Перейти к содержанию
Правила раздела

Нагрузка хост-процесс Windows(Rundll32)

kenassash

От kenassash
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

kenassash Новичок

kenassash

Опубликовано
Опубликовано

Добрый день.

Используем Kaspersky ES 11.9.0.351 + Агент администрирования, Kaspersky Security Center 13.2

На всех ПК с windows 10 21H2 (сборка 19044, 1806) идет нагрузка на ЦП с Rundll32 (скриншот 1). После удаления ES и перезагрузки, процесс исчезает. Агент  при этом установлен и не трогается.

На ПК с win 7 такой проблемы не наблюдается.

 

В итоге скорее всего проблему. При включении компьютера в сети, появляется в мониторинге активных приложений tmp файл(скриншота 2). Гугл говорит что это вирус Trojan.PWS.Steam.20607 https://vms.drweb.ru/virus/?i=24692849 . Распространился он у  кого стоит windows 10, server 2016. На других пк  не замечено. Если включить пк без сети, tmp файла нету. После включения в сети, он появляется. Гасится служба снятием задачи. Появляется после перезагрузки.  Каждый раз новый tmp файл

 

Есть предположение что в планировщике заданий что то весит. Но поиск пока безуспешный. В автозагрузке ничего не найдено. В livecd через dr web cureit и в ручную поиском тоже ниче не найдено.

 

Где то наверное в админке можно сделать чтоб поля были активными, но не пойму где. Правила приложения и последовательность запуска. скрин 3

 

1. Какие логи и какие отчеты еще предоставить для полной инфы? (откуда)

2. Куда копать и как вылечить. 

 

 

1.png

2.png

3.png

CollectionLog-2022.07.14-12.48.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано
44 минуты назад, Sandor сказал:

Здравствуйте!

 

 

"Пофиксите" в HijackThis: 


O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

 

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Addition.txtFRST.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно полностью цитировать предыдущее сообщение. Просто пишите в нижней области быстрого ответа.

 

Деинсталлируйте нежелательное ПО

Bonjour

 

Если программу

Chromium-Gost

не ставили самостоятельно, тоже удалите.

 

Сейчас проблема сохраняется?

Ссылка на комментарий
Поделиться на другие сайты
kenassash Новичок

kenassash

Опубликовано
  • Автор
Опубликовано

Деинсталлировали:

Bonjour

 

Проблема не решена.

  

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)
O22 - Task: 29a9b02d-b28d-4fa0-ae71-71036ee7f677 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 365ee569-353c-4a85-a00e-8f4700e40e82 - \admblag.ru\NETLOGON\service_update.exe (file missing)
O22 - Task: 65706547-882b-4947-83dd-d5a72527ff4d - \DOMAIN\sysvol\service_update.exe (file missing)
O22 - Task: 96d8366b-cf76-468e-90bd-00ca1cc8baac - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: 9a937273-cb7b-404c-83c9-c36602f09ecb - \admblag.ru\NETLOGON\WinUpService.exe 000 (file missing)
O22 - Task: d70e5907-97a6-4aec-aa6b-69474e38dd36 - \admblag.ru\NETLOGON\service_update.exe (file missing)

Когда увидели эти записи что вы прислали, появилось подозрение, что возможно кроется вирус в домене. Эти файлы что service_update.exe и WinUpService.exe были удалены в ручную и после не появлялись. Подскажите, может проанализировать сам домен? если да, то что нужно сделать

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, подобная задача опять появилась.

 

18 минут назад, kenassash сказал:

проанализировать сам домен

На вашем предприятии есть администратор, который за этим должен следить?

Нужно смотреть какие политики распространяются на ПК, входящие в домен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Pavel Postnikov
      Не переносятся хосты в группу
      От Pavel Postnikov
      Проблема заключается в том что при нормально установленных и рабочих агенте и клиенте (полностью работоспособных) хост не переносится
      в другую группу.
      Удаляли клиент. С работающим агентом переносили хост в другую группу (переносится) а после установки клиента возвращается в исходную
      при этом невозможно перетащить хост в другую группу.
      Хосты сервера в кластере.
    • mallorik9
      NVIDIA GeForce GTX 1050 Ti нагрузка в простое
      От mallorik9
      Сижу в гугл хроме в простое видеокарта подскочила до 100%  сейчас пишу и опять 100% и за 5 сек падает до 0 смотрю через nvidia панель открываю диспетчер там нечего нет нагрузка но присутствует помогите пожалуйста незнаю что делать ps Отключал программой защитник пхд подхватил майнер
      Только что опять подскочило и упало на 5 сек 
          NVIDIA GeForce GTX 1050 Ti
          Версия драйвера:    32.0.15.7242
          Дата разработки:    12.02.2025
          Версия DirectX:    12 (FL 12.1)
          Физическое расположение:    PCI-шина 39, устройство 0, функция 0
          Использование    0%
          Выделенная память графического процессора    0,4/4,0 ГБ
          Общая память графического процессора    0,0/8,0 ГБ
          Оперативная память графического процессора    0,5/12,0 ГБ

