Перейти к содержанию
Правила раздела

Нагрузка хост-процесс Windows(Rundll32)

kenassash

От kenassash
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

kenassash Новичок

kenassash

Опубликовано
Опубликовано

Добрый день.

Используем Kaspersky ES 11.9.0.351 + Агент администрирования, Kaspersky Security Center 13.2

На всех ПК с windows 10 21H2 (сборка 19044, 1806) идет нагрузка на ЦП с Rundll32 (скриншот 1). После удаления ES и перезагрузки, процесс исчезает. Агент  при этом установлен и не трогается.

На ПК с win 7 такой проблемы не наблюдается.

 

В итоге скорее всего проблему. При включении компьютера в сети, появляется в мониторинге активных приложений tmp файл(скриншота 2). Гугл говорит что это вирус Trojan.PWS.Steam.20607 https://vms.drweb.ru/virus/?i=24692849 . Распространился он у  кого стоит windows 10, server 2016. На других пк  не замечено. Если включить пк без сети, tmp файла нету. После включения в сети, он появляется. Гасится служба снятием задачи. Появляется после перезагрузки.  Каждый раз новый tmp файл

 

Есть предположение что в планировщике заданий что то весит. Но поиск пока безуспешный. В автозагрузке ничего не найдено. В livecd через dr web cureit и в ручную поиском тоже ниче не найдено.

 

Где то наверное в админке можно сделать чтоб поля были активными, но не пойму где. Правила приложения и последовательность запуска. скрин 3

 

1. Какие логи и какие отчеты еще предоставить для полной инфы? (откуда)

2. Куда копать и как вылечить. 

 

 

1.png

2.png

3.png

CollectionLog-2022.07.14-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 


O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Addition.txtFRST.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижней области быстрого ответа.

 

Деинсталлируйте нежелательное ПО

Bonjour

 

Если программу

Chromium-Gost

не ставили самостоятельно, тоже удалите.

 

Сейчас проблема сохраняется?

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано

Деинсталлировали:

Bonjour

 

Проблема не решена.

  

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

Когда увидели эти записи что вы прислали, появилось подозрение, что возможно кроется вирус в домене. Эти файлы что service_update.exe и WinUpService.exe были удалены в ручную и после не появлялись. Подскажите, может проанализировать сам домен? если да, то что нужно сделать

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, подобная задача опять появилась.

 

18 минут назад, kenassash сказал:

проанализировать сам домен

На вашем предприятии есть администратор, который за этим должен следить?

Нужно смотреть какие политики распространяются на ПК, входящие в домен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Pavel Postnikov
      Не переносятся хосты в группу
      От Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • yaphhy
      Нагрузка ГП на 50% в простое
      От yaphhy
      здравствуйте,
       
      при минимальном наборе приложений (хром, телеграм клиент, дискорд) загруженность ГП 30-50%
      при играх доходит до 99% и иногда БСОД
       
      возможно дело в goodbie-dpi от неизвестных авторов (качал с гит-хаба)
       
      проверки из статьи выполнил
      лог во вложении
      CollectionLog-2024.11.19-11.58.zip
    • Андрей_22222299
      Нагрузка на видеокарту в простое.
      От Андрей_22222299
      Здравствуйте.
      В простое на видеокарту идет нагрузка постоянная примерно 10%. Видно в HWMonitor и Диспетчере задач (в диспетчере видно нагрузку от "Процесс исполнения клиент-сервер" и "Диспетчер окон рабочего стола"). Если их свернуть нагрузка доходит до 20% или 50%, максимум до 80%. 
      Видеокарта нагревается до примерно 45-48 градусов. До этого в простое температура была 36 градусов. 
      На вирусы проверка ничего криминального не выявила 
      Отчет GSI прикрепил (одним архивом не помещается в 5 Мб, разделил содержимое на две части)
      GSI6_DESKTOP-1E2QTIL_Xaron_10_16_2024_14_28_41.zip
      Вот тут вторая часть отчета GSI
      GSI6_DESKTOP-1E2QTIL_Xaron_10_16_2024_14_28_41 (2).zip
    • Андрей_22222299
      [РЕШЕНО] Нагрузка на видеокарту в простое.
      От Андрей_22222299
      Здравствуйте. 
      В простое видеокарта постоянно под небольшой (5-7%) нагрузкой, видно в HWMonitor и Диспетчере задач. Если их свернуть, нагрузка доходит до 20% или 50%, максимум до 80%.
      Видеокарта нагревается до примерно 45-48 градусов. До этого в простое температура была 36 градусов. 
      В работе кроме браузера, проводник и телеграм.  В диспетчере задач показывает, что грузит "Процесс исполнения клиент-сервер".
      Kaspersky Virus Removal Tool ничего не обнаружил.
      Файл протоколов прикрепил.
      CollectionLog-2024.10.15-20.14.zip
    • Сергей98352247
      Пропала мышь и появились новые процессы
      От Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
×
×
  • Создать...