Перейти к содержанию
Правила раздела

Нагрузка хост-процесс Windows(Rundll32)

kenassash

От kenassash
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

kenassash Новичок

kenassash

Опубликовано
Опубликовано

Добрый день.

Используем Kaspersky ES 11.9.0.351 + Агент администрирования, Kaspersky Security Center 13.2

На всех ПК с windows 10 21H2 (сборка 19044, 1806) идет нагрузка на ЦП с Rundll32 (скриншот 1). После удаления ES и перезагрузки, процесс исчезает. Агент  при этом установлен и не трогается.

На ПК с win 7 такой проблемы не наблюдается.

 

В итоге скорее всего проблему. При включении компьютера в сети, появляется в мониторинге активных приложений tmp файл(скриншота 2). Гугл говорит что это вирус Trojan.PWS.Steam.20607 https://vms.drweb.ru/virus/?i=24692849 . Распространился он у  кого стоит windows 10, server 2016. На других пк  не замечено. Если включить пк без сети, tmp файла нету. После включения в сети, он появляется. Гасится служба снятием задачи. Появляется после перезагрузки.  Каждый раз новый tmp файл

 

Есть предположение что в планировщике заданий что то весит. Но поиск пока безуспешный. В автозагрузке ничего не найдено. В livecd через dr web cureit и в ручную поиском тоже ниче не найдено.

 

Где то наверное в админке можно сделать чтоб поля были активными, но не пойму где. Правила приложения и последовательность запуска. скрин 3

 

1. Какие логи и какие отчеты еще предоставить для полной инфы? (откуда)

2. Куда копать и как вылечить. 

 

 

1.png

2.png

3.png

CollectionLog-2022.07.14-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 


O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Addition.txtFRST.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижней области быстрого ответа.

 

Деинсталлируйте нежелательное ПО

Bonjour

 

Если программу

Chromium-Gost

не ставили самостоятельно, тоже удалите.

 

Сейчас проблема сохраняется?

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано

Деинсталлировали:

Bonjour

 

Проблема не решена.

  

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

Когда увидели эти записи что вы прислали, появилось подозрение, что возможно кроется вирус в домене. Эти файлы что service_update.exe и WinUpService.exe были удалены в ручную и после не появлялись. Подскажите, может проанализировать сам домен? если да, то что нужно сделать

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, подобная задача опять появилась.

 

18 минут назад, kenassash сказал:

проанализировать сам домен

На вашем предприятии есть администратор, который за этим должен следить?

Нужно смотреть какие политики распространяются на ПК, входящие в домен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • yaphhy
      Нагрузка ГП на 50% в простое
      От yaphhy
      здравствуйте,
       
      при минимальном наборе приложений (хром, телеграм клиент, дискорд) загруженность ГП 30-50%
      при играх доходит до 99% и иногда БСОД
       
      возможно дело в goodbie-dpi от неизвестных авторов (качал с гит-хаба)
       
      проверки из статьи выполнил
      лог во вложении
      CollectionLog-2024.11.19-11.58.zip
    • Андрей_22222299
      Нагрузка на видеокарту в простое.
      От Андрей_22222299
      Здравствуйте.
      В простое на видеокарту идет нагрузка постоянная примерно 10%. Видно в HWMonitor и Диспетчере задач (в диспетчере видно нагрузку от "Процесс исполнения клиент-сервер" и "Диспетчер окон рабочего стола"). Если их свернуть нагрузка доходит до 20% или 50%, максимум до 80%. 
      Видеокарта нагревается до примерно 45-48 градусов. До этого в простое температура была 36 градусов. 
      На вирусы проверка ничего криминального не выявила 
      Отчет GSI прикрепил (одним архивом не помещается в 5 Мб, разделил содержимое на две части)
      GSI6_DESKTOP-1E2QTIL_Xaron_10_16_2024_14_28_41.zip
      Вот тут вторая часть отчета GSI
      GSI6_DESKTOP-1E2QTIL_Xaron_10_16_2024_14_28_41 (2).zip
    • Андрей_22222299
      [РЕШЕНО] Нагрузка на видеокарту в простое.
      От Андрей_22222299
      Здравствуйте. 
      В простое видеокарта постоянно под небольшой (5-7%) нагрузкой, видно в HWMonitor и Диспетчере задач. Если их свернуть, нагрузка доходит до 20% или 50%, максимум до 80%.
      Видеокарта нагревается до примерно 45-48 градусов. До этого в простое температура была 36 градусов. 
      В работе кроме браузера, проводник и телеграм.  В диспетчере задач показывает, что грузит "Процесс исполнения клиент-сервер".
      Kaspersky Virus Removal Tool ничего не обнаружил.
      Файл протоколов прикрепил.
      CollectionLog-2024.10.15-20.14.zip
    • Spanch
      Нагрузка на видеокату в простое. Вирус майнер.
      От Spanch
      Здравствуйте!

      При закрытом диспетчере задач ГП греется до 88 градусов в режиме простоя, при включении диспетчера резко остывает до 45гр. Если запустить диспетчер задач, то он автоматически вырубается спустя пару минут, и начинает расти температура ГП.

      Window 10, дополнительные антивирусы не скачивал. Что бы заработал браузер, скачал и запустил AV block remover (AVbr). Пока что частоты в норме после него, хотелось бы узнать осталось ли что-нибудь ещё.

      Частоты и температуры мониторил через msi afterburner.
       
      Спасибо.
      AV_block_remove_2024.10.24-22.26.log CollectionLog-2024.10.24-23.02.zip
    • gennadij-zaripov
      Часы Windows
      От gennadij-zaripov
      Пробовал обновить через Microsoft Store. Когда перестали работать-не помню. Windows 11 Pro 23H2.
       


×
×
  • Создать...