    • mallorik9
      NVIDIA GeForce GTX 1050 Ti нагрузка в простое
      От mallorik9
      cижу в гугл хроме в простое видеокарта подскочила до 100%  сейчас пишу и опять 100% и за 5 сек падает до 0 смотрю через nvidia панель открываю диспетчер там нечего нет нагрузка но присутствует помогите пожалуйста незнаю что делать ps Отключал программой защитник пхд подхватил майнер
      Только что опять подскочило и упало на 5 сек 
        NVIDIA GeForce GTX 1050 Ti
          Версия драйвера:    32.0.15.7242
          Дата разработки:    12.02.2025
          Версия DirectX:    12 (FL 12.1)
          Физическое расположение:    PCI-шина 39, устройство 0, функция 0
          Использование    0%
          Выделенная память графического процессора    0,4/4,0 ГБ
          Общая память графического процессора    0,0/8,0 ГБ
          Оперативная память графического процессора    0,5/12,0 ГБ

      drweb только что просканировал нашол 2 вируса троян все ли это>?
      CollectionLog-2025.02.10-08.50.zip
    • sputnikk
      Windows 10
      От sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
    • Kirik_
      Windows 11
      От Kirik_
      Первые скриншоты Windows 11 — изменения коснулись «Пуска», панели задач, интерфейса и многого другого
      В Сети оказались опубликованы скриншоты, сделанные в грядущей операционной системе Windows 11 от компании Microsoft. На опубликованных изображениях демонстрируется новый пользовательский интерфейс, свежее меню «Пуск» и многое другое. Поскольку это очень ранняя сборка, некоторые элементы новой ОС остались такими же, как у текущей версии Windows 10.
       
      Новый пользовательский интерфейс и меню «Пуск» в Windows 11 очень похожи на те, что изначально были в Windows 10X. Microsoft пыталась упростить интерфейс Windows для использования на устройствах с двумя экранами, но в конечном счёте отказалась от дальнейшей разработки Windows 10X. Позже компания пообещала использовать те наработки в основной версии ОС, и как видно, сдержала обещание — многие элементы легли в основу новой Windows 11.
       
      Наиболее заметное визуальное отличие новой ОС связано с панелью задач. Microsoft решила сместить иконки приложений с левого нижнего края экрана в центр. Здесь же находится и новая кнопка меню «Пуск». Последняя представляет собой упрощённую версию того меню, что сегодня присутствует в Windows 10.
       
      В новой версии операционной системы используются закруглённые углы окон. Контекстуальные меню, иконки, а также окно проводника — теперь всё имеет закруглённые углы, включая иконки и окна меню «Пуск».
       
      На панели задач Windows 11 можно увидеть новую иконку Widgets (виджеты). Слухи о том, что компания вернёт их в новую ОС, ходят уже давно. Правда, сами виджеты из-за «сырости» версии сборки пока недогружаются. С помощью виджетов можно будет быстро узнать погоду, свежие новости и другую полезную информацию из Сети.
       
      В ранней сборке Windows 11 компания пока не вносила изменения в интерфейс магазина приложений Windows Store. Прежде сообщалось, что Microsoft собирается серьёзно переработать магазин приложений и сделать его более дружелюбным не только для пользователей, но и для разработчиков приложений. Для них упростят размещение контента на платформе, а также позволят использовать в приложениях сторонние платёжные сервисы.
       
      Визуально изменится и процесс установки Windows 11. Однако пользователя как и раньше будут сопровождать по каждому шагу установки и настройки новой ОС. При каждой загрузке Windows 11 пользователя будет встречать новый звук запуска системы.
       
      Microsoft подробно расскажет о «следующем поколении Windows» на специальном мероприятии, которое состоится в конце этого месяца. Софтверный гигант начал рассылку приглашений на мероприятие, которое будет полностью посвящено программной платформе Windows и начнётся в 18:00 (мск) 24 июня.
       
      Источник
×
×
  • Создать...