрый день.

Используем Kaspersky ES 11.9.0.351 + Агент администрирования, Kaspersky Security Center 13.2

На всех ПК с windows 10 21H2 (сборка 19044, 1806) идет нагрузка на ЦП с Rundll32 (скриншот 1). После удаления ES и перезагрузки, процесс исчезает. Агент  при этом установлен и не трогается.

На ПК с win 7 такой проблемы не наблюдается.

 

В итоге скорее всего проблему. При включении компьютера в сети, появляется в мониторинге активных приложений tmp файл(скриншота 2). Гугл говорит что это вирус Trojan.PWS.Steam.20607 https://vms.drweb.ru/virus/?i=24692849 . Распространился он у  кого стоит windows 10, server 2016. На других пк  не замечено. Если включить пк без сети, tmp файла нету. После включения в сети, он появляется. Гасится служба снятием задачи. Появляется после перезагрузки.  Каждый раз новый tmp файл

 

Есть предположение что в планировщике заданий что то весит. Но поиск пока безуспешный. В автозагрузке ничего не найдено. В livecd через dr web cureit и в ручную поиском тоже ниче не найдено.

 

Где то наверное в админке можно сделать чтоб поля были активными, но не пойму где. Правила приложения и последовательность запуска. скрин 3

 

1. Какие логи и какие отчеты еще предоставить для полной инфы? (откуда)

2. Куда копать и как вылечить. 

 

 

1.png

2.png

3.png

CollectionLog-2022.07.14-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 


O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Addition.txtFRST.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижней области быстрого ответа.

 

Деинсталлируйте нежелательное ПО

Bonjour

 

Если программу

Chromium-Gost

не ставили самостоятельно, тоже удалите.

 

Сейчас проблема сохраняется?

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано

Деинсталлировали:

Bonjour

 

Проблема не решена.

  

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

Когда увидели эти записи что вы прислали, появилось подозрение, что возможно кроется вирус в домене. Эти файлы что service_update.exe и WinUpService.exe были удалены в ручную и после не появлялись. Подскажите, может проанализировать сам домен? если да, то что нужно сделать

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, подобная задача опять появилась.

 

18 минут назад, kenassash сказал:

проанализировать сам домен

На вашем предприятии есть администратор, который за этим должен следить?

Нужно смотреть какие политики распространяются на ПК, входящие в домен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tomoethespirit
      Нагрузка Службы узла DNS-клиент
      Автор tomoethespirit
      Нагрузка Службы узла DNS-клиент
      при открытии онлайн игр и браузера грузиться  до 60+- процентов 

      CollectionLog-2025.03.14-16.19.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
    • mallorik9
      NVIDIA GeForce GTX 1050 Ti нагрузка в простое
      Автор mallorik9
      Сижу в гугл хроме в простое видеокарта подскочила до 100%  сейчас пишу и опять 100% и за 5 сек падает до 0 смотрю через nvidia панель открываю диспетчер там нечего нет нагрузка но присутствует помогите пожалуйста незнаю что делать ps Отключал программой защитник пхд подхватил майнер
      Только что опять подскочило и упало на 5 сек 
          NVIDIA GeForce GTX 1050 Ti
          Версия драйвера:    32.0.15.7242
          Дата разработки:    12.02.2025
          Версия DirectX:    12 (FL 12.1)
          Физическое расположение:    PCI-шина 39, устройство 0, функция 0
          Использование    0%
          Выделенная память графического процессора    0,4/4,0 ГБ
          Общая память графического процессора    0,0/8,0 ГБ
          Оперативная память графического процессора    0,5/12,0 ГБ

    • mallorik9
      NVIDIA GeForce GTX 1050 Ti нагрузка в простое
      Автор mallorik9
      cижу в гугл хроме в простое видеокарта подскочила до 100%  сейчас пишу и опять 100% и за 5 сек падает до 0 смотрю через nvidia панель открываю диспетчер там нечего нет нагрузка но присутствует помогите пожалуйста незнаю что делать ps Отключал программой защитник пхд подхватил майнер
      Только что опять подскочило и упало на 5 сек 
        NVIDIA GeForce GTX 1050 Ti
          Версия драйвера:    32.0.15.7242
          Дата разработки:    12.02.2025
          Версия DirectX:    12 (FL 12.1)
          Физическое расположение:    PCI-шина 39, устройство 0, функция 0
          Использование    0%
          Выделенная память графического процессора    0,4/4,0 ГБ
          Общая память графического процессора    0,0/8,0 ГБ
          Оперативная память графического процессора    0,5/12,0 ГБ

      drweb только что просканировал нашол 2 вируса троян все ли это>?
      CollectionLog-2025.02.10-08.50.zip
    • Pavel Postnikov
      Не переносятся хосты в группу
      Автор Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
×
×
  • Создать...